局域网监控软件介绍《戴威尔》.doc

戴威尔网络安全培训公司 全国最大的网络安全工程师培训基地局域网监控软件介绍局域网监控软件常被用于局域网中对用户上网、收发邮件、网上聊天、P2P下载等进行管理和控制，如在企业内部，它可以监督、审查、限制、规范网络使用行为（比如是否上班时间游戏、干私活、找工作等），也可以限制用户数据流量以及网站访问的统计，用于分析员工使用网络情况（即工作效率分析）。局域网监控软件的开发是用于网络管理的，但不良意图的人也可以使用它限制当前网络内其它人使用网络（就像某些用于远程管理的软件被用于远程控制），如局域网内某一个人发现自己网速很慢，他就使用局域网监控软件限制网络内的其他上网来提高自己的网速，注意：不合理地限制他人上网是一种不道德的行为。从原理上看，网络监控软件的工作原理与网络嗅探软件的工作原理类似，也是抓取网络上的数据包，然后进行分析，目前此类软件主要的工作模式有四种：监听模式、旁路模式、网关模式、网桥模式，下面简单介绍一下。1、 监听模式监听模式也就是通过抓取总线MAC层数据侦方式而获得监听数据，其原理与嗅探软件相似，但使用这种方式效率并不高，而且在网络内主机数量多的情况下，准确性也很难得到保证。2、ARP旁路模式ARP模式将可以实现在交换机下的数据监听，方法简单有效，但这种方式不适合规模大的网络使用，而且因为它使用ARP攻击的方式有可能和网络内其他的ARP攻击欺骗软件互相冲突干扰而导致网络瘫痪，并且有可能会被ARP火墙禁止掉。3、网关模式由于所有出口数据流都必须经过该网关，因此控制方面可以说是最强大而无的方式，因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点；克服了所有监听模式下阻断UDP的致命弱点；是网络监控理想的模式；主要的代价就是维护和安装比较麻烦。4、网桥模式随着技术的进步,WINDOWS本身提供了透明桥技术模式,在此技术基础上，就可以开发出网桥模式的监控软件,克服了网关模式的所有的问题，这是目前最好的、性能最强的技术方式。就目前来说，网络控制类软件做的最好的是聚生网管系统，与它相似的另一款产品是P2P终结者，在下面的小节中我们将分别介绍这两款软件。8.4.2聚生网管系统的使用聚生网管系统是聚生科技在深入分析了主流局域网监控软件技术的基础上，经过自主创新和不断测试，最终研发成功的一套优秀的网络监控软件。聚生网管是一款神奇而强大的网络管理系统，它只需要在局域网的任意一台电脑上安装就可以控制整个局域网的P2P下载、各种聊天工具、股票软件、游戏软件等等聚生网管采用了一机安装，管理全网的透明安装模式，极大地降低了网管人员的维护工作，使得网管人员可以在一台控制机上即可以控制任意一台局域网主机，极大地提高了工作效率。目前，主流监控软件必须通过代理服务器、智能交换机或者加装HUB进行旁路设置才能保证软件的正常运行。而聚生网管软件对网络环境没有任何要求，不需要代理服务器、不需要在交换机做端口镜像、也不需要HUB，安装部署聚生网管时不需要对原有环境做任何改动，极大降低了进行网络结构改动的不确定性和花费，也降低了网管人员部署系统的时间、精力和复杂性。聚生网管正式使用需要购买，目前最新版本为聚生网管2008版。其官方网站：/1、程序的基本使用聚生网管网络流量控制软件是收费的软件，我们下载试用版进行介绍。注意，试用版在一些功能上会有限制。下载后双击开始安装，如图8-42所示：图8-42 开始安装聚生网管在安装过程中选择好安装目录。注意，聚生网管的使用需要WinPcap的支持，在安装完成前它会提示安装WinPcap，关于WinPcap的安装我们在前面已经介绍过，在此不多做介绍，如果本机已经安装好WinPcap的话，可以跳过安装。安装完WinPcap后，接着完成聚生网管的安装，如图8-43所示：图8-43 完成聚生网管的安装点击“关闭”完成安装。在开始菜单中找到聚生网管的启动程序启动聚生网管，如图8-44所示：图8-44 启示聚生网管启动后会先让你进行监控网段的配置，现在还没有建立监控网段，我们点击“新建监控网段”，如图8-45所示：图8-45 设置网段名称在此设置新建的网段的名称，写好后点击“下一步”如图8-46所示：图8-46 选择网卡在此为网段选择对应的网卡，我们选择本机的网卡，本网关IP段用于设置对哪一个IP段内的主机监控，设置好网关地址（一般使用默认），其它的使用默认的就可以了。然后点击“下一步”如图8-47所示：图8-47 出口带宽这里设置本网段公网出口接入带宽，使用默认的“自动检测”，然后点击“完成”，如图8-48所示：图8-48 设置好的监控网段我们看到刚才设置的网段已经在这里出现了，我们可以对这个网段进行编辑、删除等操作，点击“开始监控”，因为我们使用的是试用版本，打开时会出现一些提示，我们直接点击“确定”即可，如图8-49所示：图8-49 启动聚生网管后的界面我们看到，聚生网管主要分7个部，我们分别介绍一下：网络控制台：在这里我们可以选择聚生网管的启动模式，一般选用“主动引导模式”，此模式为聚生网管的“虚拟路由技术”。在此部分可以启动或停止网络控制服务，查看网络流量的实时图（需启动网络控制服务后才可以使用）网络主机扫描：打开后会自动扫描当前网络内的所有主机，并可以对主机指定相应的策略，如图8-50所示：图8-50 网络主机扫描控制策略设置：在此部分设置控制策略，可以添加、编辑、删除、重命名策略等，可以在此为主机指派策略。如图8-51所示：图8-51 控制策略设置网络安全管理：此部分主要针对网络安全进行的一些操作，如绑定MAC地址，检测网络内哪台主机在运行可能对网络造成破坏的程序等。图8-52 网络安全管理远程管理工具：这里是聚生网管自带的远程管理工具，通过一些设置可以对远程主机进行开机、关机、重启等操作，如图8-53所示：图8-53 远程管理工具软件配置：这部分主要是针对软件的配置，如设置软件在电脑启动时启动，软件运行自动转为控制状态，定时自动关闭等，如图8-54所示：图8-54 软件配置软件激活：本实验所用的软件为试用版本，软件激活用于对软件进行激活，2、配置使用实例下面进行一次配置实例来说明聚生网管的使用。（1） 对软件进行配置。如图8-55所示：图8-55 对软件进行配置设置软件启动选项、托盘图标、密码保护等，此项不是必须设置的，可以根据需要进行设置。（2） 设置控制策略。此项为聚生网管中非常重要的一项，对主机的限定就是根据策略选项的设置，打开此部分后选择“新建策略”在弹出的窗口中输入策略的名字，如图8-56所示：图8-56 设置策略名点击“确定”后会弹出策略设置的选项卡组，如图8-57所示：图8-57 网络限制选项卡网络限制：在此选项卡下可以设置针对WWW的访问，选择要进行过滤和选项，此处有一个“激活自定义网址列表控制规则”，有“白名单方式”和“黑名单方式”两种，白名单方式表示列表内的所有网址均允许，黑名单方式表示列表内的所有网址均拒绝。本例设置所有包含的网址和网址均会被拒绝。注意，输入网址时不需要输入http:/。设置好后点击“保存列表”会弹出保存成功的提示。“启动禁止访问反馈页面”表示当页面被拒绝访问时显示的信息，点击“预览”可查看效果。带宽限制：此选项卡用于对带宽进行限制，如图8-58所示：图8-58 带宽限制我们启用主机公网带宽限制和发现P2P下载时自动限制该主机带宽功能。主机公网带宽上下行均不限制，发现P2P时设置下行25K，上行5K。P2P下载限制：此选项卡针对P2P下载进行的限制，如图8-59所示：图8-59 P2P下载限制我们开启P2P下载主动防御和P2P站点智能拦截。流量限制：限制主机流量的，我们在此不进行设置。普通下载设置：针对下载进行的设置，如图8-60所示：图8-60 普通下载限制我们启用普通HTTP下载限制，点击“编辑限制文件后缀名”在弹出的对话框中输入要限定下载的后缀名，然后点击“确定”即可。游戏限定：限制玩网络游戏，就要就是使主机不能和游戏服务器进行连接。如图8-61所示：图8-61 游戏限制点击“增加游戏控制”在弹出的对话框中填写“软件名称”，如梦幻西游，然后单击“增加”在弹出的对话框中填写游戏服务器的IP地址和端口即可。在此不做设置。股票限制：对一些股票软件的限制，作用方法同游戏限制，在此不做设置。聊友限制：限制聊开软件的使用，如图8-62所示：图8-62 启动聊天限制在这里我们限制所有的聊天工具。ACL规则：设置主机间的通信。如图8-63所示：图8-63 ACL限制单击“添加规则”在弹出的对话框中填写ACL名字、源IP和目标IP、协议等，点击“确定”即可。时间设置：设置进行流量控制的时间。我们设置控制时间为工作的时间，即周一至周五的9：00至18：00，中间除去12：00到13：00。（3） 选择“网络控制台”开启网络控制服务，如图8-64所示：图8-64 启动网络控制服务打开“网络主机扫描”部分，它会显示当前网络内的所有主机，右击某一台主机，选择“重新指派策略”在弹出的对话框中从下拉列表中选择刚才设定的“员工上网”如图8-65所示：图8-65 给主机重新指派策略点击主机前的复选框，选中主机后点击上方的“应用控制设置”使刚才设置的生效，点击后会弹出“保存设置成功”的提示，如图8-66所示：图8-66 应用控制设置这样就对主机进行了网络控制。主机打开时效果如图8-67所示：图8-67 禁止访问指定网站登录QQ聊天软件时会出现不能登录的提示，如图8-68所示：图8-68 无法登录QQ打开聚生网管的“网络控制台”会看到相关的信息，如图8-69所示：图8-69 网络控制台显示的信息（4）网络安全管理：检测网络内哪台主机在运行可能对网络造成破坏的程序等。运行“局域网终结者”检测工具，点击“开始检测”后会查到结果，如图8-70所示：图8-70 网络安全管理远程管理工具是聚生科技有限公司研发的一款针对局域网的常规管理技术。通过这个工具，只需要在局域网的任意一台电脑部署，不需要在客户端安装任何软件，网管人员可以实现对局域网电脑（单个或者批量）的进行远程开机、远程关机、远程重启、远程注销等操作，方便了内网管理。由于此工具完全利用windows 自带的相关程序，所以在使用之前需要启动windows 的某些服务：1、远程电脑的管理员的用户名和密码。2、需要安装微软的Framework2.0。微软官方下载地址：/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe3、在远程电脑开启“经典登陆模式”。控制面板管理工具本地安全策略安全设置本地策略安全选项网络访问：本地帐户的共享和安全模式：修改为“经典-本地用户以自己的身份验证”。如图8-71所示：图8-71 设置经典模式登录打开此工具，导入主机和扫描网络需要注册才能使用，我们看下其它的，打开远程关机，输入用户名和密码，单击“确定”后单击“常规操作”即可，如图8-72、图8-73所示：图8-72 准备远程关机图8-73 远程关机成功要进行远程开机时要输入远程主机的MAC地址，注意：由于远程开机是根据远程主机的MAC 地址来开机的，所以不需要设置任何用户名和密码，只要知道远程电脑的MAC 地址就可以了。要使远程开机功能可以顺利完成，远程机器的网卡和主板都必须支持Wake-On-LAN(远程网络唤醒，缩写为WOL)功能。如图8-74所示：图8-74 远程开机图8-75 远程重启的操作图8-76 远程注销的操作8.4.3 P2P终结者的使用P2P终结者是国内目前首套专门针对网络P2P滥用问题开发的系统软件，软件可以实现对局域网全网主机的P2P下载控制，只需要一机安装，就可以控制全网，非常易于部署，可保证企业网络有限带宽得到正当利用。 由于目前国内企业一般只有有限的带宽，而P2P的出现在带来巨大的好处的同时也造成了网络带宽的巨大浪费，尤其在被用来进行大量数据下载，这给企业整体网络应用带来了巨大的压力，甚至企业正常业务网络带宽也无法保证，而目前对P2P尚没有专门的控制软件，一般是通过在防火墙或者代理服务器进行纷繁的规则设定来完成，这也给网络管理人员带来巨大的麻烦，本软件一机安装，控制全网P2P应用，可帮助企业轻松解决这个日益严重的问题，软件安装使用都极为简便，是解决P2P问题的最佳选择。它可以运行在Windows2000/XP/2003操作系统上。 最新版本：V4.00 官方网站：/P2P终结者与聚生网管非常相似，熟悉聚生网管的使用后P2P终结者使用就非常简单了，下面我们简单介绍一下。从官方网站上下载P2P终结者的最新版本后双击安装，安装完P2P终结者后打开软件，其界面如图8-77所示：图8-77 P2P终结者的界面开始网络监控前首先要对软件进行相关配置，如图8-78、图8-79所示：图8-78 网卡设置图8-79 系统设置网卡设置选择使用哪一块网卡，系统设置设置软件的一此选项，设置完成后点击“保存配置”会弹出“保存系统配置成功”的提示。选择“网络控制台”部分，点击“开启网络控制服务”开启服务，如图8-80所示：图8-80 开启网络服务此时打开“网络主机扫描”部分会看到当前网络内所有的主机，如图8-81所示：图8-81 网络主机扫描网络带宽管理，用于限制主机带宽，同聚生网管的设置网络应用管理，设置下载控制、WWW控制、聊天控制和ACL控制，如图8-82所示，其设置方法同聚生网管。图8-82 网络应用管理网络安全管理：主要是设置MAC地址绑定，如图8-83所示：图8-83 网络安全管理选择“启用IP-MAC地址绑定”然后点击“获取IP-MAC关系”它会获取当前网络内的所有主机的IP-MAC址对应表。如果要手动添加，点击“手工添加绑定”然后左边填写IP地址和MAC地址就可以了。点击“网络流量统计”，这部分主要用于统计日流量和