WFilter部署方案介紹
1. 概述
WFilter(超級嗅探狗)只需要安裝在一臺電腦上就可以監控整個局域網的上網行為,但是這臺電腦必須處在一個可以看到其他電腦上網數據包的位置。總的來說,有兩種部署方案:
- 旁路監控模式:在交換機或者路由器上面配置一個“鏡像端口”,把監控主機接到“鏡像端口”來實現監控。
- 串聯監控模式:把監控主機配置成“網關”、“網橋”或者“代理服務器”,并使其他電腦通過該服務器來上網,從而實現監控。
2. 旁路監控模式介紹
a. 旁路監控模式的優點
旁路監控模式是對當前網絡影響最小的監控模式。
- 充分利用已有硬件的功能,部署方便,不會影響現有的網絡結構。
- 不會對網速造成任何影響。旁路模式分析的是鏡像端口拷貝過來的數據,對原始數據包不會造成延時。
- 旁路監控設備一旦故障或者停止運行,不會影響現有網絡。
- 旁路監控模式一樣可以對上網行為進行控制。
b. 缺點
- 需要交換機或者路由支持“端口鏡像”功能才可以實現監控。
- 旁路模式采用發送RST包的方式來斷開TCP連接,不能禁止UDP通訊。對于UDP應用,一般還需要在路由器上面禁止UDP端口進行配合。請參考:如何在路由器上禁止相關的UDP端口?
網絡拓撲圖如下(要求路由器有“端口鏡像”或者“端口監控”功能):
相關例子如下:
網絡拓撲圖如下(要求交換機有“端口鏡像”或者“端口監控”功能):
相關例子如下:
還有一些其他的旁路方案,相關例子如下:
建議您在WFilter的“插件管理”中安裝“旁路部署助手”插件來獲取適合您網絡的旁路監控方案。
3. 串聯監控模式介紹
a. 串聯監控模式的優點
- 利用windows自帶的“網關”、“網橋”功能即可實現,不需要硬件設備的支持。
- 可以禁止UDP通訊數據包,不需要在路由器或者防火墻上禁止UDP端口。
b. 缺點
- 需要更改現有的網絡結構。
- 與“旁路監控”相比較,“網關”、“網橋”的配置更加復雜些,需要一定的技術能力。
- 串聯服務器如果負荷太大或者感染病毒,有可能會影響網速。
用一臺雙網卡windows作為網橋,不需要修改網絡結構就可以把該網橋直接串接在網絡中進行監控,是串聯模式的首選方案。網絡拓撲圖如下:
相關例子如下:
用一臺雙網卡windows作為網關,并且在該網關上安裝WFilter來實現監控。該方案一般需要對網絡結構進行相應的改動。網絡結構如下:
相關例子如下:
還有一些不太常見的其他方案,如下:
4. 監控方案專題
更多關于旁路模式禁止UDP,在虛擬機中安裝WFilter方案,賬號監控方案,多網段根據mac監控方案,無線監控方案等內容,請參見具體的專題,專題列表如下: