WFilter的“SSL监控”模块,可以对https以及SSL加密的smtp/imap/pop3的内容进行解密从而记录其内容。该SSL监控模块,既可以对电脑进行管控,而且对手机一样生效。但是要不影响客户机的正常使用,首先需要在客户机上安装ca证书。电脑上安装ca证书比较简单,我们不再赘述。本文中,我将介绍如何在苹果手机(iphone)上安装SSL监控的ca证书,从而实现对iphone的SSL监控。
10
2019
09
05
2017
12
白话https的传输原理以及管控方式以及SSL加密!
说到https,不得不提http(HyperText Transfer Protocol)这个互联网上用的最广泛的网络协议,其技术架构,协议功能,协议原理百度或者google都有详细解释。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在这个S上,SSL加密,通常理解,https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢,SSL是一个目前应用非常广泛的一种非对称加密方式,也是公认破解不了的。安全,又好用,所以才能广泛应用,除了http,邮件的pop3,smtp,IM通讯等等,都能用上,是个很好的加密方式。起初用https通常都是金融类网站用到财务交易,时光如水,岁月如歌,IT技术一日百里的飞速发展,现在很多门户网站,企业网站也都逐渐使用https协议,这个也是事实的趋势。概念就是这个概念了,那么https如何监控管理呢?以下说明是献给非专业IT技术人员,非专业码农的。为了大家都能明白,可能有些叙述比较幼稚和粗浅,请多多理解。
24
2017
02
WFilter上网行为管理软件和客户端监控软件的比较
WFilter上网行为管理软件(WFilter ICF)是基于网络监控技术的上网行为管理软件,其原理和客户端监控(内网监控)的技术原理有着很大的差异。
本文将分析这两种方案的优缺点,以协助您做出正确的选择。
26
2016
12
WFilter的网页分类技术简介
一个有效的网址库是上网行为管理产品进行网页过滤的基本条件。现在市场上的大部分上网行为管理产品,都自带了网址库功能,但是各家的实现方式差别挺大的。大部分厂商都着重于宣传自己的“大”,动辄号称几千万网址库,殊不知相对于数以亿计(2015年网站总数已经超过3亿)的互联网而言,千万级的网址库也只是覆盖了一小部分而已。
WFilter系列上网行为管理产品,在”网址库“方面,采用了如下三种技术:
自带基本百万级网址库;涵盖alex排名前百万的网站列表。
本地自动分类技术;对于未知的网站类型,可以基于网站的内容,实时进行自动分类。
云主机分类技术;对于未知的网址类型,可以发送到我们的网站分类云主机进行查询,由主机进行分类后返回。
21
2016
12
如何自定义网页分类?
网址库是网页过滤的基础。网页分类就是根据网站的内容,将网站分为什么类型,比如门户网站、购物类、信息类、技术类等等等。这样的产品早在N年前,Websence,surfcontrol就有号称千万级的网址库,甚至有些国内的行为管理硬件,动辄需要1T的内存空间,都是因为网址库不够精简的原因。但是互联网的网址就跟汪洋大海的海水一样,数不过来。
实际使用过程中,尤其是工作局域网环境,只会访问到网址库中1%的网址,其余的99%网址库几乎不用。这样大型网址库的优点仅有一个就是“大型”而这样的“大型”网址库也会造成软件性能滞后,软件自身文件过大。
WFilter系统产品的网址库收录了常用的百万级网址(实时更新),但是互联网的工作内容又是千变万化,如果网址库的定义不够,我们另外有动态网址分类,让您根据自己的目标,要求去定义您对网站分类的理解或者新增您的网站分类。
除了自带的60多种网页分类外,您还可以在“WFilter上网行为管理软件”中根据管理需要自定义网页分类。具体步骤如下:
14
2016
12
如何监控https网站的访问记录?
HTTPS就是HTTP over SSL(通过SSL加密的HTTP网页浏览协议),而SSL采用了非对称密钥的加密方式,在目前的硬件条件下,不知道私钥是不可能解密SSL的密文的。
对于HTTP的网页浏览内容,“WFilter(超级嗅探狗)”和“WFilter上网行为管理系统(WFilter NGF)”无需额外配置,都可以直接记录网址、网页标题和浏览器类型。但是,对于https的访问,默认情况下,只能记录域名。如下图:
29
2016
11
怎么监控客户机登陆的域账号?
域服务器使用越来越广泛了,对于局域网设备机动使用的,用了域账号,能准确管理到位。那么如何监控到客户机登陆的域账号呢?
本文将介绍如何用”WFilter(超级嗅探狗)“软件来监控局域网客户机登录的域账号。
05
2014
08
WFilter 4.1新增多网段根据MAC地址监控的方案
1. 什么是根据MAC地址监控?
WFilter支持“根据IP地址监控”和“根据MAC地址监控”两种方案(如果您有AD域,还可以根据域账号进行监控)。“根据MAC地址监控”模式下,WFilter通过被监控设备的物理MAC地址来进行识别,即使客户机修改了IP(或者自动获取了一个新的IP),仍然可以准确识别。所以“MAC监控模式”在自动获取IP地址,或者IP地址不固定的网络中,有很大的优越性。
我们一般建议用户采用如下的监控方式:
- 已经是固定IP或者可以实现固定IP的情况下,优先采用“根据IP监控”的模式。
- 动态IP的局域网,单网段情况下,优先采用“根据MAC监控”模式。
2. 多网段根据MAC监控方案
多网段的情况下,由于三层交换机的存在,屏蔽了客户机实际的MAC地址,从而无法直接实现“根据MAC地址”监控。
19
2014
05
如何同步WFilter数据库?
一个WFilter监控主机可以监控一个局域网的上网行为,当您有多个局域网需要管理的时候,需要在每个网络都安装一套WFilter才可以。
为管理多个WFilter服务器,我们推荐您在WFilter界面中直接切换到不同的服务器进行查看。请参考:[URL=http://imfirewall.com/blog/post/148.html]如何集中管理多个超级嗅探狗监控服务器?[/URL]
有些情况下,个别用户可能需要把数据集中存放以便于管理。要实现这样的功能,您必须安装WFilter的数据库版本。从而利用数据库的管理功能来同步WFilter数据库。
本例中,我们将演示如何用mysqldump来同步WFilter数据库(mysql版本)
14
2014
04
如何使用Wfilter进行网页推送?
10
2014
03
WFilter 4.1版本压力测试播报:监控5000台毫无压力
根据我们最新的压力测试,WFilter(超级嗅探狗)4.1版本的性能得到了大幅提升,监控5000台毫无压力,相比4.0大幅提升啦。 测试环境是Server 2008 R2,dlink千兆交换机。测试机的内存只有2G、CPU是Intel Celeron E3200@2.4GHZ。由于测试的硬件配置比较低,带机量还存在大幅的上升空间。 [IMG]upload/wfilter_performance_1.png[/IMG] [IMG]upload/wfilter_performance_2.png[/IMG]
22
2012
08
巧用Excel对WFilter(超级嗅探狗)网页明细统计报表进行二次统计
15
2012
02
超级嗅探狗增加了终端服务器监控方案!
10
2011
10
如何在D-Link 7300路由器上禁止UDP端口1024-65534?
我们在使用超级嗅探狗网络监控软件对网络进行监控管理的时候还要结合路由器或者防火墙封堵UDP端口。为什么旁路模式不能封堵UDP端口?
本例中演示了如何在dlink 7300路由器上面禁止UDP端口。
1. 首先登陆路由器,在“网络安全- - >防火墙设置”里面对防火墙进行设置,具体设置如下图所示:
30
2011
08
如何在D-Link路由器上禁止UDP端口1024-65534?
现在很多软件不仅仅通过TCP 方式进行通讯,还能够通过UDP方式进行通讯。所以我们在使用超级嗅探狗网络监控软件对网络进行管理的时候还要结合路由器或者防火墙封堵UDP端口。为什么旁路模式不能封堵UDP端口?
1. 首先登陆路由器,在“高级-->防火墙&DMZ”里面对防火墙进行设置,具体设置如下图所示:
05
2011
08
在多宽带接入的网络环境中,如何利用超级嗅探狗实现多个宽带的封堵?
有些公司会采用多宽带接入的方式来联接互联网,例如,公司内部有20台电脑通过两条独立的ADSL宽带上网,10台划分为192.168.1.0网段,通过192.168.1.1的路由器上网;另外10台划分为192.168.2.0网段,通过192.168.2.1的路由器上网。
这种环境下实现监控,一般是把两台路由器同时接到镜像交换机上,然后在镜像端口安装超级嗅探狗来实现监控。
但是由于这两个网段互相独立,而且这两个路由器之间并不能互相转发数据,导致在默认配置下,超级嗅探狗只能禁止其中一个网段的上网行为。要实现同时可以禁止多个网段,需要修改嗅探狗电脑的“子网掩码”配置,使嗅探狗的电脑同时属于这两个网段。
21
2010
10
如何在TPLink 路由器上禁止UDP端口1024-65534?
现在很多软件不仅仅通过TCP 方式进行通讯,还能够通过UDP方式进行通讯。所以我们在使用超级嗅探狗网络监控软件对网络进行管理的时候还要结合路由器或者防火墙封堵UDP端口。[URL=http://imfirewall.com/blog/post/108.html]为什么旁路模式不能封堵UDP端口?[/URL]
1. 首先登陆路由器,在“安全设置- - >防火墙设置”里面对防火墙进行设置,具体设置如下图所示:
这一步需要注意的是:
(1)首先需要勾选“开启防火墙”和“开启IP地址过滤”。
(2)在“缺省过滤规则”当中,一定要选择“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。
2.接下来打开“安全设置-- >IP地址过滤”配置需要禁止的UDP端口,具体配置如下图所示:
03
2010
09
旁路监控和串联监控的比较
常见的网络监控模式可以分为两种:一种是串联监控模式,另一种是旁路监控模式。
旁路模式一般是指通过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口,所以形象的称之为“旁路监控”;而串联模式一般是通过网关或者网桥的模式来进行监控,由于监控设备做为网关或者网桥串联在网络中,所以称之为“串联监控模式”。
旁路模式和串联模式各有其优缺点,比较如下:
[B]旁路模式的优点:[/B]
1. 旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥,所以需要对现有网络结构进行变动。
03
2010
09
端口镜像对网络有什么影响?交换机镜像影响网速吗?
利用交换机的端口镜像功能,可以把镜像源端口的数据包,拷贝到指定的目的端口。从而在管理口可以实现对整个网络的监控管理。
端口镜像功能是通过交换机的硬件芯片来实现的,理论上讲不会对网络产生任何影响。但是在启用了镜像功能后,不合理的配置会导致数据量过大,从而导致镜像口丢包。
所以我们在配置镜像的时候,要考虑到几个原则:
1. 尽量采用一对一镜像。就是说,一个镜像源端口对应一个目的端口。试想一下,如果你把两个100M口的数据都发送到一个100M的目的端口,目的端口怎么能够来得及处理呢。
2. 如果由于某些原因必须要有多个镜像源端口,一定要考虑到每个源端口的最大流量,总和不能超过目标端口(一般是100M),否则会有丢包。
3.如果只需要对上网情况进行监测,只镜像互联网数据即可。
4. 在交换机不支持镜像口通讯的情况下,或者监控的电脑台数比较多时(超过50台),建议使用两块网卡:一块用于监听、另外一块用于封堵和通讯。
02
2010
09
网络监控软件和网络监控硬件,防火墙的区别
[B]网络监控[/B]
网络监控这里指的是对使用互联网的人员的上网行为进行监控管理。
[B]网络监控设备[/B]
从实现方式上来分可以分为:网络监控软件和网络监控硬件。
网络监控软件只需要在一台监控服务器上面安装,即可对整个局域网的上网行为进行监控管理。
硬件网络监控设备实质上是将软件预先安装在硬件监控系统中,然后捆绑销售给客户。而客户从传统的思维方式认为,硬件的监控系统一定比软件的监控性能要好。实际上是错误的,因为监控系统性能的高低取决于多种因素。
网络监控软件与网络监控硬件相比较的优缺点:
[B]优点:[/B]
[B]1. 安装使用方便[/B]
软件的试用、升级、安装都比较方便,只要下载安装即可使用;而硬件的试用、升级由于涉及到硬件的替换,比较而言要麻烦一些。
[B]2. 价格方面[/B]
网络监控软件的价格不涉及硬件费用,所以相对来说要便宜些。
[B]缺点:[/B]
[B]1. 部署方式[/B]
网络监控软件一般通过旁路模式(如超级嗅探狗网络监控软件)来进行监控,而网络监控硬件除了旁路模式外,一般都可以还替代网关,部署方式上更加灵活一些。更多旁路监控和串联监控的比较请参见:
[B]2. 兼容性问题[/B]
网络监控软件安装时不可避免要与其他的软件共存,这样不可避免就会存在一些兼容性问题。而网络监控硬件则只安装了监控系统,从而几乎不存在兼容性问题。
31
2010
08
端口镜像与端口映射的区别
端口镜像(Port Mirroring)
一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。
配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况,和上网数据。
如下图所示,此例中把1号口镜像到16号口,从而在16号口安装监控软件,即可实现监控。
27
2010
08
为什么网络监控需要镜像交换机?没有镜像交换机如何监控上网行为?
1. 为什么需要镜像交换机实现监控?
1.1 端口镜像交换机与普通交换机有什么不同?
一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。
配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况和上网数据。有关一些交换机的镜像配置,请参见:[URL=http://www.imfirewall.com/help/doc/deployment_example.htm]超级嗅探狗部署用例[/URL]。
1.2 如何判断交换机是否有端口镜像功能?
一般可以通过查看交换机的说明文档或者web配置界面来判断。
A 如果文档介绍中声称此交换机支持“端口镜像”或者“支持网管功能”,那么该交换机就可以支持端口镜像。如:
[IMG]upload/TPL.jpg[/IMG] [IMG]upload/HW.jpg[/IMG]
B 查看交换机的配置界面,如果存在“端口镜像”、“端口监控”之类的功能。就说明此交换机支持端口镜像。
[IMG]upload/H3CS.JPG[/IMG]
02
2010
07
局域网监控软件有哪些?
网络技术的不断发展,企事业单位的网络管理人员逐渐意识到网络监控的重要性,因此出现了功能各异,技术不同的监控管理软件。面对市场上良莠不齐的品牌,作为企事业单位的网管人员,如何从中选择能够适合本单位的上网监控需要的网络监控软件,成为非常重要的问题。
16
2009
12
超级嗅探狗使用两块网卡进行监控时上不了网的解决办法。
在使用超级嗅探狗监控局域网时,如果交换机的镜像口不允许通讯,或者需要监控的电脑台数比较多,一般需要分开设置通讯网卡和监听网卡。而在windows系统中,当本机有两块网卡时,默认使用第二块网卡进行通讯。如果第二块网卡不是通讯网卡的时候,您的计算机可能会出现无法正常上网的情况。此时,您可以通过设置TCP/IP协议配置中的“自动跃点计数”来解决此问题。
跃点数是windows给特殊网络接口的IP路由分配的值,用来标识与使用该路由有关的成本,系统会自动选择跃点数低的网卡接入网络。Windows XP 中,默认启用“自动跃点计数”功能,为较慢的网络接口分配较高的跃点数,强制流向Internet的所有流量使用可用的最快网络接口。同样,您可以通过手动配置跃点数,使系统通过你所配置的网卡接入网络。