现在很多软件不仅仅通过TCP 方式进行通讯,还能够通过UDP方式进行通讯。所以我们在使用超级嗅探狗网络监控软件对网络进行管理的时候还要结合路由器或者防火墙封堵UDP端口。为什么旁路模式不能封堵UDP端口?
1. 首先登陆路由器,在“安全设置- - >防火墙设置”里面对防火墙进行设置,具体设置如下图所示:
这一步需要注意的是:
(1)首先需要勾选“开启防火墙”和“开启IP地址过滤”。
(2)在“缺省过滤规则”当中,一定要选择“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。
2.接下来打开“安全设置-- >IP地址过滤”配置需要禁止的UDP端口,具体配置如下图所示:
常见的网络监控模式可以分为两种:一种是串联监控模式,另一种是旁路监控模式。
旁路模式一般是指通过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口,所以形象的称之为“旁路监控”;而串联模式一般是通过网关或者网桥的模式来进行监控,由于监控设备做为网关或者网桥串联在网络中,所以称之为“串联监控模式”。
旁路模式和串联模式各有其优缺点,比较如下:
旁路模式的优点:
1. 旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥,所以需要对现有网络结构进行变动。
利用交换机的端口镜像功能,可以把镜像源端口的数据包,拷贝到指定的目的端口。从而在管理口可以实现对整个网络的监控管理。
端口镜像功能是通过交换机的硬件芯片来实现的,理论上讲不会对网络产生任何影响。但是在启用了镜像功能后,由于增加了交换机的工作负荷,如果数据量过大或者交换机处理能力不强,有可能会导致交换机变慢。
端口镜像功能是通过交换机的硬件芯片来实现的,理论上讲不会对网络产生任何影响。但是在启用了镜像功能后,由于增加了交换机的工作负荷,不合理的配置会导致数据量过大,从而会导致交换机变慢。
我们在配置镜像的时候,要考虑到几个原则:
网络监控
网络监控这里指的是对使用互联网的人员的上网行为进行监控管理。
网络监控设备
从实现方式上来分可以分为:网络监控软件和网络监控硬件。
网络监控软件只需要在一台监控服务器上面安装,即可对整个局域网的上网行为进行监控管理。
硬件网络监控设备实质上是将软件预先安装在硬件监控系统中,然后捆绑销售给客户。而客户从传统的思维方式认为,硬件的监控系统一定比软件的监控性能要好。实际上是错误的,因为监控系统性能的高低取决于多种因素。
网络监控软件与网络监控硬件相比较的优缺点:
优点:
1. 安装使用方便
软件的试用、升级、安装都比较方便,只要下载安装即可使用;而硬件的试用、升级由于涉及到硬件的替换,比较而言要麻烦一些。
2. 价格方面
网络监控软件的价格不涉及硬件费用,所以相对来说要便宜些。
缺点:
1. 部署方式
网络监控软件一般通过旁路模式(如超级嗅探狗网络监控软件)来进行监控,而网络监控硬件除了旁路模式外,一般都可以还替代网关,部署方式上更加灵活一些。更多旁路监控和串联监控的比较请参见:
2. 兼容性问题
网络监控软件安装时不可避免要与其他的软件共存,这样不可避免就会存在一些兼容性问题。而网络监控硬件则只安装了监控系统,从而几乎不存在兼容性问题。
一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。
配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况,和上网数据。
如下图所示,此例中把1号口镜像到16号口,从而在16号口安装监控软件,即可实现监控。
一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。
配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况和上网数据。有关一些交换机的镜像配置,请参见:超级嗅探狗部署用例。
在没有端口镜像交换机的情况下,可以通过以下三种方式实现监控:
网络技术的不断发展,企事业单位的网络管理人员逐渐意识到网络监控的重要性,因此出现了功能各异,技术不同的监控管理软件。面对市场上良莠不齐的品牌,作为企事业单位的网管人员,如何从中选择能够适合本单位的上网监控需要的网络监控软件,成为非常重要的问题。
软路由是指利用台式机或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能。软路由的好处有很多,你可以使用便宜的台式机+免费的Linux软件来配置软路由。软路由弹性较大,而且台式机处理器性能强大,所以处理效能不错,也较容易扩充。
现在越来越多的客户都询问如何在软路由环境下使用超级嗅探狗实现网络监控。所以本文将以RouterOS为例介绍软路由中如何配置端口镜像并实现监控功能。本例中RouterOS的版本是4.6。
首先安装完RouterOS后使用它自带的winbox登录。
在使用超级嗅探狗监控局域网时,如果交换机的镜像口不允许通讯,或者需要监控的电脑台数比较多,一般需要分开设置通讯网卡和监听网卡。而在windows系统中,当本机有两块网卡时,默认使用第二块网卡进行通讯。如果第二块网卡不是通讯网卡的时候,您的计算机可能会出现无法正常上网的情况。此时,您可以通过设置TCP/IP协议配置中的“自动跃点计数”来解决此问题。
跃点数是windows给特殊网络接口的IP路由分配的值,用来标识与使用该路由有关的成本,系统会自动选择跃点数低的网卡接入网络。Windows XP 中,默认启用“自动跃点计数”功能,为较慢的网络接口分配较高的跃点数,强制流向Internet的所有流量使用可用的最快网络接口。同样,您可以通过手动配置跃点数,使系统通过你所配置的网卡接入网络。
QQ之类的聊天软件一般都会自动转换端口,从而绕开防火墙的封堵。以QQ为例,默认是通过UDP8000端口进行通讯,一旦8000端口不通,会自动转换到TCP 80和443。由于80端口和443都是上网的必需端口,导致禁止QQ比较困难。参见“QQ通讯协议”。
利用超级嗅探狗的协议特征识别功能,可以根据特征动态识别QQ连接。但是由于超级嗅探狗是采用旁路监控封堵的模式,不能禁止UDP连接。所以还需要在路由器和防火墙上面禁止掉相应的UDP端口才能完全禁止QQ。请参见:利用超级嗅探狗和路由器禁止QQ聊天和QQ传文件。
本文主要演示在没有路由器的情况下,如何在网关服务器上面,利用WIPFW防火墙来禁止UDP端口,从而实现QQ的禁止。WIPFW是一款Windows平台上的防火墙产品,可以配置不同的规则过滤网络数据包。