WFilter的“SSL监控”模块，可以对https以及SSL加密的smtp/imap/pop3的内容进行解密从而记录其内容。该SSL监控模块，既可以对电脑进行管控，而且对手机一样生效。但是要不影响客户机的正常使用，首先需要在客户机上安装ca证书。电脑上安装ca证书比较简单，我们不再赘述。本文中，我将介绍如何在苹果手机（iphone）上安装SSL监控的ca证书，从而实现对iphone的SSL监控。

1. 开启SSL监控

说到https，不得不提http（HyperText Transfer Protocol）这个互联网上用的最广泛的网络协议，其技术架构，协议功能，协议原理百度或者google都有详细解释。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在这个S上，SSL加密，通常理解，https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢，SSL是一个目前应用非常广泛的一种非对称加密方式，也是公认破解不了的。安全，又好用，所以才能广泛应用，除了http,邮件的pop3,smtp，IM通讯等等，都能用上，是个很好的加密方式。起初用https通常都是金融类网站用到财务交易，时光如水，岁月如歌，IT技术一日百里的飞速发展，现在很多门户网站，企业网站也都逐渐使用https协议，这个也是事实的趋势。概念就是这个概念了，那么https如何监控管理呢？以下说明是献给非专业IT技术人员，非专业码农的。为了大家都能明白，可能有些叙述比较幼稚和粗浅，请多多理解。

WFilter上网行为管理软件（WFilter ICF）是基于网络监控技术的上网行为管理软件，其原理和客户端监控（内网监控）的技术原理有着很大的差异。

本文将分析这两种方案的优缺点，以协助您做出正确的选择。

一个有效的网址库是上网行为管理产品进行网页过滤的基本条件。现在市场上的大部分上网行为管理产品，都自带了网址库功能，但是各家的实现方式差别挺大的。大部分厂商都着重于宣传自己的“大”，动辄号称几千万网址库，殊不知相对于数以亿计（2015年网站总数已经超过3亿）的互联网而言，千万级的网址库也只是覆盖了一小部分而已。

WFilter系列上网行为管理产品，在”网址库“方面，采用了如下三种技术：

1. 自带基本百万级网址库；涵盖alex排名前百万的网站列表。

2. 本地自动分类技术；对于未知的网站类型，可以基于网站的内容，实时进行自动分类。

3. 云主机分类技术；对于未知的网址类型，可以发送到我们的网站分类云主机进行查询，由主机进行分类后返回。

网址库是网页过滤的基础。网页分类就是根据网站的内容，将网站分为什么类型，比如门户网站、购物类、信息类、技术类等等等。这样的产品早在N年前，Websence，surfcontrol就有号称千万级的网址库，甚至有些国内的行为管理硬件，动辄需要1T的内存空间，都是因为网址库不够精简的原因。但是互联网的网址就跟汪洋大海的海水一样，数不过来。

实际使用过程中，尤其是工作局域网环境，只会访问到网址库中1%的网址，其余的99%网址库几乎不用。这样大型网址库的优点仅有一个就是“大型”而这样的“大型”网址库也会造成软件性能滞后，软件自身文件过大。

WFilter系统产品的网址库收录了常用的百万级网址（实时更新），但是互联网的工作内容又是千变万化，如果网址库的定义不够，我们另外有动态网址分类，让您根据自己的目标，要求去定义您对网站分类的理解或者新增您的网站分类。

除了自带的60多种网页分类外，您还可以在“WFilter上网行为管理软件”中根据管理需要自定义网页分类。具体步骤如下：

HTTPS就是HTTP over SSL（通过SSL加密的HTTP网页浏览协议），而SSL采用了非对称密钥的加密方式，在目前的硬件条件下，不知道私钥是不可能解密SSL的密文的。

对于HTTP的网页浏览内容，“WFilter（超级嗅探狗）”和“WFilter上网行为管理系统（WFilter NGF）”无需额外配置，都可以直接记录网址、网页标题和浏览器类型。但是，对于https的访问，默认情况下，只能记录域名。如下图：

域服务器使用越来越广泛了，对于局域网设备机动使用的，用了域账号，能准确管理到位。那么如何监控到客户机登陆的域账号呢？

本文将介绍如何用”WFilter（超级嗅探狗）“软件来监控局域网客户机登录的域账号。

1. 什么是根据MAC地址监控？

WFilter支持“根据IP地址监控”和“根据MAC地址监控”两种方案（如果您有AD域，还可以根据域账号进行监控）。“根据MAC地址监控”模式下，WFilter通过被监控设备的物理MAC地址来进行识别，即使客户机修改了IP（或者自动获取了一个新的IP），仍然可以准确识别。所以“MAC监控模式”在自动获取IP地址，或者IP地址不固定的网络中，有很大的优越性。

我们一般建议用户采用如下的监控方式：

1. 已经是固定IP或者可以实现固定IP的情况下，优先采用“根据IP监控”的模式。
2. 动态IP的局域网，单网段情况下，优先采用“根据MAC监控”模式。

2. 多网段根据MAC监控方案

多网段的情况下，由于三层交换机的存在，屏蔽了客户机实际的MAC地址，从而无法直接实现“根据MAC地址”监控。

一个WFilter监控主机可以监控一个局域网的上网行为，当您有多个局域网需要管理的时候，需要在每个网络都安装一套WFilter才可以。

为管理多个WFilter服务器，我们推荐您在WFilter界面中直接切换到不同的服务器进行查看。请参考：[URL=http://www.imfirewall.com/blog/post/148.html]如何集中管理多个超级嗅探狗监控服务器？[/URL]

有些情况下，个别用户可能需要把数据集中存放以便于管理。要实现这样的功能，您必须安装WFilter的数据库版本。从而利用数据库的管理功能来同步WFilter数据库。

本例中，我们将演示如何用mysqldump来同步WFilter数据库（mysql版本）

WFilter（超级嗅探狗）4.1版本中新增了“网页推送”功能，可以在满足指定条件时给客户机来推送web页面，它可以用于企业公告、内容推送、报表推送等功能的实现。 本例中，我们将演示如何使用WFilter进行网页推送。

根据我们最新的压力测试，WFilter（超级嗅探狗）4.1版本的性能得到了大幅提升，监控5000台毫无压力，相比4.0大幅提升啦。 测试环境是Server 2008 R2，dlink千兆交换机。测试机的内存只有2G、CPU是Intel Celeron E3200@2.4GHZ。由于测试的硬件配置比较低，带机量还存在大幅的上升空间。 [IMG]upload/wfilter_performance_1.png[/IMG] [IMG]upload/wfilter_performance_2.png[/IMG]

虽然WFilter（超级嗅探狗）提供了一系列的统计报表，但是有时候您可能需要对数据进行一些处理。以“网页明细统计”报表为例，该报表列出了日期、姓名、网站分类、网站、访问次数的信息。如果您需要按日期求和，可以先把该报表导出为csv格式，然后在excel中利用“数据透视”功能进行二次统计。

终端服务给企业局域网的网络管理带来了很多好处，不少企业都在自己的局域网内架设了终端服务器来提供网络服务。但是，因为客户端都共享了终端服务器的网络资源，所以传统的基于IP或者MAC地址的上网行为管理无法对终端服务器上的不同用户进行监控和管理。 最新发布的超级嗅探狗zh.4.0.200版本新增了代理服务器用户验证功能，使用WFilter（超级嗅探狗）的“帐号监控功能”和“代理服务器功能”相结合，可以监控到终端服务器上的不同用户，且可以给每个用户设置单独的上网策略。 具体方案请参考：[URL=http://www.imfirewall.com/help/doc/WFilter_monitor_terminalserver.htm]如何监控终端服务器上不同用户的上网行为?[/URL]

我们在使用超级嗅探狗网络监控软件对网络进行监控管理的时候还要结合路由器或者防火墙封堵UDP端口。为什么旁路模式不能封堵UDP端口？

本例中演示了如何在dlink 7300路由器上面禁止UDP端口。

1. 首先登陆路由器，在“网络安全- - >防火墙设置”里面对防火墙进行设置，具体设置如下图所示：

现在很多软件不仅仅通过TCP 方式进行通讯，还能够通过UDP方式进行通讯。所以我们在使用超级嗅探狗网络监控软件对网络进行管理的时候还要结合路由器或者防火墙封堵UDP端口。为什么旁路模式不能封堵UDP端口？

1. 首先登陆路由器，在“高级-->防火墙&DMZ”里面对防火墙进行设置，具体设置如下图所示：