网络监控程序

网络监控管理

一、网络监控软件定义：指针对局域网内的计算机进行监视和控制，针

对内部的电脑上互联网活动（上网监控）以及非上网相关的内部行为与

资产等过程管理（内网监控；所以包含了上网监控（上网行为监视和控

制、上网行为安全审计）和内网监控（内网行为监视、控制、软硬件资

产管理、数据与信息安全），有些还增加了数据安全的透明加密软件部

署；

1.一台电脑控制整个网络,只需要在出口做镜像就可以监视和控制

整个网络;

2.能够控制5000多种企业邮箱和备份邮件的软件;

3.可以实时监控看到每台电脑的行为的控制软件;

4.可以对聊天和邮件论坛博客进行内容过滤的网络控制软件;

5.可以对流量进行10余种分类并进行控制的旁路软件;

6.可以简体/繁体/英文/日文/韩文无缝切换的网络控制软件;

7.可以实现一键监控7000余种财经网站，80多种股票软件,上万个

股票IP;

8.网络控制软件是自我实现的系统，不需要单独的数据库支持;

二、网络监控的必要性：

互联网的飞速发展，互联网的使用越来越普遍，网络和互联网不

仅成为企业内部的沟通桥梁，也是企业和外部进行各类业务往来的重要

管道。

首先，我们谈谈email。比起传统信件，email速度快，还更有效

率，在许多企业，电子邮件已渐渐具备正式公文的性质，企业档案资料

的管理已不仅限于各类纸张文挡，也包括各类来往的电子邮件。如果对

电子邮件进行管理、备份，企业可更有效地管理对内对外的档案。方便

的email，也可能被员工当作有意或无意泄漏机密的主要管道。据调

查，美国大约四分之三的大型企业，利用特殊软件，检查员工的电子邮

件，防止泄漏公司机密。电子邮件也正在变成调查犯罪的重要证据，许

多案件都追查过嫌犯的电子邮件，发现他们使用的讯息类型，以及在网

络上找到的讯息等。许多证券公司，都根据规定，将企业往来的电子邮

件，储存一段时间。基于此，对企业电子邮件进行备份已经相当必要。

同样，互联网的其他应用，如最基本的网页浏览功能，msn、QQ等IM

即时通讯工具，Google、百度等搜索引擎，以及企业网站等等，也越

来越成为企业必不可少的业务通道。一句话，我们已经进入了互联网时

代。

三、网络监控监控的基本功能包含：

局域网网络监控除了对上网行为监控外还应包含内网监控；目前

的发展趋势下除了以上两部分监控外继续增加了对数据安全的管理，因

为假如你只是监视而数据已经流失出去，那么监控本身也就失去了最核

心的意义了；所以越来越多地采用了透明加密软件；一个完整的网络监

控软件应包含的上网监控和内网监控两部分,目前做的完整的网络监控

软件，已经包含了以下所有的功能了；

（1）上网监控软件基本功能（上网行为管理、网络行为审计、内

容监视、上网行为控制）

应包含如下基本功能：上网监控、网页浏览监控、邮件监控、

Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带

宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、网络行

为审计、操作员审计、软网关功能、端口映射和PPPOE拨号支持、通

过WEB方式发送文件的监视、通过IM聊天工具发送文件的监视和控制

等；

（2）内网监控软件基本功能（内网行为管理、屏幕监视、软硬件

资产管理、数据安全）

应包含如下基本功能：内网监控、屏幕监视和录象、软硬件资产

管理、光驱和USB等硬件禁止、应用软件限制、打印监控、ARP火墙、

消息发布、日志报警、远程文件自动备份功能、禁止修改本地连接属

性、禁止聊天工具传输文件、通过网页发送文件监视、远程文件资源管

理、支持远程关机注销等、支持MSN/MSNshell/新浪

UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/googletalk/淘宝旺旺/飞

信/UUCALL/TM/QQ聊天记录等功能；数据安全部分一般为单独的透明

加密软件；

四、网络监控软件的分类：

1、按照最关键的核心驱动程序不同，网络监控软件分成三大类：

（1）免费WINPCAP驱动的或使用WINPCAP修改的版本：

这些共同的特点是安装需要HUB或镜像，采用旁听模式，无法限

制UDP和流量限制；产品名称很多：比如聚生网管、网路岗、P2P终结

者等；由于旁听模式的天生缺点，为了弥补这个缺点，所以很多产品都

采用了ARP欺骗的模式，所以当路由绑定IP和MAC或绑定ARP，如采

用ARP欺骗方式的软件将失去作用，或被监视电脑安装ARP火墙也将失

效；

(2)采用自主研发的核心抓包驱动

因为winpcap的开源性，政府、军队、事业单位都无法完全的信赖

采用使用winpcap核心的产品，这样促使一些厂商开始研发自己的抓包

引擎，目前国内最显著的就是上海百络研发的基于kercap核心的百络网

警。

（3）采用NDIS中间层驱动，基本都是自主开发，因为没有免费

的接口；

共同的特点是支持4种工作模式：网桥模式、网关模式、旁路模

式、旁听模式；

2、按照功能性质不同，又区分为上网行为管理和内网监控软件；

五、网络监控软件4种工作模式（4个安装部署方法）：

1、网关模式：原理是把本机作为其他电脑的网关（设置被监视电

脑的默认网关指向本机），分别可以作为单网卡方式和双网卡甚至多网

卡方式，原始的PROXY模式目前基本淘汰了一般不再有人采用，目前

常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因

此控制力极强，但由于存储转发的方式，性能多少有点损失；不过效率

已经比较好了；缺陷是假如网关死了，全网就瘫痪了；

2、网桥模式：原理是双网卡做成透明桥，而桥是工作在第2层

的，所以可以简单理解为桥为一条网线，因此性能是最好的几乎没有损

失；WINPCAP本身并不支持该模式；该模式可以说是最理想的了，即

使桥坏了，只要简单做个跳线就可以了，因为桥是透明的可以看成网

线，即使桥坏了就可以理解为网线坏了换一条而已；支持多VLAN、无

线、千M万M、以及VPN、多出口等等几乎所有的网络情况，原因很简

单，因为透明桥嘛等于理解为那是网线而已；

3、旁路模式：原理是使用ARP技术建立虚拟网关，只能适合于小

型的网络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视

电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一

边却正在旁路，所以自相矛盾；同时如网内同时多个旁路将会导致混乱

而中断网络；但只要条件该方式是最简单的部署以及最方便的安装设

置；

4、旁听模式：原理是旁路监听，就如两个人电话边上有一个并机

在听，因此效率就非常低了，该模式需要采用共享式HUB或交换机镜

像；可是如采用老式的共享式HUB将影响网络出口性能；如采用镜像模

式，一方面需要投资支持双向的镜像交换机设备，另一方面需要专业的

人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低

网络性能；而根本的问题是很功能就失去了；旁听模式原理性缺陷导致

UDP阻断无法完美实现，也会严重损失网络带宽，同时无法实现比如流

量限制等很多功能；一般来说，至少损失40%以上的网络性能；而

WINPCAP就是采用该模式工作的，正因为如此无论是性能功能就根本

上决定了天生的缺陷；

六、网络视频监控系统规划

系统采用基于网络的客户/服务器架构的数字监控系统：数字监控

系统。该系统可实现数字影像监控以及与警报系统联动等功能。（参考

网络架构图）

1.“影像视频服务器”，可以将前端摄像机模拟影像转换为数字影

像，通过网络接口将数字影像传输到Intranet局域网络上。KF-3504可

连接4路前端影像，KF-3516可连接16路前端影像；

2.具备串行接口，可连接云台解码器，实现对前端云台/镜头进行

控制功能；

3.接口可连接各种报警/警报设备，实现报警联动功能，比如可与

门禁系统的I/O连接，实现刷卡录像，遥控开门等功能；

4.监控中心运行KF-3500远端监控系统软件，进行远程影像监控/

录像管理等功能；

5.远程监看主机可访问监控点影像，实现远程监控/管理功能。

系统功能

5.1实时影像监控：

在监控中心监控主机上，接收来自监控点的实时影像，可进行手

动录像、定时录像、报警录像、移动检测录像；分控不同监控点的摄像

机；遥控云台转动；遥控摄像机的镜头，如拉远/拉近/聚焦等；4/9/16

分割画面轮跳；可随时播放、停格、快转等。

5.2数字影像录像：

支持多种数字影像录像方式，如预约录像和报警联动录像等；在

监控终端上方便地检索历史影像，如按时间、地点、事件等参数。可以

方便地回放选定的录像，如暂停、快进/退、慢进/退等。

5.3报警联动：

可与现场的各种报警传感设备/警报设备联动。

5.4远程访问：

连入Internet的主机可对监控点影像进行远程监看/控制。