淺談網(wǎng)絡(luò )監控軟件的部署

基于校園網(wǎng)安全和提高管理效率方面的考慮，網(wǎng)管員們紛紛用起了各種各樣的網(wǎng)絡(luò )監控軟件?？墒窃囉眠^(guò)后，效果往往不能令人滿(mǎn)意，有一些網(wǎng)管軟件功能強大，但軟件部署條件過(guò)于苛刻，最終不得不放棄。如果你也為部署網(wǎng)絡(luò )監控軟件苦惱過(guò)，相信本文會(huì )給你一些有益的啟示。

　　■ 網(wǎng)絡(luò )監控軟件的分類(lèi)

　　網(wǎng)絡(luò )監控軟件數目雖多，不過(guò)根據其對客戶(hù)機的控制方式，可粗略分為兩大類(lèi)：

　　1． 連接控制類(lèi)

　　其主要實(shí)現的功能是：根據預先設定的控制策略，在IP地址或MAC地址（網(wǎng)卡物理地址）級別上控制某臺機器與局域網(wǎng)絡(luò )或外網(wǎng)的連接。例如，通過(guò)此類(lèi)軟件可以設定網(wǎng)卡MAC地址為00-01-01-00-97-A0的被監控機器只能在每天下午4:00～5:30這個(gè)時(shí)段，用192.168.1.88這個(gè)IP地址連接到網(wǎng)絡(luò )。任一條件不滿(mǎn)足，安裝監控軟件的機器將會(huì )采取特定的措施斷掉被控機的網(wǎng)絡(luò )連接，從而達到網(wǎng)絡(luò )監控的目的。

　　此類(lèi)軟件的部署比較簡(jiǎn)單，無(wú)論是集線(xiàn)器或交換機連接的網(wǎng)絡(luò )，只要在本網(wǎng)內選任一臺計算機安裝，即可實(shí)現監控功能。

　　代表軟件：

　　聚生網(wǎng)管(www.grabsun.com)
　
　　2． 內容控制類(lèi)

　　其主要實(shí)現的功能是：一，限制不同機器不同的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限（這有點(diǎn)像某些代理軟件擁有的功能，如WinRoute）；二，記錄機器網(wǎng)絡(luò )通訊的具體內容，如可以記錄A機器所有外發(fā)郵件的內容（郵件正文、郵件附件）等。

　　此類(lèi)軟件的部署較為復雜，針對不同的網(wǎng)絡(luò )結構，部署方式不盡相同，不過(guò)此類(lèi)軟件所能實(shí)現的功能卻是我們網(wǎng)管員夢(mèng)寐以求的。由于需要對網(wǎng)內機器的網(wǎng)絡(luò )通訊具體內容進(jìn)行分類(lèi)控制，所以此類(lèi)軟件的工作方式一般為：

　?。?）抓取網(wǎng)絡(luò )內所有被控機器的通訊數據包

　?。?）分析數據包的具體內容

　?。?）應用控制策略，記錄通訊內容

　　而這三步之中，能夠抓取被控機器的通訊數據包是軟件功能能夠實(shí)現的前提條件，這就與我們的部署有很大關(guān)系。部署不當，軟件無(wú)法獲取被控機器的數據包，其功能也就無(wú)法實(shí)現。

　　■內容控制類(lèi)網(wǎng)管軟件部署方法

　　由于連接控制類(lèi)網(wǎng)管軟件的部署十分簡(jiǎn)單，我們無(wú)需多加討論。下面，我們就一起來(lái)看看內容控制類(lèi)網(wǎng)管軟件的部署。

　　在部署之前，我們需要簡(jiǎn)單了解一下集線(xiàn)器與交換機的工作方式。

　　對于使用集線(xiàn)器連接的網(wǎng)絡(luò )而言，如果A機器需要與其他機器進(jìn)行網(wǎng)絡(luò )通信，A發(fā)出的數據包會(huì )被同時(shí)復制到集線(xiàn)器的所有其他端口上。換而言之，用集線(xiàn)器連接的網(wǎng)絡(luò )，網(wǎng)內任何一臺機器都能夠“聽(tīng)到”其他機器的通信，當然也能夠將這些通信包抓取下來(lái)。這正是內容控制類(lèi)網(wǎng)管軟件功能實(shí)現的前提。所以，在集線(xiàn)器網(wǎng)絡(luò )中，任何一臺機器上均可部署此類(lèi)網(wǎng)管軟件，而且功能都能正常實(shí)現。但是，基于集線(xiàn)器的網(wǎng)絡(luò )現在已不多見(jiàn)，只出現在一些早期建成的局域網(wǎng)中。

　　交換機與集線(xiàn)器最大的不同是通信數據包不再復制到其他所有端口，而是“精確”地發(fā)往目標機器所在的那個(gè)端口，所以，其他機器就無(wú)法“聽(tīng)到”這種目的性較強的通信，當然也就無(wú)法實(shí)現數據包的抓取了。要想在基于交換機的網(wǎng)絡(luò )中部署此類(lèi)網(wǎng)管軟件，必須在網(wǎng)絡(luò )的“關(guān)口”處設崗。所謂“關(guān)口”，即指所有機器的通信都會(huì )流經(jīng)的端口。

　　具體情況如下：

　　1. 如果是通過(guò)代理服務(wù)器上網(wǎng)，只要在代理服務(wù)器上部署即可實(shí)現監控。

　　2. 如果局域網(wǎng)的網(wǎng)關(guān)是計算機，可在此網(wǎng)關(guān)計算機上部署。

　　3. 如果網(wǎng)絡(luò )的網(wǎng)關(guān)不是計算機，而是路由器的話(huà)，則較為復雜。軟件開(kāi)發(fā)商一般會(huì )建議在交換機和路由器之間加裝一個(gè)集線(xiàn)器，將網(wǎng)管機接在集線(xiàn)器上，從而實(shí)現監控。

　　4. 交換機端口映射。此方法只適合于部分可網(wǎng)管交換機，可通過(guò)對交換機的配置，將所有端口的數據通信映射到某一端口，并在與此端口相連的機器上安裝網(wǎng)管軟件進(jìn)行監控。