局域网流量控制和管理一直是网络管理的一个难题。 一般来说，对局域网流量的监控限制有两个解决方案：

1. 串联方式的流量分配。

Linux操作系统中的流量控制器（Traffic Control）可以通过在输出端口处建立一个队列来实现流量控制。通过使用一台linux的网关，即可设置每台机器的流量。市场上也有相应的产品（一般是硬件产品）可以做到流量分配。 这个方案的关键是必须要使用网关或者网桥的连接方式，所以对网速会有一定的影响。 另外，固定的流量分配使用起来比较呆板，不能使互联网带宽得到有效利用。比如：在上网带宽很空闲的情况下，客户机仍然只能使用分配到的流量，从而造成了带宽资源的浪费。 优点在于可以精确的分配流量。

2. 旁路方式的流量限制。

如果不需要精确的分配流量，那么通过旁路方式的监控也可以做到流量的监控。旁路监控方式是通过交换机的端口镜像功能，对数据进行分析还原。同样也可以监控到每台机器的上网流量，并且可以禁止P2P软件使用。旁路方式的优点是部署方便，不会影响网速。缺点是不能做到精确的分配流量。 以超级嗅探狗为例，对流量控制方面可以做到如下功能： 1. 实时流量监视，监视每台电脑的实时流量。 2. 禁止带宽耗用比较多的协议，如：P2P、在线视频、下载等。 3. 在流量高峰时禁止某些电脑上网。如：当实时上网带宽到达了总带宽的80％时，禁止某些电脑上网。

利用超级嗅探狗监控软件进行流量管理？

超级嗅探狗只需要在一台电脑上面安装就可以管理整个局域网。下面是具体的步骤演示：

超级嗅探狗3.3版即将发布，新版本增加了流量管理、带宽管理、Url关键词过滤、网站访问限时等功能，使网络管理更加方便。 1. 流量管理功能，可以限制每台电脑一定时间内的流量大小。超过流量时可以禁止某些类型的网络访问。 2. 带宽管理功能，可以在局域网上网带宽占用过高时，禁止某些电脑上网。 3. Url关键词过滤，对网址中出现的关键词进行过滤，从而可以禁止用户搜索违禁关键词。支持近50个分类的关键词。 4. 网站限制访问，对指定分类的网站限制访问时间，比如：新闻类网站每天只允许1小时。 还有其他很多新增功能哦，赶快试试吧：[URL=http://www.imfirewall.com/download_trial.htm]免费下载[/URL]

  随着网络应用的普及和互联网内容的爆炸性增长，对局域网内用户的上网行为加以管理已经是一个很现实的问题。  目前影响企业网络环境和员工工作效率的网络应用主要分为3大部分。    1. 网页浏览    截止06年底，全球网站数量已经过亿，各类娱乐、色情、游戏、宗教等网站不可计数。而据统计，员工上网一半的时间都是用来浏览网页。所以，上网行为管理的第一条是要可以对不同的网页分类访问进行管理，网页分类越细，管理程度也就越细。从管理需要来说，网页分类至少要在20类以上，分别要涵盖：娱乐、色情、技术、学习、游戏、下载、黑客、新闻、搜索引擎等等。具体可以参见[URL=http://www.imfirewall.com/wfilter_webcatalog.htm]超级嗅探狗网页分类[/URL]。    2. 上网聊天    上网聊天基本耗去了员工上网的另外一半时间。所以对聊天软件的管理是上网管理的第二重点。聊天软件的管理主要有两点： 1. 封堵 2. 过滤。 对不需要用的聊天软件一律禁止使用。对需要使用的聊天软件限制使用，或者只允许某些有权限的员工使用。

P2P、在线视频等软件很容易就可以占用掉局域网大部分上网带宽，流量限制和流量管理已经成为每一个网管人员都要面临的问题。

首先，我们先了解一下占用流量最多的几类应用：

1. P2P下载，如BT、电骡、迅雷等。 2. 在线视频，如PPLive、PPStream等软件，视频软件现在都采用了P2P技术，一台电脑可以产生几百个连接，从而耗掉全部带宽资源。 3. 大文件的下载，如电影下载、视频文件下载等等。

下面我们再演示一下如何用超级嗅探狗来限制流量。

超级嗅探狗只需要在一台电脑上面安装就可以管理整个局域网。下面是具体的步骤演示。

现在很多公司用了AD域来进行管理，而传统的监控软件一般都是基于IP或者MAC来监控的。这样如果有些员工的电脑不固定或者到用别人机器上网的话，就不能适用正确的监控策略。 超级嗅探狗支持和AD域结合，可以给每个账号设置上网策略，从而实现了真正的基于账号监控。

第一步：启用帐户监控

[IMG]upload/accountConf.jpg[/IMG] 如图1.1所示，在“帐户配置”页面中，点击“是”，选择一帐户类别，点击“保存配置”。

PPLive等流媒体软件采用了P2P技术进行通讯，会占用大量带宽。 超级嗅探狗3.2版本中加强了对相关软件的支持，可以分时段禁止常用的PPLIVE, QQ直播，PPStream等软件。 一机安装即可管理全网。 如下图：

web信息的爆炸式增长，使我们可以很便捷的查询到需要的资料，提高工作效率；但是也会使我们耗费大量的时间阅读新闻、体育、娱乐、论坛等信息。 对访问的网络资源进行管理刻不容缓。 超级嗅探狗上网管理软件的网页过滤模块给您提供了以下管理手段： 1. 网站黑名单：把一些不允许访问的网站禁止掉。 2. 网站白名单：只允许访问白名单里面的网站。 3. 网页分类过滤： 提供7大分类，50小分类。可以管理不同分类的网站，比如：在工作时间禁止掉娱乐类、下载类网站。 更多网页过滤信息，请参见：http://www.imfirewall.com

股市变幻牵动人心，但是工作时间炒股大大影响了工作效率，并且可能会造成无心工作，引起不需要的损失。 利用超级嗅探狗可以按时段禁止或者允许股票软件的使用，使工作时间的网络行为纳入公司的管理范围。并且在一台电脑上面安装即可管理全网。 对工作时间炒股的管理，主要通过两种策略来实现： 1. 禁止工作时间使用行情、交易软件。 2. 禁止工作时间访问财经类站点。 如下图：

P2P技术的迅猛发展使的对P2P流量进行管理不可或缺。但是，由于P2P通讯的复杂性，对P2P协议的准确识别一直是一大难题。 对P2P协议进行识别的传统方法主要有： 1. 端口范围，比如老的bt协议的6883-6889的端口范围。 2. 特征匹配。通过数据包中的一些特征进行识别。 近两年来，为了避开网络监控，越来越多的P2P软件，典型的有bt，emule，都采用了加密协议和模糊特征。而且大部分P2P软件在默认端口被禁止的情况下，都能自动转换端口，并且支持通过80端口来进行通讯。所以传统的识别技术面临很大挑战。 下一代的P2P识别技术，必然要综合更多的因素进行考虑，才能准确识别P2P协议。

 互联网已经是企业办公必不可或缺的工具。但是局域网内没有控制的上网、聊天、游戏等上网行为，却严重影响了工作效率；并且带来病毒、木马等危害企业局域网网络安全的恶意应用程序；更严重的话，有可能会给企业带来法律纠纷。 那么，如何对企业局域网上网行为进行控制呢？

局域网上网控制的三个方面

一般来说，要从以下三方面入手：

1. 建立企业上网制度建立企业局域网上网秩序。

  随着越来越多的软件采用了P2P技术进行通讯，一两台电脑使用的P2P软件就可以抢占掉一个局域网的全部带宽资源。而且目前P2P的使用非常广泛：下载、在线视频、网络电视...，可以说随处都可以看到P2P的影子。   所以，为了保证企业网络的正常稳定运行，必须对流量进行监控和限制。   一般来说，对局域网流量的监控限制有两个解决方案：   1. 对每台机器分配流量。   Linux操作系统中的流量控制器（Traffic Control）可以通过在输出端口处建立一个队列来实现流量控制。通过使用一台linux的网关，即可设置每台机器的流量。市场上也有相应的产品（一般是硬件产品）可以做到流量分配。这个方案的关键是必须要使用网关或者网桥的连接方式，所以对网速会有一定的影响。   2. 监控每台机器的网络流量，同时禁止P2P软件的使用。   如果不需要精确的分配流量，那么通过旁路方式的监控也可以做到流量的监控。旁路监控方式是通过交换机的端口镜像功能，对数据进行分析还原。同样也可以监控到每台机器的上网流量，并且可以禁止P2P软件使用。旁路方式的优点是部署方便，不会影响网速。缺点是不能做到精确的分配流量。   这两个方案的原理、实施方式和成本都有一定的区别。  

 对于大多数企业来说，互联网已经是必不可缺的工具。但是没有控制的上网、聊天、游戏等上网行为，却严重影响了工作效率；并且带来病毒、木马等危害企业网络安全的恶意应用程序；更严重的话，有可能会给企业带来法律纠纷。  那么，如何对企业局域网上网行为进行限制呢？  一般来说，要从以下三方面入手：  1. 建立企业上网制度。     通过行政手段，建立相应的秩序。  2. 监控并且保留上网记录。     采用一些监控软件，对互联网访问行为进行监控记录。使员工的网络行为有据可查。  3. 用技术手段对网络行为进行过滤和禁止。     利用相应工具，过滤掉不需要访问的网站，并且禁止P2P、网络电视、聊天软件...等严重影响工作效率的互联网应用程序。

   随着网络应用的普及和互联网内容的爆炸性增长，企业对员工的上网行为加以管理已经是一个很现实的问题。 本文主要对上网行为管理的几个主要方面加以阐述，希望能够对企业上网管理有所帮助。    目前影响企业网络环境和员工工作效率的网络应用主要分为3大部分。    1. 网页浏览    截止06年底，全球网站数量已经过亿，各类娱乐、色情、游戏、宗教等网站不可计数。而据统计，员工上网一半的时间都是用来浏览网页。所以，上网行为管理的第一条是要可以对不同的网页分类访问进行管理，网页分类越细，管理程度也就越细。从管理需要来说，网页分类至少要在20类以上，分别要涵盖：娱乐、色情、技术、学习、游戏、下载、黑客、新闻、搜索引擎等等。具体可以参见[URL=http://www.imfirewall.com/wfilter_webcatalog.htm]超级嗅探狗网页分类[/URL]。    2. 上网聊天    上网聊天基本耗去了员工上网的另外一半时间。所以对聊天软件的管理是上网管理的第二重点。聊天软件的管理主要有两点： 1. 封堵 2. 过滤。 对不需要用的聊天软件一律禁止使用。对需要使用的聊天软件限制使用，或者只允许某些有权限的员工使用。    3. P2P下载、网络视频和文件传输    P2P下载、网络视频、文件传输不但占用大量的资源，而且很容易带来各种病毒从而破坏局域网稳定性。我建议P2P软件、网络视频软件一律封杀。禁止下载不明来源的软件。    网络管理方方面面的东西很多，对于企业上网管理来说，以上3方面就是上网行为管理的三剑客，缺一不可。    

如何禁止MSN文件传输？

MSN, QQ, Yahoo等聊天软件支持的文件传输功能给我们带来了很大的便利，不过也给企业的局域网管理、上网管理带来了很大的挑战。不受管理的文件传输往往会带来病毒，木马等恶意软件，危害企业的局域网安全。  但是，各种聊天软件都采用多种传输方式来绕开防火墙的封堵，从而使禁止聊天软件的文件传输成为一项很艰难的任务。  以MSN为例，MSN文件传输目前已经发现4种传输方式，如下：  1. 如果两个MSN中有一个可以直接连接到互联网上，那么一般会采用直接连接来传输文件。这个方式的传输速度是最快的。而直接连接又存在如下3种方式，这3种方式的端口都是不固定的。  1.1) 直接TCP连接。  1.2) TLS加密的TCP连接。  1.3) 直接UDP通讯。  2. 如果两个MSN无法直接连接，MSN服务器会充当“中转站”来传输文件。这个情况下，MSN会使用当前聊天的TCP连接进行传输。

某公司上网管理规定

关于使用计算机和互联网工具的规定 为有助于大家合理利用工作时间，高效率地完成各项工作目标，更好地营造积极向上的工作氛围，在不影响大家正常收发工作邮件和有准备地上网查询工作相关资料的情况下，特对工作时间内使用计算机和互联网工具做如下规定： 1、为养成良好的工作习惯，公司对互联网使用实行定时开放，特殊情况灵活处理的管理办法。具体细则如下： 通用规定 时间 互联网浏览 MSN QQ/个人事务 周一～周五    9:00 ～12:00 禁止登录任何网站。 特殊情况下技术支持工作申请使用； 禁止使用。    12:00 ～13:00 工作相关部分网站 1、特殊情况下技术支持工作申请使用； 2、XX,XX有限度使用； 13:00 ～14:00 工作相关部分网站 （研发人员除外） 14:00 ～17:00 禁止登录任何网站。 17:00 ～18:00 工作相关部分网站 其它时间 所有网站。 开放。

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。 23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。 25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。 53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。 67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。

对于管理者来说，如何提高工作效率，优化管理模式，是一门艺术．针对某一个具体方面却只需要小小的技巧而已．比如：如何禁止公网邮箱．不可否认邮箱的种种优点，而在具体工作中我们需要的却只是一丝不苟的工作状态．

我们不但可以进行信息的检索，在相应的网站上找到我们需要的信息，我们还可以网上购物，网上找工作等等．只要有相应的网站，我们就可以找到我们想要的任何信息．如果在工作时段因非工作目的做这些呢？那结果就是另外一回事了．相反的，只会影响工作效率的提高，可是有些企业出于工作需要考虑又不得不开放网络，这之间便成了一个鱼与熊掌的矛盾，给管理带来了很大的不便．

在监控过程中，为了记录用户的上网行为，超级嗅探狗会自动将这些行为记录在临时文件中。如果用户访问了有病毒的网站，或者传送了携带病毒的文件，超级嗅探狗可能将这些病毒信息写入到临时文件夹中，从而有可能引起杀毒软件的告警。超级嗅探狗虽然记录了这些病毒信息，可是不会触发病毒，而且这些临时文件都会被定期删除，不会感染电脑。

信息的共享，搜索引擎的发展使得员工通过互联网可以方便的获取信息，同时也给管理者的管理带来了不方便。在日常工作中，员工经常需要使用邮件，聊天工具来交流。如果员工在上班时间，收看网络视频，听音乐，聊私人QQ，不仅会降低工作效率，占用公司网络带宽。现在很多的在线电影携带木马、病毒，给公司网络带来潜在的安全问题。如何监督和管理员工的网络行为，限制员工上网，封堵网络电视，封堵股票软件，封堵QQ。

随着网络技术的发展，人们之间的信息交流变得越来越迅速和便捷。对于80后的一代，网络 在生活中所占的地位更加非同一般。“E-mail”和“QQ”也早已不是什么新鲜的词汇。而网 络邮箱以及很多聊天软件的开发商也在不断的增强其软件的功能，使得用户可以更加方便和 有效的传输信息。其中文件传输已经是作为一项很基本的功能实现。人们可以以附件的方式 将文件通过邮箱传输给对方，或者直接通过聊天工具传输文件。

   网络化的办公环境给我们的工作带来很大的方便，我们可以通过搜索引擎获得需要的信息，可以通过邮件，聊天工具和客户交流。虽然给员工带来了方便，可是却给管理者带来了管理上的不便。在工作时间使用聊天工具聊天，不但降低了工作效率，而且有可能被某些员工作为泄漏商业秘密的工具。聊天工具QQ，在中国拥有相当多的使用者，很多公司的销售人员都是通过QQ和客户、厂家联系，通过QQ给客户远程协助。假如公司的某一销售人员辞职，而他一直用他的私人QQ和客户联系，那么该员工等于带走了公司的客户，这对公司来说，丢失客户是很大的损失。      

互联网网络聊天、电子邮件等网络行为的兴起，给企业内部的网络管理带来很大的挑战。 不加管理的聊天、邮件等行为一方面会影响工作效率，另外一方面也会带来企业机密泄漏等隐患，而且加大了感染病毒的风险。 所以，对企事业单位来说，有必要对聊天、邮件等行为进行管理，制定一套合理的互联网访问策略制度，并且在必要时记录聊天邮件等内容。

那么怎样来对企业局域网进行监控呢？

从技术角度来说，一般有两种方案。 一种是在每台机器上安装客户端软件，然后通过一个集中的服务器进行管理。还有一种方案是通过交换机的网管功能，在一台电脑上安装网管软件进行监控。 在每台电脑上安装客户端软件可以对客户机进行全面的监视和控制，一般可以做到截取屏幕、禁止运行各类软件等等。 缺点在于安装麻烦，必须每台机器逐一安装，而且重装机器等也需要重新安装软件。最致命的问题在于一旦客户机安装了防火墙等软件，会严重影响监控客户端的运行。 第二种方案的优势在于部署方便，一机安装即可监控全网。缺点在于不能截屏、也不能监控加密的内容。只能监控常见的网络通讯：比如网页浏览、邮件收发、MSN聊天等。 应该说，两者各有侧重。客户端可以获得对客户机的全面控制，但是全网的管理的成本比较高，尤其不适合比较大的网络。 而网络监控更加侧重管理功能，不能截取屏幕，但是部署成本低，网络管理的优势比较明显。

昨天深夜偶见一贴，名为“监视员工的聊天记录——我们是在犯罪么？？！！”很多人回复，大多数还是觉得这个是侵犯隐私的。后来又在google搜索相关监控，上网，隐私等话题，很多的数据，无数的实例。相关法律依据我们暂且不表，因为那个都是明文写的一清二楚。新中国都成立五十周年了，法律健全不健全不是你，我，他可以说清楚的。什么CCTV的案例我们也不说，什么一方说到被监控的是在裸奔，另一方说监控的是在侵犯隐私我们也不争论。    我们单从企业监控的目的，方式以及位置来说。首先：企业的监控目的。企业实现监控，本意并不在要看你聊天内容，邮件内容，上网内容，无非就是一个意思，上班时间好好上班。总共上班时间就八小时，根据一些官方数据，员工八小时上班，其中最少有两个小时花在和上班无关的上网活动中。这点对企业的损失又将如何处理。中国的人力工资已经够低了，是选择减少两个小时的工资还是让企业有一个完善的工具来告示员工：“嘿，现在是上班时间，该干活了”这些我们都不涉及那些通过邮件，聊天文件等将公司资料，资源带走的行为。那个就是违法了。退一万步讲，你在公司的公共场合用公共电脑和公共网络把你的隐私在网络上传播给别人。想不说裸奔都难，所以请穿好您的衣服，眼睛很好奇的。用法律术语就是：您已经放弃了您的隐私权了，何来偷窥？何来侵犯？

祝贺“超级嗅探狗”被百度百科收录。 详情请见： [URL=http://baike.baidu.com/view/626018.htm]http://baike.baidu.com/view/626018.htm[/URL]