网路岗第五代
1 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
网路岗第五代
使用手册
研制单位:深圳市德尔软件技术有限公司
二??五年八月二十一日
官方网站: 研制单位:深圳市徳尔软件技术有限公司
2 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
目 录
第一部分:产品安装与初步调试 ......................................................................................................................... 3 第二部分:产品升级与卸载 ................................................................................................................................. 8
第三部分:各种网络监控模式 ............................................................................................................................. 9
一、基于网卡的网络监控模式 ..................................................................................................................... 9
二、基于IP的网络监控模式 ..................................................................................................................... 11
三、基于帐户的网络监控模式 ................................................................................................................... 13 第四部分:网路岗NAT ...................................................................................................................................... 18
一、NAT基本知识 ...................................................................................................................................... 18
二、安装网路岗NAT .................................................................................................................................. 19
三、网路岗NAT的过滤规则 ..................................................................................................................... 20 第五部分:常见系统配置 ................................................................................................................................... 21
一、网络定义 ............................................................................................................................................... 21
二、监控项目 ............................................................................................................................................... 22
三、监控时间 ............................................................................................................................................... 22
四、端口配置 ............................................................................................................................................... 23
五、空闲IP .................................................................................................................................................. 23
第六部分:上网规则 ........................................................................................................................................... 23
一、上网....................................................................................................................................................... 23
二、网页过滤 ............................................................................................................................................... 24
三、过滤库................................................................................................................................................... 24
四、上网反馈 ............................................................................................................................................... 25
六、邮件过滤 ............................................................................................................................................... 26
七、IP过滤 .................................................................................................................................................. 26
八、封堵端口 ............................................................................................................................................... 27
九、外发尺寸 ............................................................................................................................................... 28
十、限制流量 ............................................................................................................................................... 28
十一、绑定IP .............................................................................................................................................. 29
十二、监控项目 ........................................................................................................................................... 30
第七部分:日志查阅及日志报表 ....................................................................................................................... 30
一、查阅网络活动日志 ............................................................................................................................... 30
二、查阅外发资料日志 ............................................................................................................................... 32
三、日志报表 ............................................................................................................................................... 34
第八部分:远程控制中心 ................................................................................................................................... 35
第九部分:二次开发 ........................................................................................................................................... 37
第十部分:问与答 ............................................................................................................................................... 41
一、为什么选择“网路岗”,和同类产品相比,有什么优势, ............................................................. 41
二、监控产品是用硬件好,还是用软件好, ........................................................................................... 41
三、如何购买《网路岗.金版系列》, ...................................................................................................... 42
四、购买《网路岗》以后,用户享受那些售后服务, ........................................................................... 42
五、打开主程序时,显示找不到网卡信息,怎么办, ........................................................................... 42
六、《网路岗》是黑客软件吗,它容易被人利用吗, ............................................................................. 42
七、《网路岗》对操作系统有什么要求? ................................................................................................... 42
官方网站: 研制单位:深圳市徳尔软件技术有限公司
3 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
八、系统开机后,如果不启动《网路岗》画面,监控会起作用吗, ................................................... 43
九、我机器有多块网卡,需要选择哪一块网卡来绑定, ....................................................................... 43
十、 什么是透明代理服务器,什么是非透明代理服务器, ................................................................. 43
十一、监控机是双CPU,《网路岗》新版能正常工作吗 ? .................................................................... 43
十二、 《网路岗》对网卡有什么要求, ................................................................................................. 43
十三、 《网路岗》能否监控企业员工个人网上密码? ........................................................................... 43
十四、 我购买了《网路岗》20个监控点,以后公司发展了,需要加点怎么办? .................................... 44
十五、有部分机器的IP无法解析成机器名是什么原因, ..................................................................... 44
十六、怎样设置缺省的上网规则,以便让自动加入的机器启用该规则, ........................................... 44
十七、四代产品的日志和配置文件五代可以用吗,两者可以共存吗, ............................................... 44
十八、五代产品支持Windows自带的远程桌面管理吗, ...................................................................... 44 第十一部分:工具软件的使用 ........................................................................................................................... 45
一、远程升级&维护.................................................................................................................................... 45
二、日志备份 ............................................................................................................................................... 45
三、列表库管理中心 ................................................................................................................................... 46
四、IP包分析工具 ...................................................................................................................................... 47
第十二部分:附录 ............................................................................................................................................... 47
第一部分:产品安装与初步调试
准备安装
在购买本网络管理软件产品之前,用户必须先了解如何正确安装“网路岗”,只有正确安装网路岗,其功能
才能得以体现。目前局域网的网络构架名目繁多,实现共享上网的方式也不相同,因此,针对不同的网络结构
和上网方式,我们做了详细的分类,并制作成安装向导,用户安装本产品之前请务必阅读“网路岗.安装向导”
安装向导的网上下载地址:
知识准备:
1、网络监控模式(基于网卡/基于帐户/基于IP),详见第三部分
、网段/IP段/单网段/Vlan/子网 IP地址范围段 2
3、绑定网卡 配置网路岗用以抓取通讯数据包的网卡。
4、信息过滤网卡 网路岗用以发送网络通讯包的网卡。
5、网路岗.驱动程序 网路岗抓取通讯数据包的底层驱动程序。
6、网路岗.安装向导 网路岗在各种环境下的安装
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
。
7、NAT地址转换 私有地址和公网地址之间的地址转换。
8、代理服务器软件 实现多台机器共享一个出口线上网的软件。
9、镜像端口/分析端口/SPAN口 用以侦听其他端口的所有进出的数据包的端口
开始安装
1、机器系统要求:
操作系统:Windows XP/2000/2003
或 赛扬2.0G以上 CPU:Pentium 4
硬盘空间: 建议硬盘空闲空间不低于10G
特别说明:监控机器越多,网络流量越大,需要的配置越高, 根据以往的
经验
班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验
,P4以上配置的PC上运行
网路岗,监控的在线机器可达500台以上。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
4 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
2、打开安装光盘,请运行安装主监控程序 Sentry5Corp.exe/Sentry5School.exe
3、主程序安装完毕后,如果用户是第一次在本机上安装“网路岗”产品,则还需要安装光盘中网路岗驱动程序SentryDrv.exe;
下面介绍安装目录下几个重要子目录:
ETC\子目录存放与系统有关的所有配置文件,如 PcInfo.map 是“基于网卡”网络监控模式的用户信息,UserInfo.map是“基于账户”网络监控模式的用户信息,IpInfo.map是“基于IP”网络监控模式的用户信息。ShareArea.map
存放的是系统配置数据;
如果用户想备份系统配置,只需要备份ETC所有文件即可。
CapLog\是系统默认的用来存放监控日志的目录(该日志存放目录可由用户自定义);
CapLog\Activities\存放的是网络活动日志;
CapLog\WebFiles\存放的是外发资料日志;
运行主程序时,提示找不到网卡信息怎么办?
打开主程序SentryCenter.exe,如果提示“找不到网卡信息”则按下面的方法处理:
1、 关闭网路岗相关的窗口,运行光盘中的驱动程序SentryDrv.exe
2、 如果仍然出现上述问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
,则进入控制面板,打开“添加/删除程序”,卸载Winpcap。
然后重新安装SentryDrv.exe。
3、如果继续出现上述问题,打开“网络邻居”属性,打开网卡的属性窗口,卸载网卡及所有的协议内容(包
括TCP/IP),然后重启机器,以便系统重新识别并安装网卡驱动,系统启动后,在保证网卡已经启用,且
TCP/IP协议已经安装的情况下,再次安装SentryDrv.exe,问题应该会得到解决。
绑定网卡
所谓绑定网卡,也就是选择从哪块网卡抓通讯包。
如果安装本产品的电脑有多块网卡,则用户选择时须小心,一旦选错网卡,“网路岗”不但监视不了任何信息,同时也不能对目标机器进行任何控制。
选择网卡时,用户应选择内网段的网卡,而不能选择接入Internet的网卡。出现多块内网网卡时,可能需要用户逐块选择并在“现场观察”窗口测试监控效果。
缺省情况下,系统获取通讯数据包的网卡和发送封堵包的网卡是同一块,但用户可以通过设置信息过滤网 卡,以便系统通过另外一块网卡来发送封堵包以控制目标机器。
有一种情况,用户必须启用信息过滤专用网卡。当用户设置“镜像端口”来实现对数据包监视后,但发现不能和局域网其他机器进行通讯(假定该机器IP/网关配置正确),也就是说,所设置的“镜像端口”只能接受通讯包,而不能发送数据包,“镜像端口”是单向的。针对这类情况,我们建议用户再添一块网卡,作为“网路岗”的信息过滤专用网卡。
“信息过滤网卡”在上图“高级设置”中配置,配置时,用户必须注意:信息过滤网卡、镜像端口和被镜像端口必须在同一交换机的同一Vlan中。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
5 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
选择网络监控模式
网路岗.金版系列同时提供多种网络监控模式:基于网卡/基于帐户/基于IP,我们一般建议监控点在500台以下的情况,选择基于网卡的网络监控模式。
测试监控效果(以基于网卡的网络监控模式为例)
用户测试监控效果时,请不要急于对被监控机器进行封堵,建议打开“现场观察”窗口,先观察能否实时监控到目标机器上网站页面的情况。
1、启动监控服务
进入“服务”栏目,启动所有的后台监控服务。(双击要启动服务的图标)
如下图:
2、检查授权状态
如果您有“网路岗”并口加密狗,请接到打印机并口(同一并口不能级联多个加密狗),如果监控机上原来有打印连线,则需要取下连线,等接好加密狗后,再将打印机线接到加密狗上。
如果您有“网路岗”USB加密狗,请在已经安装软件后再将其接入USB插槽,接着应该出现下面的画面,选择“继续安装”,则USB加密狗驱动程序自动成功安装。
注:插USB加密狗前,请先运行本产品的安装程序,如果先插入USB加密狗,再安装网路岗,可能导致无法获取加密狗授权信息。
如果您没有加密狗,则需要远程接入“网路岗”产品升级&维护服务器,并联系相关人员进行远程授权。具体方法:
打开菜单“工具”——“远程授权&维护”,填写信息,发送信息到德尔软件公司。该工具开启了一个聊天
官方网站: 研制单位:深圳市徳尔软件技术有限公司
6 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 交流窗口,您可以在此处和产品开发商进行交流。
如果您手头上有产品序列号,则也可以通过注册序列号来获得授权。注册的界面如下:
用注册码注册时,请务必不要在多台机器上同时用一个号码注册,如果用户要更换机器注册时,必须在原来的机器上“取消本地注册码”,再在新的机器上注册;开发商也可强行为客户取消以前的注册状态。
最后,打开菜单“帮助”——“产品信息”,检查授权的用户数和授权状态。
3、 配置内部网段
进入“网络定义”栏目,设置启始IP及结束IP。这里需要提醒的是:只有当用户需要监控多个子网时,才需要手动配置内部IP范围
4、检查目标机器的监控状态
选择项目“监控策略”——“基于网卡”,先看看是否有机器信息,如果没有,用“搜索邻居”功能试着搜索。(搜索时注意IP范围的选择是否正确)。
每台机器的前面可能有下面的小图标,用户鼠标直接点击小图标,其状态可循环改变。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
7 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
其中表示该机器被监控,表示该机器不被监控,表示该机器不被监控但也不允许上网。
计算监控点时,以状态为一监控点,超过用户购买的监控点时,系统自动将多余的机器标记为状态
如果被测试的机器是代理服务器,则应该选其他机器测试。
、检查被监控的机器上网情况 5
打开菜单“文件”——“现场观察”,在确保被测试的机器处于状态后,让该机器上网站,比如www.baidu.com 等。并留意“现场观察”窗口中是否有对应的信息;如果该窗口中能正确显示目标机器的上网情况,那么说明对该机器的监控是正常的,也说明对该机器的封堵也将起作用。
6、封锁目标机器上网
选中被测试的机器,进入“封堵端口”子栏目
在80端口上打上勾(注:如果用户网络采用代理上网,则上网端口可能不是80,则需要用户“添加”新的端口,并打勾),封锁时间段全绿,按下按钮“更新规则=>ET”,最后按“保存设置”使设置生效。
设置完毕后,再次让被目标机器上网,并检查“现场观察”窗口下半部分的记录显示。
通过上述四个步骤的测试,可以有效地检测出产品安装是否成功。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
8 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
第二部分:产品升级与卸载
产品升级
监控/反监控技术日新月异,需要监控的内容越来越广泛,因此,软件的快速升级至关重要,目前本系统还暂不支持软件程序自动升级更新,仍需要用户定期从网上下载正式版本安装。安装前,请停止所有监控服务,并退出已打开的网路岗相关的程序。然后覆盖安装。选择覆盖安装时,以前的配置文件和监控日志仍然保留,不必担心丢失。
如果产品升级和卸载之前希望能备份以前的配置和监控日志,请参考第一部分对产品目录的说明。
卸载产品
开始卸载前,需关闭网路岗相关的所有程序(监控服务除外),运行Windows桌面上产品目录下的“卸载程序”;在“卸载”画面上有两个选项:1、卸载配置文件,2、卸载监控日志;用户根据自己需要决定。
如果原来设置了用户操作密码,并已经启动权限管理模式,则该处需要输入用户名和密码;以此来防止无关工作人员卸载本产品。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
9 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 第三部分:各种网络监控模式
一、基于网卡的网络监控模式
网卡MAC的含义及其获取方法
网卡地址也称MAC地址,就是在媒体接入层上使用的地址,通俗点说就是网卡的物理地址,现在的Mac地址一般都采用6字节48bit(在早期还有2字节16bit的Mac地址),MAC地址被习惯地用12位数字和字母组成,如:00E018D3C239。
MAC地址前24比特位由是生产厂家向IEEE申请的厂商地址,后24比特位就由生产厂家自行定以了。理论上讲,市面上每块网卡的MAC都是唯一的。但是,实际情况并非如此,市面上有大量的冒牌网卡,由地下工厂生产并在市面上销售,因此,其MAC地址可由冒牌厂家的技术人员随意分配,从而可能导致同一局域网出现多块网卡拥有同一MAC地址的情况。尽管如此,用户仍可不考虑这种情况,毕竟该情况出现概率很低。
如果同一局域网内有两块(或以上)网卡拥有同一MAC地址,那么在基于网卡的网络监控模式下,用户将发现“现场观察”窗口不停出现某一机器更换IP地址的情况。
获取网卡MAC方法比较多,在Win9x 可用WinIPcfg获得,在2000、XP可用命令:IPconfig -all获得。
基于网卡监控的含义
基于网卡监控就是以网卡MAC为依据,根据网卡MAC地址确定被监控的信息内容的身份。由于每台机器的网卡MAC相对固定,用户不易修改,因此我们建议用户将该网络监控模式列为首选。
在这种网络监控模式下,用户更换新的网卡后,网路岗会重新检测到新的MAC,因此,新网卡将被当作新加入的机器来处理,在此提醒用户注意。
基于网卡监控的条件
早期的产品不能在多网段环境下采用“基于网卡”的网络监控模式,但这一情况在新版本中已经改进。也就是说,新版产品可在基于网卡的网络监控模式下进行跨Vlan监控。
由于网卡地址不易改变,我们一般都建议用户采用基于网卡的网络监控模式。但是,如果目标机器太多,导致管理的对象太多不容易控制,而且用户机器采用固定IP,且IP不会改变,则用户可考虑基于IP地址的方式,因为基于IP的方式下,用户可定义IP范围作为一个管理对象。
基于网卡网络监控模式的实施:
1、 选择网络监控模式,如下图:
2、设置监控对象
官方网站: 研制单位:深圳市徳尔软件技术有限公司
10 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
“搜索邻居”:自动探测指定IP范围内的机器信息(IP地址/网卡MAC)。
“新组”:创建新的群组,以便对目标机器进行分组管理。
“转移”:将选中的机器转移到其他部门,用户也可以直接用鼠标将目标机器从一个部门拖到另外一个部门。
“编辑”:改变某一选中机器的机器名称或改变群组名称。
“删除”:删除选中的一个或多个目标,也可用来删除空的群组。
“查找”:如果目标机器太多,可以用此功能来找出要找的机器。
“解析”:当新机器被加入时,机器名默认为其IP地址,如想将IP地址转变成机器名,可使用此功能。
“导出”:将目标机器的信息及其对应的规则配置导出到自定义的文件中。
“导入”:将“导出”的机器及规则配置信息从指定的文件加入到当前机器列表中。
“保存设置”:保存用户对“目标机器信息/群组信息/上网规则”等信息的改动。
<改变目标机器的排序方式>:点击“搜索邻居”上方的三个Option圆按钮,可分别以“机器名/IP地址/MAC”的排序方式显示目标机器。
<单选/多选>单击目标机器,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择。
<双击目标机器>:双击目标机器后,将弹出编辑窗口。
<更改目标机器监控状态>:在目标机器的状态小图标上单击,可改变其监控状态。
如果上图左边部分为空,则需要先启动监控服务,选择绑定正确的网卡,然后,按下“搜索邻居”,输入正确的IP范围,开始搜索。
即使不用“搜索邻居”的功能,如果有机器上网,新发现的机器同样可以自动加入;每一目标机器都有相
应的目录,缺省情况下,新机器都放入目录“New Folder”中。
如上图右边部分,用户可以设置针对新发现机器的处理方法和缺省状态。需要统计所有目标机器的状态,则按下“保存设置”上面的按钮,出现下面的画面:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
11 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
二、基于IP的网络监控模式
基于IP监控的含义/描述
基于IP监控就是以IP地址为依据,并以此IP来确定所监控的信息的身份;
但是,如果用户局域网的IP地址是动态分配的,基于IP地址的网络监控模式就不可取;众所周知,即使在静态分配IP地址的环境下,其IP也可由用户随意轻松地更改。假如目标机器A在目标机器B关机的情况下,私下将IP地址更换成目标机器B的IP,那么机器A上网日志就会落入机器B的名下。由此可见,基于IP监控有很大的不确定性,比较冒险。
基于IP监控的缺点既然这么明显,那为何还要做这样的设计,
为此,我们经过认真分析,认为,其存在有两大理由:
1、容易解决复杂的网络结构带来的问题。一个大的网络,比如大学校园网,管理人员通常希望装一套网路岗来解决问题,尽管该网的机器有数千台甚至数万台,且划分的多级VLan(IP段)多达数十上百个。
尽管基于网卡的网络监控模式可以跨Vlan监控,但在该模式下,当电脑数量太多,比如超过1000台,那么系统会花费较多的资源来探测其他Vlan下的目标机器IP和Mac地址对应情况,最终导致监控效率降低。
2、基于IP监控的方式下,用户可定义一个IP范围段来作为一个管理对象。用户可能只关心某一范围内机器的上网情况,比如,用户只想知道某一游戏网站是哪一个IP段机器上的,只想对这些机器做统一的控制,不一定非要具体到某台机器不可。
目前,网路岗的客户如果监控点超过1000,大多采用这种网络监控模式。
基于IP网络监控模式的实施:
1、 选择基于IP的网络监控模式
2、 设置监控对象
官方网站: 研制单位:深圳市徳尔软件技术有限公司
12 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
<监控对象图>
“搜索邻居”:自动探测指定IP范围内的机器信息(IP地址/网卡MAC)。
“手动添加”:用户手工加入新的IP地址或某一IP范围;如果用户希望成批加入IP地址,则可以先创建
范围IP,然后选中“拆散IP”,如下图:
“新组”:创建新的群组,以便对目标机器进行分组管理。
“转移”:将选中的机器转移到其他部门,用户也可以直接用鼠标将目标机器从一个部门拖到另外一个部门。 “编辑”:改变某一选中机器的机器IP地址/描述或改变群组名称。
“删除”:删除选中的一个或多个目标,也可用来删除空的目录。
“查找”:如果目标机器太多,可以用此功能来找出要找的机器。
“解析”:当新机器被加入时,机器名默认为空,如想得到机器名,可使用此功能。 “导出”:将目标机器的信息及其对应的规则配置导出到自定义的文件中。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
13 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
“导入”:将“导出”的机器及规则配置信息从指定的文件加入到当前机器列表中。
“保存设置”:保存用户对“目标机器信息/群组信息/上网规则”等信息的改动。
<单选/多选>单击目标机器,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择。
<双击目标机器>:双击目标机器后,将弹出编辑窗口。
<更改目标机器监控状态>:在目标机器的状态小图标上单击,可改变其监控状态。
如果上方<监控对象图>左边部分为空,则需要先启动监控服务,选择绑定正确的网卡,然后,按下“搜索邻居”,输入正确的IP范围,开始搜索。
即使不用“搜索邻居”的功能,如果有机器上网,新发现的机器同样可以自动加入;每一目标机器都有相应的目录,缺省情况下,新机器都放入目录“New Folder”中。
如上方<监控对象图>右边部分,用户可以设置针对新发现机器的处理方法和缺省状态。需要统计所有目标机器的状态,则按下“保存设置”上面的按钮,出现下面的画面:
三、基于帐户的网络监控模式
帐户模式又分:活动目录、系统自定两个子选项:
“活动目录(域)”情况
该模式的前提是,用户在网络内安装并启用了活动目录(Active Directory),上网人需要先通过通过域登录才可以访问互联网资源;每个上网人都有自己的帐户和密码,一个帐户可在多台机器上登录。针对这类情况,网路岗没有必要重新定义一套帐户来管理上网,而只需要从活动目录中获取帐户信息,通过现有的帐户管理上网即可。
以下内容是系统自定义模式下的内容描述:
含义/描述
在此网络监控模式下,目标机器首次上网时,如访问外部网站,在IE画面中将会出现要求身份验证的画面,
当
验证通过后,在屏幕上方自动弹出计时窗口,表明目标机器的在线情况,这时候,目标机器才可以正常上网、收发邮件等等。
额外的配置
官方网站: 研制单位:深圳市徳尔软件技术有限公司
14 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 采用基于帐户的网络监控模式要求用户在监控机上安装Microsoft IIS组件。该组件附带在Windows 2000/XP/20003等专业版/服务器版的安装光盘中。具体安装设置方法如下:
1、安装IIS
打开“控制面板”,选择“添加/删除程序”,点“添加/删除Windows组件”,检查IIS选项是否被选中,如没有选中,请点选择它,并按“下一步”开始安装IIS。
2、配置IIS
安装完成后,需要对IIS进行配置,具体方法如下:
1打开“控制面板”,进入“管理工具”,选择“Internet信息服务”。 ?
如下图:选择“默认Web站点”-“属性”。
2配置Web站点IP ?
官方网站: 研制单位:深圳市徳尔软件技术有限公司
15 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
3配置“执行许可”权限,如下图: ?
4、 将Login.dll拷贝到正确位置。
从光盘的安装程序目录下拷贝Login.dll文件到webRoot目录,如下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
16 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
什么情况下选择基于帐户的网络监控模式,
如果不考虑监控所带来的工作量的话,基于帐户监控是较为合理的模式,理论上讲,基于网卡/基于IP的网络监控模式并不能完全杜绝目标机器的欺骗上网行为。
在基于帐户的网络监控模式下,目标机器上网需要通过身份验证,与目标机器的IP地址和MAC地址无关,所有的上网日志和帐户直接相关,通过帐户来查找上网记录情况,这样可有效地避免被监控者串改MAC和IP地址的情况。
然而,该网络监控模式的缺点也十分明显,首先,管理者需要手动管理帐户名和密码,需要经常维护密码丢失的用户,其次,目标机器每次开机在首次上网时都需要输入用户名和密码,给用户增加了工作量。
在这里,我们建议,如果电脑数量不是太多,且监控的要求也比较高的情况下,可以考虑采用基于帐户的网络监控模式。
基于帐户网络监控模式的实施:
1、选择基于帐户的网络监控模式
2、管理监控对象
官方网站: 研制单位:深圳市徳尔软件技术有限公司
17 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
<监控对象图>
“身份认证”:配置网路岗扩展库Login.dll的访问地址,见下图:
上图表明192.168.0.1是监控机,且该机器上安装了Microsoft IIS,如果一切 配置正常,按下“测试”按钮后,在IE窗口中会显示:
Testing Login.dll „ „ OK.
如果IE窗口显示的是出错信息,则可能是服务器地址不正确,在wwwRoot目录下找不到Login.dll。如果
显示的是下载Login.dll的提示,则表明IIS的配置有问题,还没有支持ISAPI扩展库login.dll。具体配置
请参考前面针对“安装IIS”的描述。
“新群组”:创建新的群组,以便对帐户进行分组管理。
“转移”:将选中的帐户转移到其他部门,用户也可以直接用鼠标将帐户从一个部门拖到另外一个部门。 “编辑”:改变某一选中帐户信息或改变群组名称。
“删除”:删除选中的一个或多个目标,也可用来删除空的目录。
“查找”:如果帐户太多,可以用此功能来找出要找的帐户。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
18 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
“解析”:当新机器被加入时,机器名默认为空,如想得到机器名,可使用此功能。
“导出”:将帐户的信息及其对应的规则配置导出到自定义的文件中。
“导入”:将“导出”的帐户及规则配置信息从指定的文件加入到当前帐户列表中。
“保存设置”:保存用户对“帐户信息/群组信息/上网规则”等信息的改动。
<单选/多选>单击帐户,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择。
<双击帐户>:双击帐户后,将弹出编辑窗口。
<更改帐户监控状态>:在帐户的状态小图标上单击,可改变其监控状态。
第四部分:网路岗NAT
一、NAT基本知识
什么是 NAT,
网络地址转换 (NAT) 是一个 Internet 工程任务组 (Internet Engineering Task Force,IETF)
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,用于允许专用网络上的多台 PC (使用专用地址段,例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享单个、全局路由的 IPv4 地址。IPv4 地址日益不足是经常部署 NAT 的一个主要原因。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT,尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。
NAT 对于解决 IPv4 地址耗费问题 (在 IPv6 部署中却没必要) 尽管很有效,但毕竟属于临时性的解决方案。这种 IPv4 地址占用问题在亚洲及世界其他一些地方已比较严重,且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。
除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通信,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同,但它确实有利于安全。 网路岗NAT适用环境:
1.双网卡:一个接Internet,一个接内网。
2.单网卡+电话线拨号。
3.单网卡+ADSL Modem。
网路岗NAT介绍
网路岗NAT的实现并非依赖于Windows已有的内部功能,而是完全自主开发,并参考了常见的NAT标准,在提高地址转化速度上做了比较理想的改进工作,使其最大限度地减少系统资源占用和提高运行效率,并能和网路岗有效地结合,真正实现并行监控与串行过滤的完美结合。
网路岗NAT配置十分简单,大部分工作由系统自动探测部分完成。
如果采用网路岗NAT,在不影响用户上网速度的前提下,用户能很好地对聊天软件和p2p下载软件进行过滤。
在网路岗NAT基础上, 我们能轻易实现“多Internet出口的负载均衡“功能,达到价格十分昂贵的路由器才能实现的功能。
网路岗NAT的缓冲Buffer是一个非常重要的指标,它直接反映了公司网络流量繁忙情况,该值受到共享上网的在线客户机数量的影响。如果您发现您的Buffer不够大,我们可以为您定制~
在网路岗今后的版本中,我们将进一步对其进行完善,融合更多的防火墙技术,全面完善“岗”位功能~
官方网站: 研制单位:深圳市徳尔软件技术有限公司
19 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 二、安装网路岗NAT
OS系统要求: Windows 2000/XP/2003
安装说明:
在安装《网路岗》产品时,NAT并不被随带安装,当用户需要用到此功能时,可手动安装。
未安装前的状态图:
点击“安装NAT”后即可安装,安装完毕后需要重新启动才能生效~
如果用户需要关闭NAT功能,点击“卸载NAT”即可。
安装后的配置:
安装成功后,如果没有启用DHCP服务功能,则建议客户机将“网关”和“DNS”指向该安装NAT的机器。
安装并重启动机器后,用户需要做简单配置:
1、选择本地网卡,也就是内网网卡。如果该网卡同时配置多个内部IP,那么第一个IP地址及掩码所代表的网段就是能被共享的网段。
2、外网卡,系统自动探测,但用户必须首先保证该机器已能上网。
性能说明:
该功能在Windows内核上实现,由我公司自主开发,软件性能和稳定行都非常好,几乎和硬件媲美,当机器数量比较大时候,其优越行更加明显。
用户安装成功后,可以进入command状态下, ping www.sina.com.cn 来测试速度。
软件中显示的 Buffer 代表通讯缓冲,如果您的Buffer不够大时,请联系我们申请更大的Buffer。我们将根据情况收取费用。
高级设置
通常情况下,高级设置并不需要做任何修改,除非用户对NAT非常熟悉。
“过期时间”是指:当一条通讯连接在某段时间内没有任何数据包发生,则被认为该连接过期。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
20 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 三、网路岗NAT的过滤规则
过滤时间安排
如上图,用户可根据需要设置过滤启用时间, 该时间是针对所有过滤项目的总体控制。 过滤项目定义
以过滤UDP登录方式的QQ为例:
这里设置的Port 8000-8001 是针对每条通讯的外网端口的。其他通讯端口的过滤设置方式类似。
除了上述过滤项目外,由于考虑到对NAT性能的影响,系统暂时不提供过多的过滤功能设置。
黑名单
当系统检测到有机器恶意扫描外网端口时,系统将自动将其归入黑名单,但并非无限期归入黑名单,当有效期过后,该机器又恢复正常。关于黑名单有效期时间设置,请进入“高级设置”进行设置。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
21 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
第五部分:常见系统配置
一、网络定义
1、 定义内部网段,如下图:
只有出现多网段/多子网的情况,才需要定义内部网段。
定义网段时,一般要求用户定义每个需要监控的IP段,但是,用户也可采用简化的定义方式,比如:输入192.168.0.1-192.168.1.255,以简化上图中的输入,这样只需要输入一次。
2、设置代理IP或内网资源
如果用户采用非透明代理服务器软件实现多机共享上网,那么必须在该处输入代理服务器的IP地址(内网IP范畴)。另外,如果网内有邮件服务器等内网资源,也需要在上面输入其IP,才能监控到内网机器访问内网资源的情况。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
22 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 二、监控项目
缺省情况下,所有列出的项目都处于被监控状态,用户可用鼠标点击项目以“取消/选中”该项目。
系统还提供了“自定义项目”,用户在定义项目时必须对IP通讯有所了解。见下图:
“项目名称”用以标识所定义的项目。
“监控描述”将在现场观察窗口中显示和并保存于对应的日志文件中。
“通讯类型”提供TCP和UDP两种,以后的版本中将增加其他通讯类型。
“源端口”是发出通讯包的一方所占用的端口值。
“目标端口”是接受通讯方所使用的端口值。
如果系统检测到符合上述条件的通讯包,将在现场观察窗口中显示出来,并记录到日志文件中。
什么情况下要用到自动监控项目的功能,
如果用户了解某个病毒/游戏/聊天软件的通讯包规律,端口比较固定,那么通过自定义项目,以让网路岗来提醒用户哪台机器干了什么敏感的事情。
三、监控时间
该处显示的监控时间是全局的,在非监控时间段,监控服务会完全不做任何控制,尽管服务还处于运行状态。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
23 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 四、端口配置
监控项目和端口是息息相关,系统是通过对特定端口数据的分析来实现对特定项目的监控的。每一个项目可同时配置三个端口,比如您的网络有一天也许同时有80 8080 3128等访问网站的端口的现象出现,这样就需要配置多个端口。
如果用户采用非透明代理服务器软件实现共享上网,且代理端口并非80,那么就需要HTTP的端口80后面再增加一个端口值。
五、空闲IP
通常,网络管理员在给网内机器分配完IP后发现,有些IP范围段是空闲的,短期内用不上;同时网管也不想让这些IP被使用,那么,利用空闲IP防止电脑IP被私下更改就非常有效~
第六部分:上网规则
一、上网
说明:如果用户只是简单地控制目标机器的上网行为,在这里设置是最好的。上图中蓝色显示块表示允许,白色表示禁止。用鼠标控制选择蓝色/白色。
只有在白色时间段,对Web端口的封堵选项才起作用。在蓝色时间段是不是就一定可以上网还难说,主要看后面的项目中是否设置了封锁,在如此多的上网规则中,只要有一处封堵,就能起到封堵的作用。
如果你用outlook收发hotmail邮件,上图中的选项将不起作用,因为hotmail邮件并非通过收发邮件的端口(110/25)发生通讯,而是通过HTTP方式。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
24 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 二、网页过滤
网页过滤主要是针对地址URL的过滤,对内容不予考虑;定义关键词的时候,建议输入最具代表性的词。
针对google.com baidu.com 和3721等搜索网站,我们还支持对中文关键词的封堵。
举例说明:
1、如果要禁止上www.sina.com.cn网站,则输入sina.com.cn比较合适,如输入sina.com的话,则被控机器连同www.sina.com 和 www.sina.com.cn都不能上了。
2、在禁止网站列表中输入“法轮功”,以防被控机器在搜索网站上以该关键词来搜索。
3、在“只允许访问列表”中输入 .sohu. 可让用户只能上ww.sohu.com。
三、过滤库
官方网站: 研制单位:深圳市徳尔软件技术有限公司
25 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
为方便用户控制,我们专门收集了几类网站列表和端口库,可供选择。针对列表库,用户可进入“列表库管理工具”进行添加或删除操作。
“列表库管理工具”是专门针对网站列表库的工具,用户可以随意添加/删除/查询现有的列表库。如果用户有现成的列表文本文件,则可以导入到相应已打开的库中,那些被成功导入的网站将被显示出来,通过“导入”与“导出”功能,用户之间可以轻松交流自己收集的网址。值得注意的是:用户不能查阅或导出系统固有的网站列表,这主要是由于在知识产权方面的考虑。
四、上网反馈
如果用户通过封堵端口的方式来禁止上网,则上述功能无效;必须通过关键词来封锁网站才有效。
在以前的软件版本中,我们封堵一台机器上某个网站时,会显示连接出错信息,正如上图中的默认设置所示,根据用户需求,此处特意增加此功能,以让被封锁的机器显示更明确的信息。
另外如果目标机器上了某个敏感网站,通过设置也可以让其跳转到某一个指定的页面(比如企业网或校园)。 网
官方网站: 研制单位:深圳市徳尔软件技术有限公司
26 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 六、邮件过滤
老实讲,邮件过滤并非严格过滤,这是因为如果邮件内容太少,甚至没有,那么系统检测到用户有邮件发送迹象时,已经太迟,该邮件可能已经发送出去,再去堵截就没有意义了。
尽管如此,针对稍大的邮件的过滤还是有效的,尤其是带附件的邮件。
七、IP过滤
IP过滤是针对因特网上各类资源的IP地址的过滤,进行设置时,需要对IP有全面的了解。事实上,全球IP地址的分配是有一定大致规定的,相关知识可在网上搜索到,搜索关键词请用“IP地址分配”,利用这些规
官方网站: 研制单位:深圳市徳尔软件技术有限公司
27 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 律,我们可以设置某些地区的网站不可以上。
某些大型网站,比如yahoo,sina 等都具有很多的IP地址,因此,我们不能简单通过一两个IP地址来封锁该网站。
八、封堵端口
“封堵端口”是略显专业化的功能名词,从本产品一代开始就保留此功能,是现有客户用的比较多的功能之一。
任何一款网络软件,如果它建立在TCP/IP通讯之上,都会用到“端口”,比如股票软件、FTP软件、收发邮件软件等等,都具备自己的开放端口。因此,通过“端口”来封锁上网行为是非常有效的。
尽管很多软件的端口是软件开发者自定义的,但用户也不必担心其改变自身的“开放端口”,因为,“开发端口”一旦改变,该软件的客户端也必须随之更改,从市场角度看是不现实的。
如果了解IP包的话,用户可利用本系统提供的工具“IP包分析工具”来分析端口。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
28 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 九、外发尺寸
这里对外发尺寸的控制是一种模糊控制,并不能精确到字节数,而且,上述功能只有在用户购买的版本具备邮件内容的监控功能时才起作用。原因是,没有内容监控的话,系统无法及时知道外发文件的大小,也就不能在中途进行堵截。
十、限制流量
首先说明,本软件只能检测到上网带宽数据而不能实现对带宽的管理和分配。尽管如此,根据客户的要求,我们仍然提供了对流量的限制功能;比如,限制某台机器每天只能有多少M的上网流量,超过这个数字,系统
官方网站: 研制单位:深圳市徳尔软件技术有限公司
29 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 会自动断网。
上图显示的累计流量是动态的,便于用户及时观察到客户机的流量。
如用户规定该机器每分钟的流量,则每隔一分钟累计流量就会自动变成0。
十一、绑定IP
在单网段环境,且是基于网卡的网络监控模式下,用户可以通过绑定IP的功能来防止目标机器私下更改IP上网。
选项:“IP改变时候,记录其变化情况”被选中时,该网卡更改IP地址后,会详细记录其更改情况。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
30 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 十二、监控项目
用户可根据需要设置目标的监控内容。如果用户购买的版本没有邮件内容监控或没有聊天内容监控,则上图中“监控聊天内容”和“监控外发资料内容”的选项就不起作用。
如果用户只是想过滤邮件正文而不记录邮件的话,则可以选择“只过滤发送邮件的内容,不生成邮件日志”
第七部分:日志查阅及日志报表
一、查阅网络活动日志
1、选择目标机器,见下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
31 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
见上图,在“所有对象”前打上勾,查询日志的时候,是针对所有机器的;相反,如果去掉“所有对象”前面的勾,用户可以随意双击目标机器,以显示对应的日志记录。粗黑显示的机器表明有与其相关的日志记录。
上图显示的“机器/帐户/IP地址”是和用户选择的网络监控模式直接关联的,查阅日志的时候,请根据选择的网络监控模式来选择“机器/帐户/IP地址”。
按钮表示:刷新显示目标机器列表。
按钮表示:在目标机器列表中查找所要找的目标机器。
2、选择查询范围,见下图:
“范围”:点击后,弹出快速选择日期范围的菜单。
“刷新”:更改范围或要查的目标机器后,重新查找并显示对应的日志记录。
小图标表示:将显示的日志内容导出。
小图标表示:查找匹配的日志记录条目。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
32 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
小图标表示:打印显示的日志内容。
3、设置显示的行数,见下图:
4、统计日志
针对访问网站的日志和收发邮件的日志,我们提供简单的统计功能,更专业的统计报表在“网路岗.报表子系统”中实现(另外付费)。
二、查阅外发资料日志
1、 选择目标机器,如下图:
上图显示的“机器/帐户/IP”是和用户选择的网络监控模式直接关联的,查阅日志的时候,请根据选择的网络监控模式来选择“机器/帐户/IP地址”。
机器后面的数字直接表明了该机器的日志数量。
1、 显示日志内容,见下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
33 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
小图标表示是否存在附件。
小图标表示该邮件可直接用Microsoft Outlook打开。如果用户发现上图下半部分显示乱码,建议用Outlook打开。
小图标点后可显示附件。
3、搜索邮件,见下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
34 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
在上图输入框中,输入邮箱或关键词时都必须单行输入,对附件类型进行搜索时,如果同时搜索多个
类型,那么用逗号隔开。
三、日志报表
日志报表分析是五代产品的一大优势功能,能提供多种专业图形化报表,同时,在报表结果中,用户也可以查阅详细的日志内容,如上图.(在统计数据上双击,可弹出要显示的内容)。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
35 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
选择要统计的目标机器。
开始统计数据。
显示统计数据/显示图形报表。
打印显示的统计数据。
在统计数据中查询符合条件的目标机器。
保存显示的统计数据及图形报表。
第八部分:远程控制中心
一、用户授权
用户在使用远程日志查阅功能的时,必须先在监控端进行授权。授权内容包括:用户名,登录密码,
用户查阅日志的权限,授权查阅的范围,等等。见下图:
二、安装远程控制中心端程序。
安装程序位于光盘中,安装后运行主程序“远程控制中心”,见下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
36 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
用户首先“新建”服务器,新建内容包括服务器地址和存放该服务器日志的目录。通过远程控制中心用户可以选择登录不同位置的服务器。
数据交换口在监控机端有定义,缺省是9010端口,如果用户希望更改的话,请在“网路岗”服务栏目打开下面的窗口,做修改后,重新启动“数据交换服务”。
用户在输入用户名和密码后,“登录”时,可能碰到下面的问题:
1、 错误提示一:“登录服务器失败”
解决方法
首先,检查服务器IP地址是否正确,如果没有问题,再用Ping命令检查。如果不能ping,则检查监控
机上是否安装了个人防火墙软件,如有,则可能需要卸载再试。
如果能够ping监控机,则需要检查“数据交换<通讯>服务”是否已经启动,而且两边的端口是否一致。
2、 错误提示二:“验证用户名和密码失败”
解决方法
检查监控机上授权的用户和密码。如果检查不出任何问题,建议另外新建一个用户名试验。 三、下载日志/查阅日志
一旦登录成功,用户可以通过菜单中的“下载日志”功能来选择下载日志内容。
用户是否将服务器所有日志都下载到本机,要看该用户授权查阅的群组是否是全部。
只有下载日志后,而且用户有相应的操作权限,才可以查阅网络活动和外发资料内容等等。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
37 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
第九部分:二次开发
下面是我们公开的日志存放格式,我们欢迎软件开发商对日志内容进行二次开发,以形成特殊所需要的日志形式。
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//说明LOG_INDEX_FILE 是webfiles目录下索引文件(idx)数据结构
//webfiles下的子目录以日期作为其目录名称,每个子目录下存放当天的记录
//idx文件位于每个子目录下,它标记该目录下的各个文件所存放的内容含义
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
struct LOG_INDEX_FILE
{
CTime tmCapture ;//抓包时间
BYTE sytle ;//类型:0:软件发送Mail 1:软件接受Mail 2:网站发mail 3:FTP 等等。
BYTE bDelete ; //是否已经删除.
char sUser[21]; //基于帐户监控的用户名称
char sPcName[21]; //访问者机器名
char sSrcMac[13]; //源MAC地址
DWORD dwSrcAddr; //源IP地址
DWORD dwDstAddr; //目标地址
char sDstMac[13]; //目标Mac地址
char sArea[51]; //目标机器所在地方
char sFile1[13]; //相关的文件名1 (*.htm *.dat)
char sFile2[13]; //相关的文件名2
char sLocalFile[51]; //相关的文件名3
char reserved1[42]; //保留
BYTE mode; //0:基于MAC,1:基于USER,2:基于IP;
char reserved2[49]; //保留
};
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//以下是网络活动日志数据结构
//文件位于Activities目录下。每天形成一个日志文件
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
struct LOG_EVENT
{
CTime tmBlock; //抓包时间
官方网站: 研制单位:深圳市徳尔软件技术有限公司
38 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
Char sUser[21]; //基于帐户监控的帐户名称
char sSrcMac[13]; //访问者MAC
char sPcName[21]; //访问者机器名
DWORD dwIP;
类型 (保留) BYTE id; //标志,
char sReason[151]; //事件描述 };
struct LOG_USERDEF {
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13]; //访问者MAC
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
char sDesc[151]; //自定义提示
DWORD dwDstAddr; //目标地址
char sAddress[51]; //目的IP所在的位置
};
struct LOG_HTTP
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13]; //访问者MAC
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
DWORD dDomainLen; //域名长度
char strURL[101]; //访问URL
char sAddress[51]; //目的IP所在的位置 };
struct LOG_MAIL
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13];
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
char strFROM[51]; //发送者邮箱
char strTO[51] ; //接受者邮箱 可能很多
官方网站: 研制单位:深圳市徳尔软件技术有限公司
39 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
char strCC[51]; //抄送
char strBCC[51]; //暗送
char strTITLE[101];//邮件标题
BYTE bAttach ; //是否有附件
BYTE bStyle; //接受还是发送 0:表示发送 1:表示接受
char sAddress[51]; //目的IP所在的位置 };
struct LOG_ICQ
{
CTime tmCapture; //抓包时间
char sUser[21] ; //用户名
char sSrcMac[13]; //访问者MAC
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
char sSend[15]; //发送者ID号码
char sRecv[15]; //接受者ID号码
char sTitle[101]; //内容的前100个字的内容
BYTE bStyle ; //是ICQ还是OICQ
char sAddress[51]; //目的IP所在的位置 };
struct LOG_MSN
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13]; //访问者MAC
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
BYTE style; //是发送,还是接受
char sID[51]; //MSN ID
char sContent[101]; //内容的前100个字的内容
char sAddress[51]; //目的IP所在的位置 };
struct LOG_YAHOO
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13];
char sPcName[21]; //访问者机器名
DWORD dwSrcAddr; //源地址
官方网站: 研制单位:深圳市徳尔软件技术有限公司
40 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
DWORD dwDstAddr; //目标地址
BYTE style; //是发送,还是接受
char sSrcID[31]; //源ID
char sDstID[31]; //目标ID
char sContent[101]; //内容的前100个字的内容
char sAddress[51]; //目的IP所在的位置 };
struct LOG_FTP
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13];
char sPcName[21]; //访问者机器名
char sDstPC[51]; //被访问者机器名 可能为域名,也可能是网络邻居
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
char sCommand[151];//命令的前150个字的内容
char sAddress[51]; //目的IP所在的位置 };
struct LOG_TELNET
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13];
char sPcName[21]; //访问者机器名
char sDstPC[50]; //被访问者机器名 可能为域名,也可能是网络邻居
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
char sCommand[101]; //命令的前100个字的内容
char sAddress[51] ; //目的IP所在的位置 };
struct LOG_NETBIOS
{
CTime tmCapture; //抓包时间
char sUser[21]; //用户名
char sSrcMac[13];
char sPcName[21]; //访问者机器名
char sDstPC[51]; //被访问者机器名 可能为域名,也可能是网络邻居
DWORD dwSrcAddr; //源地址
DWORD dwDstAddr; //目标地址
官方网站: 研制单位:深圳市徳尔软件技术有限公司
41 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
char sCommand[151];//打开的文件
char sAddress[51]; //目的IP所在的位置
};
//网络流量日志
struct LOG_NMR
{
char sMac[13];
char sUser[21];
DWORD dwAddr;
DWORD dwNMr[24];
};
第十部分:问与答
一、为什么选择“网路岗”,和同类网络监控产品相比,有什么优势,
“网路岗”一代产品于2001年问世,至今已是第五代产品;经过几次换代升级,产品已十分稳定成熟。
“网路岗”具有国内领先的邮件监控技术和国内领先的聊天监控技术;对各类复杂网络环境的适应能力也是首屈一指。不仅功能强大、界面友好、操作方便,其领先的监控技术和快速的产品升级能力使其在众多的监控产品中脱颖而出~
二、网络监控产品是用硬件好,还是用软件好,
网络监控类产品是用硬件还是用软件,主要取决于两点:
1、网络规模
2、功能要求
我们的建议是:网络规模大用软件,功能要求多用软件,小规模、少功能且不考虑产品价格的前提下,可以考虑硬件产品。
网路岗客户中,目前同一网网络内,监控点最多的将近1万个点,处理能力是一般硬件产品无法做到的。
市面上硬件网络产品的确具有很广泛的应用,比如防火墙、路由器等,和软件相比,硬件产品的价格通常要高出很多,不过,细心的用户会发现:硬件产品在实际应用中,所用到的功能往往比较简单。就拿一些知名品牌防火墙的过滤功能来说,尽管其说明书上列出诸多规则设置,但如果用户真正启用这些功能时,当在线电脑稍多时,其上网速度会变得明显缓慢。硬件产品所采用的过滤模式为转发式过滤方式,当网络通讯量比较大时,普通硬件的CPU处理能力无法适应网络实时通讯的要求,造成通讯瓶颈现象。
功能完善的网络监控产品必然会分析大量的通讯数据包,同时也要求CPU应具备很强的处理能力,针对大型的网络(比如大学校园网),至少需要奔腾4以上CPU来处理;另外,硬盘的存储空间也很重要,就拿邮件监控的功能来说,如果有100台机器每天收发邮件,其日志量应该在300M左右,一个月的邮件日志量就应该在10G左右;可想而知,如果让一款硬件产品来实现该功能的话,的确有些捉襟见肘了。
我们这里提到的硬件产品指的是已将软件固化到芯片中的网络设备,市面上出现的一些“高配置硬件”是“能自动启动的无显示器的PC主机”,不能算是真正的硬件产品。
以“网路岗”为代表的软件产品,能及时追随新的监控/反监控技术,快速升级产品。并且,这些产品大都采用并行监控技术,对网络速度影响甚小,在监控类产品所发挥的作用是有目共睹的。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
42 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 三、如何购买《网路岗.金版系列》,
您可以从我们的代理商那里购买,或者直接通过我们的网站ww.softxp.net联系我们。我们直接以“特快专 递”的方式发货到客户的手中。
关于具体的汇款方式,请联系我们,我们会很快将相关汇款方式传真过去。目前我们接受的汇款方式有:公司转帐、邮局汇款等。
四、购买《网路岗》以后,用户享受那些售后服务,
用户一旦获得《网路岗》的正式授权,将享受如下的服务:
1( 《网路岗》分大版本和小版本。对于小版本之间的升级,我们不收取升级费。但如果是换代升级即大版本,
则根据所购买点数,适当收取部分升级费用。
2( 用户在使用过程中出现的任何问题,均可通过网站www.softbar.com 提供的方式向我公司或者我公司的代理
商进行咨询,我们承诺在24小时内对用户问题进行解答。
3( 用户加密狗在使用过程中出现异常或损坏,均可更换(只需缴纳工本费:100元);如果用户购买后,首次使
用就发现加密狗不能正常工作,我们将立即为您免费更换。
4( 我们将在我们的网站建立完善的正版客户服务体系,所有购买我们正版软件的客户,将会得到一流的服务。 五、打开主程序时,显示找不到网卡信息,怎么办,
打开主程序SentryCenter.exe,如果提示“找不到网卡信息”则按下面的方法处理:
1、 关闭网路岗相关的窗口,运行光盘中的驱动程序SentryDrv.exe
2、 如果仍然出现上述问题,则进入控制面板,打开“添加/删除程序”,卸载Winpcap。
然后重新安装SentryDrv.exe。
3、如果继续出现上述问题,打开“网络邻居”属性,打开网卡的属性窗口,卸载所有的协议内容(包括TCP/IP),
然后重启机器,启动机器后,在保证网卡已经启用,且TCP/IP协议已经安装的情况下,再次安装
SentryDrv.exe,问题应该会得到解决。
六、《网路岗》是黑客软件吗,它容易被人利用吗,
不是。该产品在监控网络活动的同时,已经将个人密码等关键信息严格过滤掉,另外我们提供的试用版也限制了一些功能:如不能查看别人的邮件内容等措施;我们决不会将该产品卖给个人或从事不法活动的团体组织等。所以本产品不容易被人利用。
七、《网路岗》对操作系统有什么要求?
本产品在Windows XP系统平台上开发完成,不能在除Microsoft Windows之外的操作系统上运行,该产品由于包括了几个“后台服务程序”,而Win9x系统不支持“服务”程序,只有在基于NT系统构架的操作系统上 才能正常运行,所以本系统要求操作系统必须是Windows2000/Windows XP/2003。
我们并不打算兼容Win9x版本的系统,如果公司用Win9x系统做代理服务器上网,则很容易被黑客入侵,再加上该机器上有网络监控日志的话,公司机密甚至因此而泄露。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
43 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 八、系统开机后,如果不启动《网路岗》画面,网络监控会起作用吗,
网络监控程序是以后台服务的方式在运行,当机器进入Windows时,服务不需要人为启动而自动运行起来;即使当操作系统处于注销状态或更换用户登录,网络监控照样起作用,但如果系统处于休眠状态,监控将不起作用。
九、我机器有多块网卡,需要选择哪一块网卡来绑定,
一般情况下,当采用代理服务器软件来上网,该机器往往有多块网卡供选择。这时我们要求用户参考该网卡的IP地址和需要监控的网段,选择局域网的网卡。
十、 什么是透明代理服务器,什么是非透明代理服务器, (LinuxAid)
透明代理
透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行有一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据,然后拷贝给客户端。理论上透明代理可以对任何协议通用, 目前能实现的主要有:DNS, Sendmail relay, 和 HTTP.
但是在这种情况下客户端必须正确设置DNS服务器。因为现在浏览器不设置任何代理。则DNS查询必须由browser来解析,也就是客户端必须在TCP/IP中设置正确的DNS服务器,由其完成DNS解析。
大家熟悉的有 Windows自带的Internet 共享上网, Sygate,Adsl+IP分享器,路由器等等
传统代理 -(非透明)
传统代理工作方式下,内部网络和外部网络之间的唯一连接是代理服务器,客户端要在浏览器中设置代理服务器的地址和端口号,客户浏览器在发出连接请求以前,会自动察看浏览器设置的代理地址及代理端口,若设置了代理端口和代理地址,则将连接请求发送给指定的代理服务器的指定端口。这种方式的一个明显特点是客户机在连接以前的DNS查询也由代理服务器去做。解析DNS的过程是根据代理服务器设置的DNS查询顺序进行的。
大家熟悉的有 WinRoute,WinGate,Microsoft ISA,CCProxy 等等
十一、实施网络监控的电脑是双CPU,《网路岗》新版能正常工作吗 ?
能;从三代产品开始,已经支持双CPU。
十二、 《网路岗》对网卡有什么要求,
目前要求是以太网网卡,并且支持杂项接受。我们发现少数老式
笔记
哲学笔记pdf明清笔记pdf政法笔记下载课堂笔记下载生物化学笔记PDF
本上的网卡不能正常绑定。 十三、 《网路岗》能否监控企业员工个人网上密码?
不能,为防止侵犯个人隐私,我们对关键信息作了严格过滤。本产品的最终目的是提高员工工作透明度,
官方网站: 研制单位:深圳市徳尔软件技术有限公司
44 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 而不是窥探他人个人隐私。我们拒绝任何企业对个人密码等信息监控的功能要求,任何个人或非法组织都不能购买本产品。
十四、 我购买了《网路岗》20个监控点,以后公司发展了,需要加点怎么办?
如果贵公司因发展需要,增加了一些电脑,需要增加网路岗监控点,则贵公司向我们申请,我们根据网路岗的市场报价计算需要增加的点的价钱。在收到贵公司汇款后,我们在一个工作日内利用我们的远程升级系统为贵公司授权或升级加密狗。
十五、有部分机器的IP无法解析成机器名是什么原因,
可能有下面几个原因:
1、 目标电脑没有开机。
2、 目标电脑安装了个人防火墙或启用了Windows本身的防火墙功能。
3、 目标电脑和监控机不在同一个域。
十六、怎样设置缺省的上网规则,以便让自动加入的机器启用该规则,
基于网卡的网络监控模式和基于IP的网络监控模式都有“缺省规则”的设置选项,如上图,在上网规则设置完毕后,用户可以“保存当前设置为缺省规则”。一旦设置了缺省规则后,系统在发现新的目标时,会自动匹配该规则。
十七、四代产品的日志和配置文件五代可以用吗,两者可以共存吗,
完全可以,四代产品的日志文件缺省存放在安装目录的CAPLOG子目录下,五代同样是这样,所以只需要将四代产品的日志目录拷贝到五代对应的目录下即可。
至于机器配置,用户在四代产品中,进入对应的网络监控模式下的机器栏目,用“导出”命令导出机器列表,进入五代产品中,进入对应显示机器列表的栏目,使用导入命令来导入四代产品中的机器列表及配置。
四代产品可以和五代产品同时运行,不过考虑到可能占用系统资源比较大,不建议这么做。 十八、五代产品支持Windows自带的远程桌面管理吗,
从五代产品开始,我们将完全支持“远程桌面管理”,这样有利于客户查阅日志及远程管理。
官方网站: 研制单位:深圳市徳尔软件技术有限公司
45 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 第十一部分:工具软件的使用
一、远程升级&维护
1、打开上述画面,联系软件开发商,双方协商好通讯端口,用户发出连接请求。
2、连接成功后,填写公司基本信息并按下“传送…”按钮。
3、如用户有什么要求或技术问题,可以通过图下方的交流窗口进行交流。该交流窗口可自动对交流文字进行“繁简转化”。
4、连接失败,则可能受到防火墙的干扰,需要用户先停止防火墙。
5、发出连接请求后,在交流区很快显示“断开和服务器连接”,则是由于开发商正忙于给其他用户授权,致使当前请求被拒绝,需要用户等一段时间。
二、日志备份
1、创建备份日志文件。如下图:
在备份向导中选择日期范围。如下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
46 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
2、恢复日志。选择菜单“文件”-“打开…”,在打开指定的日志文件以后,再选择“恢复备份”菜单。如下图:
三、列表库管理中心
在对某一列表库进行操作之前,请先打开它,如下图:
官方网站: 研制单位:深圳市徳尔软件技术有限公司
47 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
表示:在打开的列表库中查询某个网址是否存在。
表示:在打开的列表库中添加新的网址。
表示:在打开的列表库中删除某个网址。
表示:导入列表文本文件到打开的列表库中。
表示:导出打开的列表库中的网址(注:考虑到版权方面的原因,开发商提供的网址内容不能导出)。
表示:网上更新列表库。如下图:
四、IP包分析工具
IP包分析工具是英文界面,主要是方便用户在各种语言环境下使用(本程序可独立运行)。 下面是一些符号所代表的意义:
SN 通讯包序列号
TYPE 通讯包类型
Source IP 通讯包的源IP地址
SPort 通讯包的源端口
SMac 通讯包的源网卡地址
Destination IP 通讯包的目的IP地址
DPort 通讯包的目的端口
DMac 通讯包的目的网卡地址
Data Length 通讯包的数据内容长度(不包含包头)
如果只监控某一个IP的通讯包,只需要在“Packet Filter”下方的IP处输入要监控的IP,然后选中“Apply
Filter”;如果只监控该IP的某一个端口(比如:80)的通讯包,则还需要在“Packet Filter”下输入端口(比如:80)。 第十二部分:附录
系统参数:
项目 描述 备注
网络通讯包分析协议 二层 DoD IP
Arp
Reverse Arp
PPP Frame
官方网站: 研制单位:深圳市徳尔软件技术有限公司
48 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控
三层 TCP
UDP
ICMP
封TCP类型包 是否有效 有效 封UDP类型包 是否有效(选用网有效 用户选择网路岗NAT做为共享
路岗NAT) 上网的工具 封UDP类型包 是否有效(不选用无效 用户不选择网路岗NAT
网路岗NAT)
远程查阅日志 开放端口 9010,9011 远程探测/截屏 开放端口 7788 网路岗NAT 可搭桥数量 5000 系统提供的确省缓冲,用户可根
据上网机器数量,向开发商提出
增大Buffer的需求。 内部网段 最大数量 50 Internet出口IP 最大数量 20 内网资源 最大数量 20 现场观查 缓冲容量(记录数) 250 远程控制中心 最大数量 20 空闲IP 最大数量 100 帐户名称 最大长度 20 群组名称 最大长度 30 机器名称 最大长度 20 事件描述 最大长度 150 自定义禁止端口 最大数量 100 访问请求文件类型 最大数量 50 时间段 最小单位 半小时
系统配置文件(ETC子目录下)sys.ini:
Sys.ini项目描述
[BLOCK]
direction=0
[PACKET]
readtimeout=20
[SENTRYAGENTB]
packet_buf_size=512
filter=
[SCANIP]
mactime=5
[EMAILSERVER]
enable=1
ip=0.0.0.0
[SITELIST]
count=5
官方网站: 研制单位:深圳市徳尔软件技术有限公司
49 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网监控 direction 封堵方向标志,缺省是0,如果做了封堵后,导致接监控机的交换机
丢包,则可以考虑将该标志该为1
readtimeout 读取通讯包的过期时间
Packet_buf_size [外发资料监控服务] 存放通讯包的缓冲区大小,单位为K,如果网
络通讯量较大时,可考虑增加其大小,但可能导致日志记录延迟。 Filter [外发资料监控服务] 包处理过滤,如果设置了过滤串,则抓包时,
只是抓符合过滤条件的包,比如:
80 or 110 or 25 or 21 or 20
这样设置后,系统处理效率会提高,且Packet_buf_size不用设置太
大,但是分析的端口减少可能导致通过其他端口出去的内容不能监
控。比如通过 HTTP 8080端口的数据就不能监控。 mactime 扫描间隔时间,单位:分钟。在跨vlan监控时,如果采用基于网卡
的网络监控模式,则系统会定期扫描其他vlan的机器IP和Mac对应
情况,该时间即为扫描间隔时间。缺省是5分钟。
[EMAILSERVER] 如果监控目标是一台邮件服务器,需要将enable设置为1,同时输入enable=1 邮件服务器的IP地址。
ip=0.0.0.0
[SITELIST] Count指:“网页过滤”规则项目中,列表文件的套数 count=5
官方网站: 研制单位:深圳市徳尔软件技术有限公司
50 关键词:网路岗,网络岗,网络监控,网络管理,网络管理软件,网络监控软件,邮件监控,邮件记录,上网管理,上网
监控
官方网站: 研制单位:深圳市徳尔软件技术有限公司
浙公网安备 33021202002483