深圳德尔软件--网路岗官方博客

网络管理软件为什么选择网路岗？

《网路岗》作为一款专业的上网监控软件、局域网管理软件产品，经过8年的升级换代，目前已发展到第七代，产品功能和稳定性得到丰富和加强，在同类产品中拥有很高的知名度，并得到广大用户的好评，是一款解决企业/学校网络安全的十分受欢迎的产品，每天都有很多人搜索下载我们的监控软件网路岗7代软件安装使用,大家可以看看关于网路岗软件搜索相关的网路岗软件搜索百度指数，从百度指数的数据里可以清楚看到每天都会有2000-10000人次的搜索网路岗7代产品。我们有一支经验丰富的研发队伍，不断探索最新的网络监控、网络管理技术，不久将来，更完美、更强大的上网行为监控产品将呈现给广大用户。

网路岗软件优势.
多种接入方式：旁路式/网关式/拦截式
聊天监控(内容/聊天中的文件传输；监控QQ/Msn/Yahoo Messenger 聊天记录及传输文件内容等)
监控邮件（正文及附件／含Web邮件）
记录/封堵BBS/申请服务/发表文章（外发尺寸限制）
IP与MAC绑定
监控网站访问记录
发消息给客户机
FTP上传文件的记录（上传文件内容和操作命令）
提供上网流量统计
提供完全免费的高速共享上网NAT
周全的上网行为控制规则（分时段封堵各类活动—浏览网页、收发邮件、聊天工具、游戏端口/IP等）
十多种专业的上网统计报表
同时提供多种监控模式：基于网卡、IP
对敏感信息报警（声音报警、邮件报警、短信报警）
提供用户权限设置（分级查阅）
支持大型日志数据转移，查询
能应对各类复杂的网络环境。
跨Vlan环境监控能力很强
内网管控:截取屏幕、操作客户机硬盘、查看市面上决大多数IM工具聊天内容、禁止USB接口、禁止运行任意指定的应用程序（游戏）等
拥有超过8000台以上电脑的客户
同类产品中拥有最多量的国内知名企业客户
完全独立自主的知识产权。 第一章、技术构架

网路岗采用实时处理方式，对网络中的会话流，按通信的收发关系进行检测和审计，提供IP地址、邮件地址、URL和关键词等多种检测审计规则的会话和内容实时监测，对原始传输内容尽心解密、转换编码、多种文档内容的还原、压缩内容进行提取等。

第二章、产品技术特点

应用协议处理功能
支持所有基于 TCP 网络协议的应用会话还原。 支持网络应用协议类型和 IP 地址的过滤。 支持IP地址、URL、邮件地址的提取。 支持邮件附件的提取。

编码处理功能

支持常用的传输编码：BASE64、QuotePrinter、Hex、Bin、UUendecoder,Bit7, Bit8。 支持网页压缩传输编码：deflate, gzip。 支持的字符编码：GB2312、BIG5、ISO－8859－1、UniCode、CJK－JP、Koi8r。

文档转换功能

支持 XML/HTML 到 TXT 文档的转换。
支持 Doc 文档到 TXT 文档的转换。
支持 gzip、rar、zip、arj、lhz 压缩文档的还原。

监测功能

支持 IP、邮件地址类型监测条件的分向监测。
支持 URL 作为监测条件对网络会话行为进行监测。 支持关键词、布尔表达式、组合表达式内容监测条件，并支持关键词的模糊匹配。 提供窗口显示、声音报警、邮件报警、WinPop 等报警方式，并记录报警事件。 支持报警事件的分级定义、显示和处理。

审计功能

支持基于时间、应用协议类型、IP 地址、邮件地址、URL、文种类型等基本审计条
件的会话行为和内容的审计。 支持监测条件类型、事件级别等审计条件的会话行为和内容的审计。 支持关键词表达式的信息内容反查。
支持基于 IP 地址、邮件地址、URL 的统计。 支持基于监测条件类型的统计。 支持应用协议类型的统计。 支持多种类型统计和审计报表的输出：TXT、HTML、XLS。 支持统计结果的直方图、曲线图的输出显示。

2.6 网络流量监测统计功能

基于网络协议监测统计。
基于应用协议监测统计。
基于包大小分布监测统计。
基于网络流量监测统计。

2.7 管理功能

支持监测策略本地和远程的配置和下发。
支持在线数据的备份和自动删除。
支持历史数据的查询审计。
提供多级用户管理，支持不同用户权限的划分。

第三章、监测与审计的对象

基本概念

为了便于用户完整、准确地理解网络信息安全审计系统的技术体系和应用领域，首先对下列概念进行说明。

3.1.1 网络会话

指在网络上为完成某一应用的数据交互而进行的一次通信。包括三个阶段：网络连接的建立、数据传输和连接的拆除。为了叙述方便，下文将网络会话简称为会话。

3.1.2 会话行为

使用者在网络上进行的会话活动。如点击网页、收发电子邮件、网络游戏、视频点播、

上传下载文件等。

3.1.3 会话内容

指在网络上一次网络会话中所传输的内容。例如：发送和接收的邮件、浏览的网页、上传或下载的文件等。

3.1.4 监测策略

使用者为了监测网络的会话行为或会话内容而制定的策略。

3.1.5 监测与审计

监测是一个实时接收数据、处理信息的过程，当监测到满足报警条件的信息时产生报警 信息。审计与实时接收数据的过程无关。审计的目标是对已经接收到的信息的内容进行分析、 比较、判决的过程。

3.1.6 会话行为监测

使用者依据监测策略，对网络上的会话行为进行在线监测。简称行为监测。监测策略是针对被监测对象的上网时间、IP 地址、TCP/UDP 端口号、协议类型等多种监测条件的组合。

3.1.7 会话内容监测

使用者依据监测策略，对网络会话中传输的内容进行在线监测。简称内容监测。

3.1.8 会话行为审计

提取会话行为的特征信息并记录保存，用于事后分析。简称行为审计。

3.1.9 会话内容审计

提取会话内容并进行解码、转换、记录、保存，用于事后分析。简称内容审计。

3.2 行为监测与审计

网络信息安全审计系统对行为监测与审计的项目有:实时监测被监测 对象的上网时间、源地址（IP 和 MAC 地址）、源端口、目标地址（IP 和 MAC 地址）、目的端 口、协议类型等。提取会话行为的特征信息，形成日志并记录保存，用于事后审计。例如可 以专门对 telnet 用户使用的账号、输入命令及命令内容及上网时间等特征信息进行记录保存。

此项功能主要用于：实时记录用户访问网站、收发电子邮件、BBS、聊天次数及数据包流量，并根据监测与审计策略产生报警信息，达到发现不当使用者的目的。

3.3 内容监测与审计

网络信息安全审计系统对内容监测与审计的主要项目有：提取会话内容的特
征信息，形成审计日志并记录保存，对审计日志进行事后分析。

针对 E-mail 的审计项目：源信箱地址、目的信箱地址、收件人、标题、正文和附件信息。
针对 ftp 的审计项目：用户使用的账号、输入命令及传送的文件类型信息。 针对 HTTP 的审计项目：用户使用的 URL、文字和图象信息。 与行为监测与审计的主要区别:
⑴ 行为监测与审计的对象是基于 TCP/IP 传输的网络会话过程，内容监测与审计的对象
是网络会话中传输的内容，如文字内容、图象、语音信息。审计对象不同。
⑵ 行为监测与审计的目的是对用户在网上从事的各种访问行为进行监测记录和分析。 比如：盗用他人帐号、访问黄色、非法网站、滥用网络资源等。管理者通过分析及时发现不 当使用行为，确保网络正常运行；内容监测审计的目的是对用户在网上浏览、下载、上传的各种信息的内容进行筛选过滤。比如：盗窃涉及企业机密的信息、发布攻击政府的言论信息、 散步非法言论等。管理者从中发现敏感信息内容，通过对会话内容的分析，达到发现违法信 息、不当使用者的目的。直接为企业利益提供保护，为执法机构执法提供有价值的证据信息。 会话内容由多种信息编码、文种、语音、图象等因素构成，用于解释、还原会话内容的 技术涉及信息编码、密码、语音处理、图象处理、人工智能等多个前沿技术领域，处理技术 十分复杂，难度很大。在国内，能够涉足上述技术领域并具有开发相关产品能力的企业十分罕见。

第四章、安装方案:

常见情况一:

通过安装“代理服务器软件”或“网路岗NAT”，实现所有机器共享上网。
安装方法：将“网路岗”安装在代理服务器上，绑定内网的网卡，网路岗设置为“非旁路监控”状态。
常见的代理服务器软件：Microsoft ISA/Sygate/Wingate/Winroute/CCProxy/亿特 等等。

常见情况二:

通过“IP分享器、路由器或防火墙”实现整个网络共享一个出口上网，且内部交换机均不具备设置镜像端口的功能。

安装方法：在内部交换机和路由器之间加一共享式HUB，再将安装“网路岗”的机器网线也接入到HUB上，网路岗设置为“旁路监控”状态。

常见情况三:

通过“IP分享器、路由器或防火墙”实现整个网络共享一个出口上网，且内部主交换机具备设置镜像端口的功能。

安装方法：在内部主交换机上设置端口镜像，将接路由器的网线设置为“被镜像端口”，将接“网路岗”的网线设置为“镜像端口”，网路岗设置为“旁路监控”状态。

常见情况四:在一台双网卡电脑上建立“网络桥”，将该“网络桥”放在Internet出口处。

安装方法：直接将“网路岗”安装在启用“网络桥”的机器上，“网路岗”绑靠近内网的网卡，同时给“网络桥”配置IP以使其能访问内部网其他机器。网路岗设置为“非旁路监控”状态。

第五章、网路岗常用技术词语解释

旁路监控

如果用户以硬件路由器（或FireWall)为出口上Internet，为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段：
1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。
2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。
上面实现的监控就是所谓的“旁路监控”。
打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与“旁路监控”。如果设卡监控，那就应该属于“非旁路监控”
优点：
对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。
缺点：
1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。
2、不能封堵UDP通讯包。
3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。

非旁路监控(拦截式)

对“网路岗五代 6.0版或更高”而言，下面情况均属于“非旁路监控”： 

1、客户机通过“代理服务器软件”实现共享上网，而“网路岗”就安装在该代理服务器上。常见的代理服务器软件包括：Sygate/WinGate/MS ISA/MS Proxy/CCProxy/WinRoute 等等。

2、用户启用“网络邻居”--“网卡属性”中“Internet共享上网”选项，“网路岗”安装在该机器上，绑定内网卡进行监控。

3、系统启用“软路由”/“网桥”等功能，“网路岗”安装在该机器上；启用该设置的前提条件是本系统有双网卡。

4、启用网路岗共享上网NAT。

5、启用网路岗“虚拟网卡”功能。
总之，只要客户机需经由某台电脑上网，则都属于“非旁路监控”。
这里特别需要说明的是：以前版本的“网路岗”产品，针对上述各情况，均采用“旁路监控”的技术,正如目前市面上决大多数产品一样；但较新版本的“网路岗”针对上述上网方式，则采用了“旁路监视、拦截过滤”的技术手段，既尽可能少影响网络速度，又能完全封堵UDP通讯包，是一种近乎完美的监控方式。

“基于帐户”的监控也因此更加可靠。
防火墙产品是单纯采用“拦截式”技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。
因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。

基于网卡、基于帐户、基于IP

所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？
“网路岗”提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用“基于网卡”的方式，也就是说以“网卡地址MAC”来作为判断数据包的依据。
相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。
针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。
但是，这种情况，“网路岗”已经充分考虑了其应对策略，我们的客户依然可以选择“基于网卡”的方式，正如单一网段环境一样。
当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择“基于IP”地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。
最后，我们要谈谈“基于帐户”。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是“基于帐户”模式的具体表现。
“基于帐户”的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看，“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。

网桥

先解释一下通常意义下的“网桥”概念。
网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。

网桥通常有透明网桥和源路由选择网桥两大类。

1、透明网桥
简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。

2、源路由选择网桥
源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。

下面图示的是在WinXP系统下创建“网桥”：

同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。
网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？ 不是，用户仍然可以在上面显示的“网络桥”上配置另外的IP。
透明网桥示意图：

左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。
网路岗配置网桥示意图如下：

右击选中打开后如图

通过这两步就配置好网路岗的双网卡网桥功能了，确定退出后再选择启用一下双网卡网桥这个服务就可以了。

虚拟网桥

“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同，仅仅因为其通讯过程类似“网桥”罢了。
通常意义上的“网桥”一般需要两块网卡来实现， 而这里所谓的“虚拟网桥”只需要一块网卡。
下面的网络结构是非常常见的：

机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1
以下是“网路岗”启用“虚拟网桥”功能后，数据包走向图：

当“网路岗”主机启用“虚拟网桥”功能后，从客户机192.168.0.2发向Internet的数据包，先送到“网路岗”主机，然后由“网路岗”主机转发到网关192.168.0.1，反之亦然。
不难看出，要达到一台机器监控整个网络的目的，只需要启用“虚拟网桥”功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。

而实际使用中，该技术的缺点非常明显，虽然“网路岗”已经加入该技术，但有必要向客户交代其中问题所在。
缺点1：客户机盲目安装.
既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。
缺点2：很容易逃避监控
所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。
因此，在单网段环境下，我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段，那么请注意：“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。
如何启用“虚拟网桥”？

3、在NAT/网桥中右击选中并启用“虚拟网桥” 即可，第一次安装启用虚拟网桥的话，电脑需要重新启动一次才可以。

共享上网NAT

“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。

NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。

除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。

跨VLAN/单网段/多网段

VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。

VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

VLAN在交换机上的实现方法，可以大致划分为六类:

1. 基于端口的VLAN（最常应用的一种VLAN划分方法)
2. 基于MAC地址的VLAN
3. 基于网络层协议的VLAN
4. 根据IP组播的VLAN
5. 按策略划分的VLAN
6. 按用户定义、非用户授权划分的VLAN
在监控产品中，所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。
单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0)
多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0)

镜像端口/监控端口/被监控端口

在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是“端口镜像”，如下图：

端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。
市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了“单向接受”模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过“网路岗”针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。
不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。

汇聚MAC

在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的“汇聚MAC”。

建议用“工具”菜单下的“ip包分析工具”抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。

以上是我们网路岗软件的主要的技术特点及常见的监控方式，针对贵公司提出的几点要求，建议使用双网卡网桥方式来监控。这样方式可以有效的封堵下载、聊天、电视、股票、网络游戏等，而使用旁路镜像方式进行监控都是和网桥实现的效果一样，但旁路方式监控的不足之处就是进行相关下载、相关电视封堵时不可以封堵UDP的相关通讯。所以根据贵公司的要求，建议使用网桥方式监控，可以起到更有效的封堵，不过使用网桥方式监控对服务器本身的配置要求比较高，终端机器数如果超过100台的话，建议使用双核处理器，千M网卡。
我们的软件使用何种方监控都是可以导出日志文件，导出的excel报表，也可以在网路岗里查询报表打印，也可以导出来打印。
所有的监控方式都支持分时间段控制上网行为，支持用户分组上网策略控制。

同时这样封堵还不影响用户访问QQ空间，只是空间其中的QQ开心农场不能玩了。

欢迎大家下载网路岗7局域网管理软件，让您可以安全有效快速的管理公司员工的上网行为
网路岗七代官方下载地址：http://www.softbar.com/download.html