WFilter部署方案介绍

1. 概述

WFilter(超级嗅探狗)只需要安装在一台电脑上就可以监控整个局域网的上网行为,但是这台电脑必须处在一个可以看到其他电脑上网数据包的位置。总的来说,有两种部署方案:

  1. 旁路监控模式:在交换机或者路由器上面配置一个“镜像端口”,把监控主机接到“镜像端口”来实现监控。
  2. 串联监控模式:把监控主机配置成“网关”、“网桥”或者“代理服务器”,并使其他电脑通过该服务器来上网,从而实现监控。

2. 旁路监控模式介绍

a. 旁路监控模式的优点

旁路监控模式是对当前网络影响最小的监控模式。

  • 充分利用已有硬件的功能,部署方便,不会影响现有的网络结构。
  • 不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时。
  • 旁路监控设备一旦故障或者停止运行,不会影响现有网络。
  • 旁路监控模式一样可以对上网行为进行控制。

b. 缺点

  • 需要交换机或者路由支持“端口镜像”功能才可以实现监控。
  • 旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对于UDP应用,一般还需要在路由器上面禁止UDP端口进行配合。请参考:如何在路由器上禁止相关的UDP端口?

网络拓扑图如下(要求路由器有“端口镜像”或者“端口监控”功能):

相关例子如下:

  1. Tplink R478路由器
  2. H3C ER5200路由器
  3. H3C ER3260路由器
  4. Cisco RVS4000路由器
  5. Cisco CVR100W路由器
  6. 飞鱼星路由器
  7. 艾泰HiPer_2620路由器
  8. 海蜘蛛软路由

建议您在WFilter的“插件管理”中安装“旁路部署助手”插件来获取适合您网络的旁路监控方案。

3. 串联监控模式介绍

a. 串联监控模式的优点

  • 利用windows自带的“网关”、“网桥”功能即可实现,不需要硬件设备的支持。
  • 可以禁止UDP通讯数据包,不需要在路由器或者防火墙上禁止UDP端口。

b. 缺点

  • 需要更改现有的网络结构。
  • 与“旁路监控”相比较,“网关”、“网桥”的配置更加复杂些,需要一定的技术能力。
  • 串联服务器如果负荷太大或者感染病毒,有可能会影响网速。

用一台双网卡windows作为网桥,不需要修改网络结构就可以把该网桥直接串接在网络中进行监控,是串联模式的首选方案。网络拓扑图如下:

相关例子如下:

  1. 用Windows XP搭建网桥
  2. 用Windows 8搭建网桥

用一台双网卡windows作为网关,并且在该网关上安装WFilter来实现监控。该方案一般需要对网络结构进行相应的改动。网络结构如下:

相关例子如下:

  1. 用Windows 2003作为网关
  2. 用Windows 2012作为网关
  3. Win7网关 + 无线AP

还有一些不太常见的其他方案,如下:

  1. 用代理服务器部署WFilter
  2. 把WFilter本机作为无线热点
 

4. 监控方案专题

更多关于旁路模式禁止UDP在虚拟机中安装WFilter方案账号监控方案多网段根据mac监控方案无线监控方案等内容,请参见具体的专题,专题列表如下: