10
2014
02

WFilter网关 + 无线AP的部署方案

  有些小型局域网只通过一个无线路由器接入,而且没有支持镜像的交换机或者路由器。这样的情况下,可以采用本文中演示的方案:“把安装WFilter的电脑配置为网关,然后把无线路由器当成无线AP来提供无线服务”。   网络结构如下图: [IMG]upload/web-1.jpg[/IMG]
24
2013
09

如何用WFilter同时监控多个局域网?

本文将介绍如何用WFilter来监控多个局域网(多个互联网接入)。由于每个镜像只监控到一个局域网,那么要在一台监控主机上监控多个局域网时,需要使用多块网卡,每块网卡都接到一个镜像端口。然后在WFilter的“系统配置”->“监控配置”中配置多个监控网卡来进行监控。

1. 网络拓扑图

以同时监控两个局域网为例,如下图:

[IMG]upload/morelanMon01.jpg[/IMG]

请注意:两个局域网的网段不能设置成一样,否则监控记录会混淆。分别设置不同的网段,比如:192.168.1.x,192.168.2.x。

13
2013
06

什么情况下需要用两块网卡来进行监控?

在“旁路”过滤模式(通过镜像端口实现监控)下,WFilter(超级嗅探狗)通过在“通讯网卡”上发送RST包来阻断TCP连接。所以如果通讯网卡不能通讯或者通讯不畅,就可以导致封堵功能不起作用。

什么情况下需要用两块网卡

一般情况,用同一块网卡就可以同时实现监控和封堵,当下列情况出现时,需要用两块网卡。

1. 交换机的镜像端口不允许通讯。有些交换机是不允许镜像上网的,该镜像口只能收包,不能发包。你可以在监控的电脑上ping其他的电脑来检查这一项。改变交换机的设置(如果支持的话)或者增加一个独立的通讯网卡就可以解决这个问题。比如Cisco交换机有一个参数“ingress”,它能允许镜像端口进行通讯。

2. 监听网卡过于繁忙。由于镜像端口要接收其他电脑的上网数据包,网络压力大时网卡的负荷会很大。如果需要监控50台及以上的电脑,我们建议您使用两块网卡。点击“系统配置”—>“配置检测”可以检查监控网卡是否存在此问题(存在此问题时会提示“封堵效率过低”)。

27
2013
03

如何用network tap来实现监控?

1、Network Tap简介

网路分流器(Network Tap)可以透明串联在网络中实现网络流量的监控。相比较镜像交换机而言,network tap有以下优点:

  1. 即插即用,不需要电源就可以工作。
  2. 利用网线来实现监控,不会影响网速。
  3. 成本低,自己就可以手工制作。

网上有很多如何自己制作network tap的帖子,有兴趣的同学可以自己尝试下,请参见:

17
2013
01

超级嗅探狗多部门管理技巧

对于有多个部门的公司,各部门一般有不同的上网权限,如果部门内部的人员变动和策略设置都由IT部门来设置的话会比较麻烦。 在这种情况下,可以给每个部门单独设置一个操作员,这个操作员只能看到本部门的电脑的上网记录、报表,也能给本部门的员工设置上网策略。 本例中将演示如何用超级嗅探狗来设置多部门操作员。
24
2012
07

如何在VMware ESXi环境下部署WFilter(超级嗅探狗)?

随着虚拟化技术的日趋成熟,越来越多的用户选择使用VMWare ESXi来搭建自己的虚拟化平台,本文着重介绍如何在VMWare ESXi中部署WFilter(超级嗅探狗)来实现监控。

在VMware ESXi环境下,WFilter(超级嗅探狗)可以支持两种部署方式:旁路模式和串联模式,有关这两种模式的区别和优缺点,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]

旁路模式监控时,只需要在一台虚拟机中安装WFilter,然后开启虚拟交换机的混杂模式即可。但是由于旁路模式无法禁止UDP通讯,还需要在上层的路由器或者防火墙设备上禁止UDP端口才可以,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口?[/URL]

本文主要介绍如何在ESXi环境中,用串联模式来部署WFilter。串联模式不需要在上层设备禁止UDP端口即可实现WFilter的所有功能。

26
2010
11

如何用Cisco2950交换机实现网络监控,Cisco2950交换机网络监控方案

用超级嗅探狗局域网管理软件实现网络监控,需要把安装超级嗅探狗的电脑接到交换机的“镜像端口”上面。本例将以Cisco2950交换机为例,介绍如何通过Cisco2950交换机来实现局域网网络监控管理。此例也适用于Cisco的其他交换机,如Cisco 2960, Cisco 3750等。

下面本文将以Cisco2950为例,介绍如何配置镜像端口,部署监控软件。

更多内容请参考:

[URL=http://www.imfirewall.com/blog/post/102.html]网络监控为什么需要端口镜像交换机?[/URL]

[URL=http://www.imfirewall.com/blog/post/110.html]如何判断端口镜像是否成功?[/URL]

1. 监控部署

某公司电信光纤接入, CISCO2950作为中心交换机。网络拓扑图如下:

26
2010
11

如何通过D-link3226进行局域网监控,D-Link3226交换机网络监控方案

用超级嗅探狗局域网监控软件实现网络监控,需要把安装超级嗅探狗的电脑接到交换机的“镜像端口”上面。本例将以D-Link3226交换机为例,介绍如何通过D-Link3226交换机来实现局域网网络监控管理。此例也同样适用于D-Link的其他支持端口镜像的交换机。

下面本文将着重介绍如何通过D-Link3226交换机实现网络监控。

更多内容请参考:[URL=http://www.imfirewall.com/blog/post/102.html]网络监控为什么需要端口镜像交换机?

[URL=http://www.imfirewall.com/blog/post/110.html]如何判断端口镜像是否成功?[/URL]

17
2010
09

无线网络监控部署方案,无线网络环境如何实施局域网监控?

现在很多公司都采用笔记本电脑办公,但是出于工作效率方面的考虑,很多公司都希望进行网络监控。这种既有有线网络又有无线网络的情况下,想要实现网络监控就比较困难。下面将介绍怎样在这样的情况下实现监控。

[B]1. 通过串联有线路由实现监控。[/B]

某网络环境如下图,ADSL接入到linksys宽带路由器(BEFSR41),然后通过“cisco无线AP”(Cisco 1200)搭建一无线局域网环境。 局域网内既有通过无线上网的机器,又有有线上网的机器。

[IMG]upload/wireless network deployment.jpg[/IMG]

在本例中,为了能同时对有线环境的机器和无线环境的机器进行监控。我们增加了一个TPLINK的镜像交换机(TL-SL2210WEB)。并且需要对无线AP进行设置。 如上图中框内部分。

TPlink镜像交换机的设置如下图: [IMG]upload/tplink_zh.jpg[/IMG]

通过无线AP上网的机器,经过无线AP后,IP地址会被统一转换,这样我们就不能区分。所以,需要禁止无线AP的NAT功能。有两种方式可以禁止:1)有的无线AP有自带的禁止功能,可以直接禁止无线AP的NAT功能;2)如果没有自带的功能,可以手动将无线AP的广域网口接线转到LAN口上,使其NAT功能失效。

09
2010
09

如何判断端口镜像配置是否成功?镜像不成功的常见原因

网络实现监控,就需要端口镜像的支持。但是,我们常常会发现镜像端口已经配置好了,可还是不能实现监控。下面将介绍4种可能导致镜像端口配置不成功的原因:

1. 配置的镜像端口和实际连接的不一致。比如镜像的是5号端口,但是实际连接的是6号端口,建议检查一下接线。

2. 超级嗅探狗实现监控需要双向(发送+接收)数据包,如果只镜像了单向数据是无法实现监控的。

3. 安装嗅探狗的电脑要直接接到镜像端口。

4. 超级嗅探狗设置不正确。

5. 监控主机的杀毒软件或者防火墙原因。有些杀毒软件或者防火墙会自动丢弃掉非本机的数据包。建议关掉防火墙和杀毒软件以排除其影响。已知的有影响的软件有:NOD32,、瑞星。具体配置请查看: