旁路监控
如果用户以硬件路由器(或FireWall)为出口上Internet,为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段:
1.在网关处添加共享式HUB(集线器),Internet出口网络线和监控机网络线均接入HUB。
2.在主交换机网口上设置镜像端口(一个镜像端口,一个被镜像端口);监控机网络线接入镜像端口。
上面实现的监控就是所谓的“旁路监控”。
打个更形象的比喻:交警为监视公路上汽车行驶状况,为不影响交通,仅在路边配置一台监控设备,同步监视路上的每辆车,并不需要在路中间设卡检查车辆,这种方式相当与“旁路监控”。如果设卡监控,那就应该属于“非旁路监控”
优点:
对网速影响甚小,如果不考虑封堵,可实现电信级的网络监视;所以网络流量庞大且封包需求很少时,必须采用该监控方式。
缺点:
1、封堵TCP连接时采用发送带RST标记的IP包,以破坏TCP连接;系统控制不好的话,则可能导致发送的封包太多,影响网络。
2、不能封堵UDP通讯包。
3、如果监控机处理速度慢,而流量太大,则可能导致分析包丢失。
非旁路监控(拦截式)
对“网路岗五代 6.0版或更高”而言,下面情况均属于“非旁路监控”:
1、客户机通过“代理服务器软件”实现共享上网,而“网路岗”就安装在该代理服务器上。常见的代理服务器软件包括:Sygate/WinGate/MS ISA/MS Proxy/CCProxy/WinRoute 等等。
2、用户启用“网络邻居”--“网卡属性”中“Internet共享上网”选项,“网路岗”安装在该机器上,绑定内网卡进行监控。
3、系统启用“软路由”/“网桥”等功能,“网路岗”安装在该机器上;启用该设置的前提条件是本系统有双网卡。
4、启用网路岗共享上网NAT。
5、启用网路岗“虚拟网卡”功能。
总之,只要客户机需经由某台电脑上网,则都属于“非旁路监控”。
这里特别需要说明的是:以前版本的“网路岗”产品,针对上述各情况,均采用“旁路监控”的技术,正如目前市面上决大多数产品一样;但较新版本的“网路岗”针对上述上网方式,则采用了“旁路监视、拦截过滤”的技术手段,既尽可能少影响网络速度,又能完全封堵UDP通讯包,是一种近乎完美的监控方式。
“基于帐户”的监控也因此更加可靠。
防火墙产品是单纯采用“拦截式”技术的典型网络产品,所有进出FireWall数据包,都必须经过筛选,符合过滤过滤条件的数据包,将被抛弃。
因此,防火墙的处理器性能和筛选规则的复杂程度,将直接影响到防火墙对数据包的处理速度,进而影响到网络速度。
基于网卡、基于帐户、基于IP
所有的网络监控产品,都必须面对这个问题:在对具体电脑进行监控时,以什么信息来判断所捕获的数据包是由哪台机器发出的?
“网路岗”提供了多种选项给客户选择,当用户网络是单网段,也就是说没有划分不同的IP段,我们建议客户选用“基于网卡”的方式,也就是说以“网卡地址MAC”来作为判断数据包的依据。
相对IP地址来讲,网卡地址一般是不会改变的,而且是全球唯一的。针对单一网段内机器而言,网卡地址是网络寻址的重要依据,一旦网卡地址重复或不确定,必然造成网络通讯的紊乱或不稳定。
针对多网段(划分VLAN)的情况,情况比较复杂,当数据包从某个VLAN转到其他VLAN时候,数据包中的网卡地址会发生改变,所以,我们捕获的网卡地址是发生变化了的,这时,如果系统对该MAC不加处理而简单使用,必然导致监控错乱。
但是,这种情况,“网路岗”已经充分考虑了其应对策略,我们的客户依然可以选择“基于网卡”的方式,正如单一网段环境一样。
当然,如果客户网络庞大,IP地址相对固定,从操作的简单性方面考虑,选择“基于IP”地址来监控也是可以的,用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣,那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。
最后,我们要谈谈“基于帐户”。当客户机通过浏览器上网时候,会出现一个输入用户名和密码的画面,此时,只有当客户拥有了自己的用户名和密码,才拥有了上网的权限,这就是“基于帐户”模式的具体表现。
“基于帐户”的方式从理论上讲,是完美的,因为该方式下,与被监控电脑的网卡地址和IP地址均无关系,而只需要根据用户帐号来判断监控对象。但其缺点也非常明显,因为客户机每次上网时候,都必须输入帐号及其对应的密码,给客户机上网带来麻烦,而且因为密码容易被忘记,网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看,“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。
网桥
先解释一下通常意义下的“网桥”概念。
网桥工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联接两个LAN,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于联接数量不多的、同一类型的网段。
网桥通常有透明网桥和源路由选择网桥两大类。
1、透明网桥
简单的讲,使用这种网桥,不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。
2、源路由选择网桥
源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上。当发送一帧到另外的网段时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。
下面图示的是在WinXP系统下创建“网桥”:
同时选中两块网卡,点Mouse右键,会弹出上图中的菜单。
网桥一旦建立完成,其网卡原配的IP地址将消失,网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了? 不是,用户仍然可以在上面显示的“网络桥”上配置另外的IP。
透明网桥示意图:
左右两边的机器可以相互访问,不用做任何额外的配置,就象两台交换机之间接入新的交换机设备一样。
虚拟网桥
“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同,仅仅因为其通讯过程类似“网桥”罢了。
通常意义上的“网桥”一般需要两块网卡来实现, 而这里所谓的“虚拟网桥”只需要一块网卡。
下面的网络结构是非常常见的:
机器:192.168.0.2发出的Internet数据包,直接发向网关192.168.0.1
以下是“网路岗”启用“虚拟网桥”功能后,数据包走向图:
当“网路岗”主机启用“虚拟网桥”功能后,从客户机192.168.0.2发向Internet的数据包,先送到“网路岗”主机,然后由“网路岗”主机转发到网关192.168.0.1,反之亦然。
不难看出,要达到一台机器监控整个网络的目的,只需要启用“虚拟网桥”功能就可以了,这种监控技术可以在纯交换机环境下实现,不需要添加HUB,也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。
而实际使用中,该技术的缺点非常明显,虽然“网路岗”已经加入该技术,但有必要向客户交代其中问题所在。
缺点1:客户机盲目安装.
既然装在任何一台电脑就可以实现对整个网络的监控,员工或学生是否会随意下载、随意安装、随意监控?这是完全可能的,因为毕竟实现监控的门槛太低。不过,当同时多台机器启用这类监控方式后,网络会出现紊乱状况,很可能导致无法上网。
缺点2:很容易逃避监控
所有采用类似监控技术的产品,均需要发送ARP欺骗包,以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包,使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。
因此,在单网段环境下,我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段,那么请注意:“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品),并记录在历史记录中。
如何启用“虚拟网桥”?
1、选中“非旁路监控”选项
2、设置“虚拟网桥”相关选项
3、选中并启用“虚拟网桥”
共享上网NAT
“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用专用地址范围,例如 10.0.x.x、192.168.x.x、172.x.x.x)共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT,尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。
NAT 对于解决 IPv4 地址耗费问题(在 IPv6 部署中却没必要)尽管成效及时,但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重,且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。
除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同,但它确实有利于安全。
跨VLAN/单网段/多网段
VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN在交换机上的实现方法,可以大致划分为六类:
1. 基于端口的VLAN(最常应用的一种VLAN划分方法)
2. 基于MAC地址的VLAN
3. 基于网络层协议的VLAN
4. 根据IP组播的VLAN
5. 按策略划分的VLAN
6. 按用户定义、非用户授权划分的VLAN
在监控产品中,所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。
单网段:整个局域网只有一个IP段,如:192.168.0.x (255.255.255.0)
多网段:整个局域网有多个不同IP段,如:192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0)
镜像端口/监控端口/被监控端口
在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图:
端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口。
市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。
不过仍然有部分交换机除外,比如:TPLink-SF2008 或TPLink-SF2008(web),因为其价格便宜,功能实用,因此我们一般建议客户购买此款交换机进行监控。
汇聚MAC
在多VLan环境下,假如 Vlan-1最靠近因特网,通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网,那么,其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时,其数据包中原来的网卡地址通常会改变,改变后的地址就是我们这里提到的“汇聚MAC”。
建议用“工具”菜单下的“ip包分析工具”抓包,如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。