WFilter部署方案介紹
1. 概述
WFilter(超級嗅探狗)只需要安裝在一臺電腦上就可以監(jiān)控整個局域網(wǎng)的上網(wǎng)行為,但是這臺電腦必須處在一個可以看到其他電腦上網(wǎng)數(shù)據(jù)包的位置。總的來說,有兩種部署方案:
- 旁路監(jiān)控模式:在交換機或者路由器上面配置一個“鏡像端口”,把監(jiān)控主機接到“鏡像端口”來實現(xiàn)監(jiān)控。
- 串聯(lián)監(jiān)控模式:把監(jiān)控主機配置成“網(wǎng)關(guān)”、“網(wǎng)橋”或者“代理服務(wù)器”,并使其他電腦通過該服務(wù)器來上網(wǎng),從而實現(xiàn)監(jiān)控。
2. 旁路監(jiān)控模式介紹
a. 旁路監(jiān)控模式的優(yōu)點
旁路監(jiān)控模式是對當前網(wǎng)絡(luò)影響最小的監(jiān)控模式。
- 充分利用已有硬件的功能,部署方便,不會影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。
- 不會對網(wǎng)速造成任何影響。旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù),對原始數(shù)據(jù)包不會造成延時。
- 旁路監(jiān)控設(shè)備一旦故障或者停止運行,不會影響現(xiàn)有網(wǎng)絡(luò)。
- 旁路監(jiān)控模式一樣可以對上網(wǎng)行為進行控制。
b. 缺點
- 需要交換機或者路由支持“端口鏡像”功能才可以實現(xiàn)監(jiān)控。
- 旁路模式采用發(fā)送RST包的方式來斷開TCP連接,不能禁止UDP通訊。對于UDP應(yīng)用,一般還需要在路由器上面禁止UDP端口進行配合。請參考:如何在路由器上禁止相關(guān)的UDP端口?
網(wǎng)絡(luò)拓撲圖如下(要求路由器有“端口鏡像”或者“端口監(jiān)控”功能):
相關(guān)例子如下:
網(wǎng)絡(luò)拓撲圖如下(要求交換機有“端口鏡像”或者“端口監(jiān)控”功能):
相關(guān)例子如下:
還有一些其他的旁路方案,相關(guān)例子如下:
建議您在WFilter的“插件管理”中安裝“旁路部署助手”插件來獲取適合您網(wǎng)絡(luò)的旁路監(jiān)控方案。
3. 串聯(lián)監(jiān)控模式介紹
a. 串聯(lián)監(jiān)控模式的優(yōu)點
- 利用windows自帶的“網(wǎng)關(guān)”、“網(wǎng)橋”功能即可實現(xiàn),不需要硬件設(shè)備的支持。
- 可以禁止UDP通訊數(shù)據(jù)包,不需要在路由器或者防火墻上禁止UDP端口。
b. 缺點
- 需要更改現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。
- 與“旁路監(jiān)控”相比較,“網(wǎng)關(guān)”、“網(wǎng)橋”的配置更加復(fù)雜些,需要一定的技術(shù)能力。
- 串聯(lián)服務(wù)器如果負荷太大或者感染病毒,有可能會影響網(wǎng)速。
用一臺雙網(wǎng)卡windows作為網(wǎng)橋,不需要修改網(wǎng)絡(luò)結(jié)構(gòu)就可以把該網(wǎng)橋直接串接在網(wǎng)絡(luò)中進行監(jiān)控,是串聯(lián)模式的首選方案。網(wǎng)絡(luò)拓撲圖如下:
相關(guān)例子如下:
用一臺雙網(wǎng)卡windows作為網(wǎng)關(guān),并且在該網(wǎng)關(guān)上安裝WFilter來實現(xiàn)監(jiān)控。該方案一般需要對網(wǎng)絡(luò)結(jié)構(gòu)進行相應(yīng)的改動。網(wǎng)絡(luò)結(jié)構(gòu)如下:
相關(guān)例子如下:
還有一些不太常見的其他方案,如下:
4. 監(jiān)控方案專題
更多關(guān)于旁路模式禁止UDP,在虛擬機中安裝WFilter方案,賬號監(jiān)控方案,多網(wǎng)段根據(jù)mac監(jiān)控方案,無線監(jiān)控方案等內(nèi)容,請參見具體的專題,專題列表如下:
