当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 浅谈网络监控软件的部署

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 浅谈网络监控软件的部署


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 57 ::
收藏到网摘: n/a

基于校园网安全和提高管理效率方面的考虑,网管员们纷纷用起了各种各样的网络监控软件。可是试用过后,效果往往不能令人满意,有一些网管软件功能强大,但软件部署条件过于苛刻,最终不得不放弃。如果你也为部署网络监控软件苦恼过,相信本文会给你一些有益的启示。

  ■ 网络监控软件的分类

  网络监控软件数目虽多,不过根据其对客户机的控制方式,可粗略分为两大类:

   1. 连接控制类

  其主要实现的功能是:根据预先设定的控制策略,在IP地址或MAC地址(网卡物理地址)级别上控制某台机器与局域网络或外网的连接。例如,通过此类软件可以设定网卡MAC地址为00-01-01-00-97-A0的被监控机器只能在每天下午4:00~5:30这个时段,用192.168.1.88这个IP地址连接到网络。任一条件不满足,安装监控软件的机器将会采取特定的措施(常用ARP欺骗的技术)断掉被控机的网络连接,从而达到网络监控的目的。

  此类软件的部署比较简单,无论是集线器或交换机连接的网络,只要在本网内选任一台计算机安装,即可实现监控功能。

  代表软件:

  网络执法官 V 2.67

  网络剪刀手 V 1.51
   2. 内容控制类

  其主要实现的功能是:一,限制不同机器不同的网络访问权限(这有点像某些代理软件拥有的功能,如WinRoute);二,记录机器网络通讯的具体内容,如可以记录A机器所有外发邮件的内容(邮件正文、邮件附件)等。

  此类软件的部署较为复杂,针对不同的网络结构,部署方式不尽相同,不过此类软件所能实现的功能却是我们网管员梦寐以求的。由于需要对网内机器的网络通讯具体内容进行分类控制,所以此类软件的工作方式一般为:

  (1)抓取网络内所有被控机器的通讯数据包

  (2)分析数据包的具体内容

  (3)应用控制策略,记录通讯内容

  而这三步之中,能够抓取被控机器的通讯数据包是软件功能能够实现的前提条件,这就与我们的部署有很大关系。部署不当,软件无法获取被控机器的数据包,其功能也就无法实现。
代表软件:

  网路岗第四代

  Web防护盾 V 1.03

  ■内容控制类网管软件部署方法

  由于连接控制类网管软件的部署十分简单,我们无需多加讨论。下面,我们就一起来看看内容控制类网管软件的部署。

  在部署之前,我们需要简单了解一下集线器与交换机的工作方式。

  对于使用集线器连接的网络而言,如果A机器需要与其他机器进行网络通信,A发出的数据包会被同时复制到集线器的所有其他端口上。换而言之,用集线器连接的网络,网内任何一台机器都能够“听到”其他机器的通信,当然也能够将这些通信包抓取下来。这正是内容控制类网管软件功能实现的前提。所以,在集线器网络中,任何一台机器上均可部署此类网管软件,而且功能都能正常实现。但是,基于集线器的网络现在已不多见,只出现在一些早期建成的局域网中。

  交换机与集线器最大的不同是通信数据包不再复制到其他所有端口,而是“精确”地发往目标机器所在的那个端口,所以,其他机器就无法“听到”这种目的性较强的通信,当然也就无法实现数据包的抓取了。要想在基于交换机的网络中部署此类网管软件,必须在网络的“关口”处设岗。所谓“关口”,即指所有机器的通信都会流经的端口。具体情况如下:

  1. 如果是通过代理服务器上网,只要在代理服务器上部署即可实现监控。

  2. 如果局域网的网关是计算机,可在此网关计算机上部署。

  3. 如果网络的网关不是计算机,而是路由器的话,则较为复杂。软件开发商一般会建议在交换机和路由器之间加装一个集线器,将网管机接在集线器上,从而实现监控。

  4. 交换机端口映射。此方法只适合于部分可网管交换机,可通过对交换机的配置,将所有端口的数据通信映射到某一端口,并在与此端口相连的机器上安装网管软件进行监控。