网路岗8用户手册Word格式.docx
《网路岗8用户手册Word格式.docx》由会员分享,可在线阅读,更多相关《网路岗8用户手册Word格式.docx(57页珍藏版)》请在冰点文库上搜索。
启动监控服务.............................................................7
检验“监视/过滤”效果...................................................7
第三章:
基于MAC的跨VLAN监控...........................................................................................8
最常见的的跨VLAN结构及安装图。
..........................................8
跨VLAN监控常用俗语......................................................9
跨VLAN监控时的软件配置.................................................10
第四章:
监控模式:
基于MAC/帐户/IP.....................................................................................11
“基于网卡”的监控模式..................................................11
MAC地址及其获取方法...............................................................................................11
基于网卡监控的含义.....................................................................................................11
管理电脑列表.................................................................................................................11
跨VLAN.........................................................................................................................12
“基于帐户”的监控模式..................................................12
“基于IP”的监控模式...................................................13
监控方式的选择..........................................................14
第五章:
上网规则.........................................................................................................................14
第六章:
上网评价.........................................................................................................................15
第七章:
客户端规则.....................................................................................................................18
安装/卸载客户端软件.....................................................18
智能截屏................................................................20
第八章:
报警.................................................................................................................................20
GSM短信报警............................................................21
邮件报警................................................................23
声音报警................................................................24
上网带宽控制.................................................................................................................25
实现带宽管理的前提条件..................................................25
带宽管理具体操作方法....................................................25
第九章:
常见问题解答.................................................................................................................26
产品安装/卸载/重装
产品安装
配置要求
运行平台:
WindowsXP/2K/2003/win7
最低配置:
奔4处理器,40G硬盘,512M内存。
如果用户监控电脑数量较多,可适当
提高系统基本配置。
开始安装
如果您的电脑上已安装过《网路岗》早期版本,那么请停止相关的后台服务,但不用卸
载,因为最新产品安装目录不一样,对于老版本的监控日志,第八代是兼容的,您只需要把
以前的日志目录拷贝到第八代的日志目录下即可。
运行安装包(或CD)中的Sentry8_Setup.exe文件,根据安装提示操作即可完成安装。
注册产品
打开“帮助”菜单,选择“产品信息”项,在弹出的窗口的中点击“注册”按钮,填写
相关内容,进行注册,见下图。
<
图1>
如果您没有注册码,那么可以进入《网路岗》产品网站“下载中心”获取一个免费试用
码。
如果免费注册码的“试用期限/监控点数/功能”等不符您的要求,您可以直接联系销售
人员,以获取其他的试用码。
注册码可分为几个不同版本:
校园版、企业版、城域网版、网络审计专版。
卸载产品
进入系统“菜单”,选择“卸载产品”,或进入“控制面板”—“添加/删除程序”,开始
卸载。
卸载时,主要考虑两个选项:
删除“配置文件”,删除“日志文件”,配置文件存放在安
装目录下的ETC子目录下,缺省日志文件目录在安装目录的CAPLOG子目录下。
如果卸载时选择了保留以前的配置文件和日志文件,则以后重新安装的时候,这两个目
录不会被覆盖。
重装产品
如果您需要更换操作系统,或对系统盘进行格式化处理,那么需要重装本系统,我们建
议:
1、
2、
停止“网路岗”监控服务,关闭网路岗相关程序,然后备份“配置文件”和“日
志文件”到其他盘中,
等系统处理完成后,那么再安装“网路岗”,在没有打开“网路岗”的情况下,
把备份的日志和配置文件覆盖回去。
初始化工作
快速启动(针对单网段)
执行下面步骤之前,请确保该产品已经注册,注册方法见“安装”部分。
第一步:
打开桌面“网路岗”主程序,选择捕包网卡,通常情况选一块,如下图:
图2>
第二步:
选择“安装模式”:
旁路监控。
另外两种模式可实现控制带宽功能。
第三步:
启动“上网监控”后台服务(双击启动),如下图:
图3>
第四步:
搜索目标电脑,如下图:
图4>
如果搜索成功,会出现类似下面的列表,
图5>
电脑前面的小图标分别代表不同的状态:
监控
、不监控
、封杀
,用鼠标点击后
可改变其状态。
第五步:
观看效果。
如果网络有流量出现,则下面图中的指针会摆离0的位置;
出现摆动,说明所绑定的网
卡的确有通讯流量。
图6>
打开“现场观察”窗口
,让搜索出来的电脑上网,观察上网情况。
如果在“现场观察”窗口中能观察到客户机的上网活动,则表明监控已初见成效。
相反,
如果没有任何监控内容出现,那么,请继续阅读下面的介绍。
了解已有的网络结构,确定监控方案
常见的网络情形:
1>
:
单网段结构,所有电脑以一个硬件路由器(或防火墙)作为上网出口。
2>
单网段结构,所有电脑通过其中某一台电脑上网,该电脑安装了代理服务器软件(或
启用了系统本身自带的Internet共享)。
3>
多网段结构,核心交换机上划分VLAN,所有电脑通过一台(或多台)连接核心交换机的
路由器(或防火墙)上网。
4>
多局域网结构,整个网络由多个互不相连局域网组成,各自通过单独的路由器(或防火
墙)上网。
针对上述几种常见网络结构,这里分别给出各自的应对方案:
针对<
情形1>
有三种可能的方案。
第一方案:
在路由器和内部交换机之间添加共享HUB,路由器和交换机分别连线到
HUB,监控机也连接到该HUB上。
这是惯用的老式监控方案,该方案要求HUB性能稳定,
最好是100M的。
该反案不能实现带宽管理。
第二方案:
在安装“网路岗”的电脑上安装两块网卡,一进一出,分别接交换机和路由
器,在“网路岗”软件中启用“网络桥”功能。
可实现带宽管理。
第三方案:
如果和路由器相连的交换机是网管型交换机(最便宜的不超过500元RMB),
支持“端口镜像”功能,那么,直接在该交换机上找出一个空闲口,设置为“镜像端口/监
控端口”,和路由器相连的交换机口,设置为“被镜像端口/被监控端口”。
该反案不能实现
带宽管理。
情形2>
,安装非常简单,只需要将《网路岗》和代理服务器软件安装在同一电脑,
可实现带宽管理功能。
情形3>
,监控相对复杂一些。
首先,因为网络通讯包在跨VLAN后发生改变(这种变化还因交换机型号不同而不同),
造成监控和封堵上的困难,尽管如此,大多数用户仍希望以网卡地址来作为监控依据。
但是,“网路岗八代”仍然有较为满意的解决方案:
通常情况下,用户需要在核心交换机上设置“端口镜像”功能,将连接路由器(或防火
墙)的网线的交换机口全部镜像到位于某一同级VLAN的口(监控口)。
监控口连入安装“网
路岗”软件的电脑,这样所有电脑的上网信息包汇总到“监控电脑”上,于是达到监控的目
的。
要正常监控,用户还必须做相关设置,包括“汇聚MAC”,MAC采集点”等,具体见《第
三章》。
如果交换机设置“端口镜像”功能后,监控口变成“单向接受”状态,具体表现为:
不
“
能和其他内网电脑发生通讯。
那么用户需要添加另外一块网卡,用来作为专门的过滤网卡,
具体见《第三章》。
情形4>
,需要在监控机上安装多块网卡,每块网卡对应一个网络,通过设置“端
口镜”或加HUB等方式将通讯数据搜集过来,关于设置端口镜像和过滤网卡部分请参考<
情
形3>
。
选择捕包网卡/过滤网卡
见<
,用户可以同时选择多块网卡作为“捕包网卡”;
绝大多数情况下,捕包网卡
只有一块,但可能存在特殊情况,需要通过多块网卡才能捕获到需要的网络通讯,这时,就
需要选多块捕包网卡,如上面提到的网络结构<
如果因为设置“端口镜像”导致不能对目标机进行封堵,则用户还必须通过“添加网卡”
来达到封堵的目的。
这时,请针对“捕包网卡”设置对应的过滤网卡,见下图:
图7>
启动监控服务
见前面的<
,双击选中的后台服务程序,以启动或停止它。
针对不同的服务,对其
功能做个介绍:
《监控服务》功能:
监视/控制常见的网络活动和外发资料,更新机器列表。
《内网管控》功能:
自动接受客户机发送过来的截屏图片等功能。
《数据通讯服务》功能:
负责处理远程客户机查阅监控日志的请求。
《挂靠/网桥服务》功能:
实现带宽控制功能。
《看管服务》功能:
监视其他服务运行情况,处理报警信息。
检验“监视/过滤”效果
严格按照前面提到的方式安装并配置完成后,这时用户就可以体验监控效果了:
1、监视功能
前面<
快速启动>
部分已经提到。
2、过滤功能
用鼠标选中某一台要测试的电脑,确认其状态为监控状态
,检查其“上网规则”,缺
省为<
空>
状态,选择已有上网规则:
“只允许访问Google”,如下图,按下“保存设置”按
钮。
保存后,在电脑列表会中出现已经设置好的规则。
这时,规则只允许当前电脑访问google网站,而其他网站则被过滤掉。
图8>
让被控电脑上网,检验预期效果,另外,为了确认系统是否做过封堵操作,同样可打开
“现场观察”窗口,进入“过滤”显示栏目
,并观察是否有封堵记录。
当设置上网规则后,电脑会显示规则名:
基于MAC的跨VLAN监控
如下图:
被控目标机器位于VLAN1VLAN2VLAN3……中。
镜像口/被镜像口/过滤网络线口位于VLAN0中,VLAN0被当作“管理VLAN”,最高
级别,最靠近Internet。
图9>
跨VLAN监控常用俗语
端口镜像:
将交换机的某一网口网络通讯数据拷贝到另一个端口,源网口称为“镜像端
口/监控口”,目的网口称为“被镜像端口/被监控口”。
如果设置“端口镜像”后,电脑无法
通过监控网口和网络内其他电脑发生通讯,这种情况通常被称为“单向接受模式”。
CISCO
交换机器属于这类情况,但也有做了“端口镜像”后,仍可以通讯的,如TPLINK-SF2008
等。
MAC采集点:
是一个用以采集其所在VLAN内其他电脑网卡地址信息的小程序,不需要
做任何配置,能和监控机主动通讯,及时上报VLAN内的MAC地址信息。
该程序并非必不可少,只不过有了它,监控机对信息的采集更及时、准确。
MAC采集
程序一般在每个VLAN投放一个,如果被投放的电脑经常关机,则也可同时投放多个采集
程序到同一VLAN。
过滤专用网卡:
为了将过滤信息包发送到交换机,网路岗需要一块能和其他电脑正常通
讯的网卡,这块网卡就是“过滤专用网卡”。
过滤网卡必须和被监控口位于同一VLAN中。
汇聚MAC:
被监控目标电脑发出的通讯包跨VLAN后,数据包发生改变,网卡地址被统
一修改为某个特殊的MAC,这个MAC称为“汇聚MAC”,“汇聚MAC”地址由系统自动
探测,但需要用户手动选取。
跨VLAN监控时的软件配置
选好捕包网卡,启动<
网络活动监控服务>
,进入系统“设置”栏目,打开“杂项”设
置,如下图:
图10>
选择跨VLAN监控,系统自动打开“汇聚MAC”的设置部分,保持该窗口处于打开状
态,定期按下“刷新”按钮,如果系统探测出“汇聚MAC”,会自动显示出来;
用户将显示
的汇聚MAC加入到汇聚MAC列表中;
如果网内电脑上网活跃,则很快能搜集出所有的汇
聚MAC,首次进行设置时,建议保持该窗口打开10分钟以保证搜集出所有汇聚MAC。
如果用户在网内部其他电脑上安装有“MAC采集点”,则很快就能被系统探测出来,并
列出采集点的IP地址。
另外,某些交换机VLAN通讯比较特殊,需要选中“封堵特殊选项”和“封堵时不考
虑VLAN标记”。
至此,跨VLAN监控的配置基本完成。
最后,考虑到涉及到跨VLAN的用户,通常其监控目标也较多,电脑列表中会出现非
常多的电脑,如果电脑全部搜集到一个“群组”下面,管理起来比较困难,所以,第八代提
供了专门的“新电脑自动归类”处理机智,如下图:
图11>
基于MAC/帐户/IP
“基于网卡”的监控模式
MAC地址及其获取方法
网卡地址也称MAC地址,就是在媒体接入层上使用的地址,通俗点说就是网卡的物理
地址,现在的Mac地址一般都采用6字节48bit(在早期还有2字节16bit的Mac地址),
MAC地址被习惯地用12位数字和字母组成,如:
00E018D3C239。
获取网卡MAC方法比较多,在Win9x可用WinIPcfg获得,在2000、XP可用命令:
IPconfig