宽带网络目前已经相当普及,网络在企业里的地位越来越重要;单纯确保网络通讯的正常已经远远不够了;企业网络中流动的数据很多是机密的,比如财务报表、进货价格、成交定单、用户需求、人事资料、合同文件、设计资料等等;同时又很多员工在上班时间不自觉地非法使用网络的行为,比如整天大规模下载电影、在线看电视、网络游戏、闲谈聊天等等;因此中小企业里的网管人员或大企业里的CIO都面临网络的监控问题:对内容的监视保密以及对行为的控制管理;
本文用一个典型的实施案例来说明如何在企业里实施网络监控,并点评实际的运用拓展,帮助企业管理人员了解原理、部署、管理网络;
一、基本原理
1、工作模式
(1)旁路模式
大致的原理是:比如A(比如老张)和B(比如GOOGLE网站)两个电脑通讯,企业里另一个电脑C(比如网管)在监听,因此A和B的对话过程C就可以监视到;而如果C不愿意A和B通讯,于是就向网络总线上发一个阻断过程,这样把A和B的通讯禁止;这个前提是C可以拿到A和B通讯的MAC层数据包;
目前主要是两种方式实现旁路模式:
A:采用公开免费接口WINPCAP协议层驱动;
需通过HUB或交换机镜像获得MAC层总线数据流;采用该方法主要缺陷如下:
[1] HUB是10M的,一旦旁路网络将速度被严重限制;已经淘汰产品;
[2]如果采用镜像交换机,需要额外投资,同时低端镜像交换机在阻断UDP时候很可能经常性阻塞可能;
[3]由于WINPCAP本身设计的天生弱点,所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低;
[4]无法实现NAT等更多的扩展功能,由于在协议层运行会被火墙禁止;
B:采用操作系统核心NDIS中间层驱动模式]
该模式由于在NDIS层位置驱动,因此性能效率将非常高,更多功能也将成为可能;安装也非常简单;可以在普通交换机模式下任何一个电脑安装,不需要HUB不需要镜像交换机;能够克服WINPCAP所有的弱点,因此成为主流技术;但实现起来很大难度需要很强的开发实力;
(2)网关模式《我是网管》论坛,中国较大的网管交流阵营!
由于旁路模式是在边上监听,因此在规模庞大的网络是不推荐的;网关模式将更强大有效,特别是在阻断BT等P2P应用、流量限制、UDP应用(比如QQ)将更加有效;这些应用都是实时性非常强,而且都是动态变换的,因此建议网关模式;-
2、用户模式
主要有基于IP策略的和基于MAC策略的两种用户模式;简单说就是以IP地址划分用户还是以MAC地址划分用户;大部分默认都是MAC地址;在网关模式下是可以直接绑定IP和MAC的对应关系;因此用户可根据环境而选择用户模式,一般来说采用默认的基于MAC策略就可以了;
3、应用模式《我是网管》论坛,中国较大的网管交流阵营!
企业里涉及到两部分的网络管理,一部分是监视上INTERNET的行为和内容,也就是大家说的上网监控或外网监控;另一部分就是如果这个电脑不上INTERNET但又在内部局域网上(比如打印个文件什么的),一般被大家叫成内网监控或本网监控;上网监控管理的是上网的内容监视和上网行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机游戏、使用电脑做了什么等等。
二、案例部署
- 畅通网下面我们用聚生网管系统(http://www.grablan.com/)软件运行时形成的一些监控图,直观地说明我们的软件功能:
图1设置局域网主机带宽
图2:设定局域网主机流量
图3:设置控制局域网各种P2P下载
图4:设定局域网主机的普通下载
图5:设定局域网主机网址浏览控制
图6:设定常见聊天工具控制
图7:设定网络游戏控制
图8:设定控制时间
图9:局域网主机适时带宽限制
图10:监控各种P2P下载
图11:监控主机的流量图
四、尾述
企业网络管理一般主要集中在以下几个部分:
1、SNMP网络管理:包含连通性检验、丢包分析、流量分析、VLAN划分、组网模式等
2、网络监控管理:主要是内容监视和行为限制等;
3、网络安全管理:主要是火墙、防止病毒、数据备份等
4、业务系统管理:主要是建设和维护业务系统或企业管理系统,比如ERP系统;
5、设备系统管理:主要是建设、设置、维护网络设备
因此,网络管理需要做的事情很多而不仅仅是可以让企业上网这么简单;现在由于企业越来越依赖网络系统,因此网络监控系统越来越被重视;像刚才的案例可以知道,因为任意一个电脑都可以安装测试,因此如果不注意,很可能员工反过来监视了管理层,这是值得特别注意的;对于员工来说,在企业里要注意合法合理使用电脑,对于企业管理者应该高度重视网络泄密问题以及员工管理手段的加强;