四、网络监控软件的解决方案分类比较：

　　（一）按照运行原理区分为：监听模式和网关模式两种

　　1、 监听模式

　　通过抓取总线MAC层数据侦方式而获得监听数据，并利用网络通讯协议原理而实现控制的方法；因此监听模式最大的弱点原理性的，也就是说需要如下方法之一来解决安装问题：

　　(1)通过共享式HUB（集线器）

　　这个模式是一个比较通用的方法，但由于HUB基本都是10M的，因此在网络性能上将很大限制，也意味丢包的危险；目前HUB几乎到了淘汰的命运；也不适合大型网络环境，因此是很大局限；

　　(2)通过镜像交换机

　　可网管的镜像交换机首先是比较贵并需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话（比如30个电脑一下），那么增加购买镜像交换机意味成本的提高，另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向（监视和控制）数据流处理不完善而导致交换机瞬间阻塞现象；但相比HUB模式来说，使用镜像交换机实现监听无疑是理想的选择；

　　(3)通过代理/网关服务器

　　所以代理/网关服务器，就是在这个电脑通过WINDOWS连接共享设置、SYGATE、CCPROXY、ISA等，其他电脑通过这个代理/网关服务器分享上网；一般都是双网卡模式；一个网卡连接外网，另外一个网卡连接内网，监控软件捆绑内网卡；但现在大部分的网络已经不再使用这个模式，直接通过路由的NAT上网共享模式；而像ISA这样的网络，每个电脑都要去设置就足够麻烦了；而WINPCAP模式下对ISA是无法监控的；目前分为：

　　（a）服务代理模式：比如CCPROXY

　　比如设置上网浏览为8080，邮件为8025等等，这样的代理模式；下面的电脑需要一个一个设置应用代理端口，因此已经很少人使用了；

　　（b）透明网关模式：比如WINROUTER，

　　网内其他电脑设置默认网关就可；通过NAT地址转换；

　　(4)ARP欺骗模式

　　ARP欺骗模式将可以实现在普通交换机下的数据监听，方法简单有效，但主要是两个弱点，一是不适合规模大的网络（建议少于50台电脑的环境）；二是会和网络内其他的ARP欺骗软件互相冲突干扰而导致网络瘫痪；

　　因此我们看到，其实所有的监听模式的解决方法都是不太可靠的，而目前所有使用WINPCAP驱动的网络监控软件以及使用网络层驱动的软件都是监听模式；如果要求你前面的3个安装方法之一的就肯定是监听模式软件；不管软件厂家吹了多少牛欺骗了多少无辜的人；因此真正商业运行的话强烈建议网关模式；特别是网络规模大、环境复杂的网络不适合

　　2、 网关模式

　　由于所有出口数据流都必须经过该网关，因此控制方面可以说是最强大完美而无任何副作用的方式，因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点；克服了所有监听模式下阻断UDP的致命弱点；是网络监控最理想的模式；

　　（二）按照管理目标区分为：内网监控和外网监控两种

　　1、内网监控的主要目标是管理网内电脑的所有资源和使用过程；比如网内的电脑硬件资源（有什么设备，是否允许使用）、软件资源（安装了什么软件，是否允许使用）、数据资源（有什么重要资料文件、数据、是否被合法使用）、行为操作（对工作的评估、使用电脑的合法性、干了一些什么事情）等等；

　　2、外网监控的主要目标是监视网内电脑上网内容和管理上网行为；比如网络监控、邮件监控、上网监控、网页监控、FTP监控、MSN聊天内容监控、游戏监控、流量监视和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/贸易通等聊天行为监控、自定义监控、TCP/DUP全系列双向端口监视和控制，BT完美禁止等等；

　　因此无论是硬件还是软件方式解决方法，应该包含内网监控和外网监控产品，通过合理的投资代价获得不断升级拓展更新对资源和行为管理；硬件在性能上相比软件来说是比较优势，但在拓展性、升级更新、投资成本上却成了最大的麻烦；

　　五、局域网网络监控软件用例

　　1、本人为了写毕业论文，几乎测试过目前国产所有网络监控软件，从实际测试结果看聚生网管无疑是最成功的产品之一，关于该产品如果有兴趣的人可以到他们官方站 http://www.grabsun.com 下载测试；（非广告，仅做例子）

　　2、之所以用这个产品作为用例原因如下：

　　（1）采用最新的抓包引擎技术，最大限度提升抓包效率

　　（2）采用了主动引导模式、网关模式、网桥模式、旁路模式、监视模式等等高达6种监控模式，为国内最多

　　（3）控制30余种P2P工具，为国内控制最多、最有效、最彻底的网络管理软件

　　（4）控制10多种聊天工具，同样为国内控制最低、最有效、最彻底的

　　（5）控制当前所有主流的股票软件、网络游戏软件

　　……

　　3、 安装部署方法：

　　（1）随意找个电脑，软件从他们官方下载，然后开始安装（默认下一步就完了）

　　（2）登陆控制台，选择监控模式，然后点“启动网络控制服务”，就可以了

　　默认是网关模式，如果你是要立即测试先选择“旁路模式”；输入网关IP地址，获得MAC地址；确定后就可以立即监视20个电脑了；

　　六、结束语

　　本文提供局域网监控软件大致的实现技术介绍，给予关注局域网网络监控的人士部署时候策略参考；企业管理人应认识到网络监控的重要性以及自己可能正被监控的时代来临。