上网行为管理软件比较_上网行为管理软件

上网行为管理软件比较由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“上网行为管理软件”。

大连航远科技发展有限公司

航远服务，真诚永铸！

上网行为管理软件比较

·

上网行为管理软件其实就是网络监控软件，只是称呼不同，现在监控软件那么多，经常有人在问监控软件哪种好？看到篇比较系统分析介绍监控软件工作原理的文章，特地转过来。

一、外网监控与内网监控

企业里涉及到两部分的网络管理，一部分是监视上INTERNET的行为和内容，也就是大家说的上网监控或外网监控；另一部分就是如果这个电脑不上 INTERNET但又在内部局域网上（比如打印个文件什么的），一般被大家叫成内网监控或本网监控；上网监控管理的是上网的内容监视和上网行为监视（比如发了什么邮件，是否限制流量，是否允许QQ，或监视用户页面浏览）；而内网监视管理的是本地网络的活动过程（比如有没有COPY东西到U盘、是否在玩单机

游戏、使用电脑做了什么等等）。

外网监控软件模式基本可以分为两类：有客户端的和没有客户端的（内网安全都需要客户端，上面没有客户端的都不能实现内网安全管理）。

拥有内网管理功能的：信安上网行为管理系统、Anyview网络监控软件、网路岗局域网管理软件、网猫网络监控软件实现需要客户端支持。这几种软件都有专门的客户端软件提供。没有内网管理功能的：百络网警局域网管理、聚生网管系统。

二、有客户端的外网监控：

信安上网行为管理系统和Phantom系统（外网管理和内网管理功能都提供）。不牵涉部署模式，因为他们的实现原理都是在C/S模式，通过部署在被监控计算机上的客户端来实现各种功能，在这种模式下，服务器的安装部署对网路环境就没有特别的要求，网络内随意找一个电脑就可以做服务器，而且功能、网络速度、效率都不受影响，不需要对原有网络架构、环境进行改动。

唯一的缺点就是需要安装客户端。

三、没有客户端的外网监控：

大概分为四种安装模式：旁路、旁听（共享式HUB、端口镜像）、网关、网桥。

1．旁路模式：

基本采用ARP欺骗方式虚拟网关，让其他计算机将数据发送到监控计算机。只能适合于小型的网络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如网内同时多个旁路将会导致混乱而中断网络。

此类软件较多，主要有聚生网管系统、P2P终结者、网络执法官局域网管理软件等。

2．旁听模式：

通过共享式HUB、端口镜像方式来获取网络上的数据实现监控，通过抓取总线MAC层数据侦方式而获得监听数据，并利用网络通讯协议原理发送带RST标记的 IP包封堵TCP连接以破坏TCP连接实现控制的方法；不能封堵UDP通讯包,而QQ、BT等很多软件会使用UDP协议。而且还需要额外购置网络设备，因为共享式HUB中每个端口的但由于HUB基DaLian HangYuan S&T Development Co.,Ltd

上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室

客户经理：孔德清

TEL:0411-39555755-806

FAX:0411-39555755-807 HTTP://www.daodoc.com

大连航远科技发展有限公司

航远服务，真诚永铸！

本都是10M的，因此在网络性能上将很大限制，也意味丢包的危险；目前HUB几乎到了淘汰的命运；也不适合大型网络环境，因此是很大局限；网络带宽损失都会超过60%;镜像交换机首先是比较贵并需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话（比如30个电脑一下），那么增加购买镜像交换机意味成本的提高，另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向（监视和控制）数据流处理不完善而导致交换机瞬间阻塞现象；而很多的镜像交换机也是单向的（只能监视抓包不能控制）；但相比老式的HUB模式来说，使用镜像交换机实现监听还是要理想一些；不过即使如此，网络带宽损失也将超过40%;此类软件有超级嗅探狗网络管理软件、LaneCat网猫网络监控软件等。

3．网关模式：

是把本机作为其他电脑的网关（设置被监视电脑的默认网关指向本机），常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因此控制力极强，但由于存储转发的方式，性能多少有点损失；不过效率已经比较好了。但维护和安装比较麻烦；无法跨越VLAN和VPN；假如网关死了，全网就瘫痪了。此类软件有 ISA、anyrouter软网关等，这里没有引用，ISA目前在一些银行金融机构仍在使用，海天上网监控软件是专门针对ISA而开发的。

4．网桥模式：

双网卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条网线，因此性能是最好的几乎没有损失。支持网桥模式的软件比较少，主要有Anyview网络警局域网管理软件、百络网警局域网管理软件、网路岗局域网管理软件。

5．获取数据包的技术

除了模式，我们讲一下获取数据包的技术，目前大概有两种方式： 1)采用操作系统核心NDIS中间层驱动模式，2)公开免费接口WINPCAP协议层驱动。

Anyview网络警局域网管理软件采用NDIS中间层驱动，百络网警说采用的是kercap内核技术（不了解）、网路岗则采用的是WINPCAP技术。

由于WINPCAP本身设计的天生弱点，所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低；也无法实现NAT等更多的扩展功能，由于在协议层运行会被火墙禁止；而NDIS中间层驱动模式由于在NDIS层位置驱动，因此性能效率将非常高，更多功能也将成为可能；能够克服WINPCAP所有的弱点，因此成为主流技术；但实现起来很大难度需要很强的开发实力；

6．结论：

按照部署模式分：通过对比我们可以知道，网桥模式是最理想的一种模式，这种模式唯一的缺点就是额外开支，需要购买一台足够网络处理能力服务器，而且还要连接在交换机和路由器之间的网络上。主要有Anyview网络警、百络网警、网路岗、activewall等。再按照获取数据包的技术分：显然Anyview网络警和activewall采用NDIS中间层驱动技术更好。

四、总结

如果需要内网管理与外网管理都需要，那么所有软件都需要客户端，显然Phantom和信安上网行为管理系统是最好的选择，其次是Anyview网络警局域网管理，因为Anyview网络DaLian HangYuan S&T Development Co.,Ltd

上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室

客户经理：孔德清

TEL:0411-39555755-806

FAX:0411-39555755-807 HTTP://www.daodoc.com

大连航远科技发展有限公司

航远服务，真诚永铸！

警需要买一台服务器，部署在交换机和路由器之间。

如果只需要外网监控，那末就需要选择了，Anyview网络警这时不需要部署客户端，但需要买一台服务器，部署在交换机和路由器之间。而信安上网行为管理系统和Phantom则可以任选一台电脑做服务器；缺点是要安装客户端。

五、Winpcap的主要缺陷如下：

1)免费开放的国外代码，因此安全性欠缺；原理上是采用旁听模式，所以无法阻断UDP应用，无法流量限制，并容易数据丢包；阻断规则有可能引起网络中断或无效； 2)原理上决定不适合超过100个电脑的网络环境，如采用老式共享式HUB速度限制在10M带宽损失严重；如采用交换机镜像是共享100M方式，由于一些交换机本身的缺陷，采用镜像后会导致交换机阻塞现象的可能，因此网络带宽会大约损失40%； 3)由于是免费接口只提供总线抓包功能，所以不支持集群环境也不支持任何内网监控功能； 4)由于是高层协议借口同时未提供适合监控的加密压缩数据库；所以不支持即时大规模数据存储，不适合大用户网络；不包含千M、无线网；如需支持多 VLAN或VPN应采用镜像技术，需额外投资支持双向镜像技术的交换机并正确设置和维护；

5)由于提供的接口都是通用的有限代码，缺乏良好的可控性，所以很多功能无法实现；

六、Arp欺骗：

欺骗局域网内计算机，使其他计算机误认为监控计算机为网关计算机，将所有数据发送到监控计算机）只能适合于小型的网络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如网内同时多个旁路将会导致混乱而中断网络。

DaLian HangYuan S&T Development Co.,Ltd

上网行为管理软件比较 大连市沙河口天兴罗斯福C座 2304室

客户经理：孔德清

TEL:0411-39555755-806

FAX:0411-39555755-807 HTTP://www.daodoc.com