总经销:大成电脑计算机资讯有限公司二〇〇四年二月三日目 录第一部分:产品安装/调试 4第二部分:产品升级与卸载 8第三部分:功能描述 9第四部分:监控模式 10一,基于网卡的监控模式 10二,基于IP的监控模式 13三,基于帐户的监控模式 16四,混合监控模式 21第五部分:常见系统配置 22一,网络定义 22二,监控项目 24三,监控时间 25四,端口配置 25五,空闲IP 25第六部分:上网规则 26一,上网 26二,网页过滤 27三,过滤库 28四,上网反馈 29五,收发邮件 30六,邮件过滤 31七,IP过滤 32八,封堵端口 33九,外发尺寸 34十,限制流量 35十一,绑定IP 36十二,监控项目 37第七部分:日志查阅&管理 37一,查阅网络活动日志 37二,查阅外发资料日志 39第八部分:远程控制中心 42第九部分:二次开发 44第八部分:问与答 49一,为什么选择"网路岗",和同类产品相比,有什么优势? 49二,监控产品是用硬件好,还是用软件好? 49三,如何购买《网路岗.金版系列》? 49四,购买《网路岗》以后,用户享受那些售后服务? 50五,打开主程序时,显示找不到网卡信息,怎么办? 50六,《网路岗》是黑客软件吗?它容易被人利用吗? 50七,《网路岗》对操作系统有什么要求? 50八,系统开机后,如果不启动《网路岗》画面,监控会起作用吗? 51九,我机器有多块网卡,需要选择哪一块网卡来绑定? 51十, 什么是透明代理服务器?什么是非透明代理服务器? 51十一,监控机是双CPU,《网路岗》新版能正常工作吗 ? 51十二, 《网路岗》对网卡有什么要求? 51十三, 《网路岗》能否监控企业员工个人网上密码? 52十四, 我购买了《网路岗》20个监控点,以后公司发展了,需要加点怎么办? 52十五,有部分机器的IP无法解析成机器名是什么原因? 52十六,怎样设置缺省的上网规则,以便让自动加入的机器启用该规则? 52第九部分:工具软件的使用 53一,远程升级&维护 53二,日志备份 54三,列表库管理中心 55四,IP包分析工具 56第十部分:附录 56第一部分:产品安装/调试准备安装 在购买本产品之前,用户必须先了解如何正确安装"网路岗",只有正确安装,网路岗的作用才能充分发挥出来.目前局域网的网络结构名目繁多,实现共享上网的方式也不相同,因此,针对不同的网络结构和上网方式,我们做了详细的分类,并制作成安装向导,用户安装本产品之前请务必阅读"网路岗.安装向导" 知识准备:1,监控模式(基于网卡/基于帐户/基于IP/混合型),详见第三部分2,网段/IP段/单网段/VLan IP地址范围段3,绑定网卡 配置网路岗用以抓取通讯数据包的网卡.4,信息过滤网卡 配置网路岗用以堵截网络通讯包的网卡.5,网路岗.驱动程序 网路岗抓取通讯数据包的底层驱动程序.6,网路岗.安装向导 网路岗在各种环境下的安装方案.7,NAT地址转换 私有地址和公网地址之间的地址转换.8,代理服务器软件 实现多台机器共享一个出口线上网的软件.9,镜像端口/分析端口/SPAN口 用以侦听其他端口的所有通讯数据包的端口开始安装1,机器系统要求:操作系统:Windows NT/XP/2000/2003 CPU:Pentium Ⅲ 或 赛扬1.7G以上硬盘空间: 剩余空间2G以上,如果监控100台机器的邮件,建议采用30G以上的硬盘.特别说明:监控机器越多,网络流量越大,需要的配置越高, 根据以往的经验,P4以上配置的PC上运行网路岗,监控的在线机器可达1000台以上.2,打开安装光盘,进入子目录GB/BIG5/ENG(分别指:简体中文版/繁体中文版/英文版) 运行安装程序Setup.exe 3,安装完毕后,如果用户在本机上没有安装早期"网路岗"产品,则还需要安装光盘中网路岗驱动程序SentryDrv.exe; 安装完成后系统目录如下: 其中:ETC\子目录存放的系统有关的所有配置文件,如 PcInfo.map 是"基于网卡"监控模式的用户信息,UserInfo.map是"基于账户"监控模式的用户信息,IpInfo.map是"基于IP"监控模式的用户信息.ShareArea.map存放的是系统配置数据; CapLog\是系统默认的用来存放监控日志的目录(该日志存放目录可由用户自定义); CapLog\Activities\存放的是网络活动日志; CapLog\WebFiles\存放的是外发资料日志;找不到网卡信息怎么办?打开主程序SentryCenter.exe,如果提示"找不到网卡信息"则按下面的方法处理:关闭网路岗相关的窗口,运行光盘中的驱动程序SentryDrv.exe如果仍然出现上述问题,则进入控制面板,打开"添加/删除程序",卸载Winpcap.然后重新安装SentryDrv.exe.3,如果继续出现上述问题,打开"网络邻居"属性,打开网卡的属性窗口,卸载所有的协议内容(包括TCP/IP),然后重启机器,启动机器后,在保证网卡已经启用,且Tcp/ip协议已经安装的情况下,再次安装SentryDrv.exe,问题应该会得到解决.绑定网卡 如果安装本产品的电脑有多块网卡,则用户须小心选择网卡,一旦选错网卡,"网路岗"不但监视不了任何信息,同时也不能对目标机器进行任何控制. 选择网卡时,用户应选择内网段的网卡,而不能选择接入Internet的网卡.出现多块内网网卡时,可能需要用户逐块选择并测试监控效果. 缺省情况下,系统获取通讯数据包的网卡和发送封堵包的网卡是同一块,但用户可以通过设置信息过滤网卡,通过另外一块网卡来发送封堵包以控制目标机器.有一种情况,用户必须启用信息过滤专用网卡.当用户设置"镜像端口"来实现对数据包监视后,发现尽管接入"镜像端口"的机器IP配置正确,但仍不能和局域网其他机器进行通讯,也就是说,所设置的"镜像端口"只能接受通讯包,而不能发送数据包,"镜像端口"是单向的.针对这类情况,我们建议用户再添一块网卡,作为"网路岗"的信息过滤专用网卡.选择监控模式 网路岗.金版系列同时提供多种监控模式:基于网卡/基于帐户/基于IP/混合型,用户具体选择哪一种模式,直接影响到监控的效果,关于监控模式的选择请参考第四部分.测试监控效果(以基于网卡的监控模式为例) 用户测试监控效果时,请不要急于对被监控机器进行封堵,建议打开"现场观察"窗口,先观察能否实时监控到目标机器上网站页面的情况. 1,启动监控服务 进入项目"服务",启动所有的监控服务.如下图: 2,检查授权状态 如果您有"网路岗"并口加密狗,请接到打印机并口(不建议级联多个加密狗),如果监控机上原来有打印连线,则需要取下连线,等接好加密狗后,再将打印机线接到加密狗上. 如果您有"网路岗"USB加密狗,请将其接入USB插槽,接着应该出现下面的画面,选择"继续安装",则USB加密狗驱动程序自动成功安装.(注:插USB加密狗前,请先运行本产品的安装程序) 如果您没有加密狗,则需要远程接入"网路岗"产品升级&维护服务器,并联系相关人员进行远程授权.具体方法: 打开菜单"工具"——"远程授权&维护",填写信息,发送信息到德尔软件公司.该工具开启了一个聊天交流窗口,您可以在此处和产品开发商进行交流. 最后,打开菜单"帮助"——"关于",检查授权的用户数和授权状态. 3,检查目标机器的监控状态 选择项目"监控策略"——"基于网卡",先看看是否有机器信息,如果没有,用"搜索邻居"功能试着搜索.(搜索时注意IP范围的选择是否正确). 每台机器的前面可能有下面的小图标,用户鼠标直接点击小图标,其状态可循环改变. 其中表示该机器被监控,表示该机器不被监控,表示该机器不被监控但也不允许上网. 计算监控点时,以状态为一监控点,超过用户购买的监控点时,系统自动将多余的机器标记为状态 如果被测试的机器是代理服务器,则应该选其他机器测试.4,检查被监控的机器上网情况 打开菜单"文件"——"现场观察",在确保被测试的机器处于状态后,让该机器上网站,等.并留意"现场观察"窗口中是否有对应的信息;如果该窗口中能正确显示目标机器的上网情况,那么说明对该机器的监控是正常的,也说明对该机器的封堵也将起作用. 5,封锁目标机器上网 选中被测试的机器,进入"封堵端口"子栏目在80端口上打上勾(注:如果用户网络采用代理上网,则上网端口可能不是80,则需要用户"添加"新的端口,并打勾),封锁时间段全绿,按下按钮"更新规则=>ET",最后按"保存设置"使设置生效.设置完毕后,再次让被目标机器上网,并检查"现场观察"窗口下半部分的记录显示.通过上述四个步骤的测试,可以有效地检测出产品安装是否成功.第二部分:产品升级与卸载产品升级 监控/反监控技术日新月异,需要监控的内容越来越广泛,因此,软件的快速升级至关重要,目前本系统还暂不支持软件程序自动升级更新,仍需要用户定期从网上下载正式版本安装.安装前,请停止所有监控服务,并退出已打开的网路岗相关的程序.然后覆盖安装.选择覆盖安装时,以前的配置文件和监控日志仍然保留,不必担心丢失. 如果产品升级和卸载之前希望能备份以前的配置和监控日志,请参考第一部分对产品目录的说明.卸载产品 开始卸载前,需关闭网路岗相关的所有程序(监控服务除外),运行Windows桌面上产品目录下的"卸载程序";在"卸载"画面上有两个选项:1,卸载配置文件,2,卸载监控日志;用户根据自己需要决定是否选中. 如果原来设置了用户操作密码,并已经启动权限管理模式,则该处需要输入用户名和密码;做这样的设计主要是防止无关工作人员卸载本产品.第三部分:功能描述邮件监视/控制 1. 监视并记录通过OutLook Foxmail等工具接受/发送邮件的邮件正文和附件; 2.监视通过免费邮局发送的Web邮件内容和附件;3.控制外发邮件的大小;4.对邮箱的过滤;5.限制收发邮件的端口;聊天监视/控制 1.监视MSN Messenger /Yahoo Messenger /ICQ 的聊天内容;能监视发送QQ消息的机器; 2.全方位封堵聊天软件(包括使用HTTP代理做出口);上网监视/控制 1.可监控到上网的网站URL; 2.可监视到在网页上发表文章或申请服务或在一些网站上的聊天内容; 3.多种过滤库;其中,列表库有:色情列表库/游戏网站列表库/股票网站过滤库/聊天网站过滤库;端口有:股票软件端口库/游戏端口库;关键词有:黄色关键词过滤库; 4.只允许某些机器在某些时段只能上指定的网站; 5.关键词过滤;可封锁Google Baidu 3721 Yahoo等知名搜索引擎上的搜索关键词,并支持中文关键词的过滤; 6.自定义封锁端口或只开放某些上网端口; 7.下载过滤;可封锁某些类型的下载文件; 8.IP过滤;可过滤某些地区的网络服务器; 9.IP与MAC地址的绑定;其他协议的监控FTP详细命令监控/FTP上传文件内容记录;Telnet详细命令记录;Netbios命令监控;监控屏幕 1.可动态(或静态)截取客户机的电脑屏幕; 2.可设置监控屏幕的图片质量和自动抓取屏幕的功能; 3.可随时发送消息给被监控机器;监控上网流量 1.可实时看到每台上网机器的网络流量(上行流量/下行流量); 2.可统计每台机器在某段时间的上网流量; 3.可限制每台机器的上网流量;包括限制每周/每天/每小时/每刻钟/每分钟的上网流量;自定义监控项目 对网路通讯数据包结构比较熟悉的高级用户可根据自身要求,定义要监控的通讯数据.软件本身的功能自动搜索功能;可迅速搜索网络内的机器,并可解析出机器名;提供IP包分析工具;便于用户自己分析网络游戏软件的端口;一机监控,多机远程查看;管理者可通过因特网从其他电脑上查阅监控日志;严格的权限控制管理;对于服务器的设置操作,远程查阅日志,本地查阅日志等都需要严格的身份验证;监控日志自动定期压缩备份转移;多种监控模式:基于网卡的监控/基于帐户的监控/基于IP的监控,以及混合模式的监控;超强适应各种网络环境的能力;可捆绑目前市面上的所有代理服务器软件,可适应各种硬件环境下的上网模式;查阅,统计,打印监控日志内容;现场观察监控内容;10.日志内容转移接口;为便于日志内容的上报,该系统提供了日志上报转移的开发接口;11.正式版安装以后,同一网段内,其他机器上的试用版不能正常运行;12.跨平台监控;被监控电脑也可以是Unix ,Linux 等其他操作系统;第四部分:监控模式一,基于网卡的监控模式 网卡MAC的含义及其获取方法网卡地址也称MAC地址,就是在媒体接入层上使用的地址,通俗点说就是网卡的物理地址,现在的Mac地址一般都采用6字节48bit(在早期还有2字节16bit的Mac地址),MAC地址被习惯地用12位数字和字母组成,如:00E018D3C239.MAC地址前24比特位由是生产厂家向IEEE申请的厂商地址,后24比特位就由生产厂家自行定以了.理论上讲,市面上每块网卡的MAC都是唯一的.但是,实际情况并非如此,市面上有大量的冒牌网卡,由地下工厂生产并在市面上销售,因此,其MAC地址可由冒牌厂家的技术人员随意分配,从而可能导致同一局域网出现多块网卡拥有同一MAC地址的情况.尽管如此,用户仍可不考虑这种情况,毕竟该情况出现概率很低.如果同一局域网内有两块(或以上)网卡拥有同一MAC地址,那么在基于网卡的监控模式下,用户将发现"现场观察"窗口不停出现某一机器更换IP地址的情况.获取网卡MAC方法比较多,在Win9x 可用WinIPcfg获得,在2000,XP可用命令:IPconfig -all获得.基于网卡监控的含义基于网卡监控就是以网卡MAC为依据,根据网卡MAC地址确定被监控的信息内容的身份.由于每台机器的网卡MAC相对固定,用户不易修改,因此我们建议用户将该监控模式列为首选.在这种监控模式下,用户更换新的网卡后,网路岗会重新检测到新的MAC,因此,新网卡将被当作新加入的机器来处理,在此提醒用户注意. 基于网卡监控的条件 并非所有网络都可基于网卡监控,在单网段(一个IP段)网络环境下,网路岗可探测到每台机器的MAC地址,但是,在多网段环境,网段之间的需要路由实现通讯,网路岗安装在其中一个网段中,不能获取其他网段机器的MAC地址,因此也不能正常对其它网段机器进行监控.这个时候,建议用户考虑其他监控模式,如果非用该监控模式不可的话,那就必须用到探测器.如果在多网段环境下强制采用基于网卡的监控模式,而又不安装探测器,那么用户将发现"现场观察"窗口不停出现某一机器更换IP地址的情况. TCP/IP协议表明:当网络通讯包从一个网段流向另外一个网段时,通讯包中的MAC地址发生改变,也就是说,原来的MAC地址消失. 探测器在多网段环境下的应用 既然网路岗不能在多网段环境下检测到所有机器的MAC地址,那么,就需要通过探测器软件来辅助实现.探测器安装在网路岗不能获取MAC地址的那个IP段,这样,由探测器获取该IP段所有机器的MAC地址,并自动将其发送到网路岗监控服务端,以配合网路岗的监控.但是这样做可能会带来其他的问题,比如:用户必须在每个IP段找一台机器安装探测器,如果IP段太多的话,安装探测器的工作变得非常麻烦. 特别提示:这里所提及的"多网段环境"是指局域网内存在多个IP段(或VLAN),并且其他IP段的机器都必须通过其中某一个IP段联入Internet;在下面的情形,尽管存在多IP段,网路岗不借助探测器,仍能检测到所有IP段机器的MAC地址.情形描述:代理服务器机器有多块网卡,其中有一块网卡同时配置了多个IP段的IP地址,这些IP段的机器之间不能发生通讯,但都可以通过这块配置了多个IP的网卡上网.碰到类似情况,网路岗只须绑定配置了多IP地址的网卡,就可以实现基于网卡的监控.基于网卡监控模式的实施:1,选择监控模式,如下图:2,设置监控对象"搜索邻居":自动探测指定IP范围内的机器信息(IP地址/网卡MAC)."新组":创建新的群组,以便对目标机器进行分组管理."转移":将选中的机器转移到其他部门,用户也可以直接用鼠标将目标机器从一个部门拖到另外一个部门."编辑":改变某一选中机器的机器名称或改变群组名称."删除":删除选中的一个或多个目标,也可用来删除空的群组."查找":如果目标机器太多,可以用此功能来找出要找的机器."解析":当新机器被加入时,机器名默认为其IP地址,如想将IP地址转变成机器名,可使用此功能."导出":将目标机器的信息及其对应的规则配置导出到自定义的文件中."导入":将"导出"的机器及规则配置信息从指定的文件加入到当前机器列表中."保存设置":保存用户对"目标机器信息/群组信息/上网规则"等信息的改动.<改变目标机器的排序方式>:点击"搜索邻居"上方的三个Option圆按钮,可分别以"机器名/IP地址/MAC"的排序方式显示目标机器.<单选/多选>单击目标机器,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择.<双击目标机器>:双击目标机器后,将弹出编辑窗口.<更改目标机器监控状态>:在目标机器的状态小图标上单击,可改变其监控状态.如果上图左边部分为空,则需要先启动监控服务,选择绑定正确的网卡,然后,按下"搜索邻居",输入正确的IP范围,开始搜索.即使不用"搜索邻居"的功能,如果有机器上网,新发现的机器同样可以自动加入;每一目标机器都有相应的目录,缺省情况下,新机器都放入目录"New Folder"中.如上图右边部分,用户可以设置针对新发现机器的处理方法和缺省状态.需要统计所有目标机器的状态,则按下"保存设置"上面的按钮,出现下面的画面:二,基于IP的监控模式基于IP监控的含义/描述基于IP监控就是以IP地址为依据,并以此IP来确定所监控的信息的身份; 但是,如果用户局域网的IP地址是动态分配的,基于IP地址的监控模式就不可取;众所周知,即使在静态分配IP地址的环境下,其IP也可由用户随意轻松地更改.假如目标机器A在目标机器B关机的情况下,私下将IP地址更换成目标机器B的IP,那么机器A上网日志就会落入机器B的名下.由此可见,基于IP监控有很大的不确定性,比较冒险. 基于IP监控的缺点既然这么明显,那为何还要做这样的设计? 为此,我们经过认真分析,认为,其存在有两大理由: 1,容易解决复杂的网络结构带来的问题.一个大的网络,比如大学校园网,管理人员通常希望装一套网路岗来解决问题,尽管该网的机器有数千台甚至数万台,且划分的多级VLan(IP段)多达数十上百个.显然,在每个VLan安装探测器采用基于网卡的监控模式是不明智的,而如果采用基于IP的监控模式,问题就变得非常简单,只需要在网路岗的"网络定义"栏目定义每个IP段就可以了.2,用户可能只关心某一范围内机器的上网情况,比如,用户只想知道某一游戏网站是哪一个IP段机器上的,只想对这些机器做统一的控制,不一定非要具体到某台机器不可.目前,网路岗的客户如果存在多网段的情况,大多采用这种监控模式.基于IP监控模式的实施:1,选择基于IP的监控模式2,设置监控对象<监控对象图>"搜索邻居":自动探测指定IP范围内的机器信息(IP地址/网卡MAC)."手动添加":用户手工加入新的IP地址或某一IP范围;如果用户希望成批加入IP地址,则可以先创建范围IP,然后选中"拆散IP",如下图:"新组":创建新的群组,以便对目标机器进行分组管理."转移":将选中的机器转移到其他部门,用户也可以直接用鼠标将目标机器从一个部门拖到另外一个部门."编辑":改变某一选中机器的机器IP地址/描述或改变群组名称."删除":删除选中的一个或多个目标,也可用来删除空的目录."查找":如果目标机器太多,可以用此功能来找出要找的机器."解析":当新机器被加入时,机器名默认为空,如想得到机器名,可使用此功能."导出":将目标机器的信息及其对应的规则配置导出到自定义的文件中."导入":将"导出"的机器及规则配置信息从指定的文件加入到当前机器列表中."保存设置":保存用户对"目标机器信息/群组信息/上网规则"等信息的改动.<单选/多选>单击目标机器,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择.<双击目标机器>:双击目标机器后,将弹出编辑窗口.<更改目标机器监控状态>:在目标机器的状态小图标上单击,可改变其监控状态.如果上方<监控对象图>左边部分为空,则需要先启动监控服务,选择绑定正确的网卡,然后,按下"搜索邻居",输入正确的IP范围,开始搜索.即使不用"搜索邻居"的功能,如果有机器上网,新发现的机器同样可以自动加入;每一目标机器都有相应的目录,缺省情况下,新机器都放入目录"New Folder"中.如上方<监控对象图>右边部分,用户可以设置针对新发现机器的处理方法和缺省状态.需要统计所有目标机器的状态,则按下"保存设置"上面的按钮,出现下面的画面:三,基于帐户的监控模式基于帐户监控的含义/描述在此监控模式下,目标机器首次上网时,如访问外部网站,在IE画面中将会出现要求身份验证的画面,当验证通过后,在屏幕上方自动弹出计时窗口,表明目标机器的在线情况,这时候,目标机器才可以正常上网,收发邮件等等.额外的配置采用基于帐户的监控模式要求用户在监控机上安装Microsoft IIS组件.该组件附带在Windows 2000/XP/20003等专业版/服务器版的安装光盘中.具体安装设置方法如下:1,安装IIS 打开"控制面板",选择"添加/删除程序",点"添加/删除Windows组件",检查IIS选项是否被选中,如没有选中,请点选择它,并按"下一步"开始安装IIS.2,配置IIS安装完成后,需要对IIS进行配置,具体方法如下:打开"控制面板",进入"管理工具",选择"Internet信息服务".如下图:选择"默认Web站点"-"属性".配置Web站点IP配置"执行许可"权限,如下图:将Login.dll拷贝到正确位置.从光盘的安装程序目录下拷贝Login.dll文件到webRoot目录,如下图:什么情况下选择基于帐户的监控模式? 如果不考虑监控所带来的工作量的话,基于帐户监控是较为合理的模式,理论上讲,基于网卡/基于IP的监控模式并不能完全杜绝目标机器的欺骗上网行为.在基于帐户的监控模式下,目标机器上网需要通过身份验证,与目标机器的IP地址和MAC地址无关,所有的上网日志和帐户直接相关,通过帐户来查找上网记录情况,这样可有效地避免被监控者串改MAC和IP地址的情况.然而,该监控模式的缺点也十分明显,首先,管理者需要手动管理帐户名和密码,需要经常维护密码丢失的用户,其次,目标机器每次开机在首次上网时都需要输入用户名和密码,给用户增加了工作量.在这里,我们建议,如果电脑数量不是太多,且监控的要求也比较高的情况下,可以考虑采用基于帐户的监控模式.基于帐户监控模式的实施:1,选择基于帐户的监控模式 2,管理监控对象<监控对象图>"身份认证":配置网路岗扩展库Login.dll的访问地址,见下图:上图表明192.168.0.1是监控机,且该机器上安装了Microsoft IIS,如果一切配置正常,按下"测试"按钮后,在IE窗口中会显示:Testing Login.dll … … OK.如果IE窗口显示的是出错信息,则可能是服务器地址不正确,在wwwRoot目录下找不到Login.dll.如果显示的是下载Login.dll的提示,则表明IIS的配置有问题,还没有支持ISAPI扩展库login.dll.具体配置请参考前面针对"安装IIS"的描述."新群组":创建新的群组,以便对帐户进行分组管理."转移":将选中的帐户转移到其他部门,用户也可以直接用鼠标将帐户从一个部门拖到另外一个部门."编辑":改变某一选中帐户信息或改变群组名称."删除":删除选中的一个或多个目标,也可用来删除空的目录."查找":如果帐户太多,可以用此功能来找出要找的帐户."解析":当新机器被加入时,机器名默认为空,如想得到机器名,可使用此功能."导出":将帐户的信息及其对应的规则配置导出到自定义的文件中."导入":将"导出"的帐户及规则配置信息从指定的文件加入到当前帐户列表中."保存设置":保存用户对"帐户信息/群组信息/上网规则"等信息的改动.<单选/多选>单击帐户,以选择单一目标;按下鼠标左键并拉动,以多选目标,也可用鼠标左键配合 Shift/Ctrl 键进行选择.<双击帐户>:双击帐户后,将弹出编辑窗口.<更改帐户监控状态>:在帐户的状态小图标上单击,可改变其监控状态.四,混合监控模式 混合监控模式的含义 针对不同的IP范围,采用不同的监控模式(基于网卡/帐户/MAC). 什么情况下选择混合模式? 在网络结构比较庞大的环境中,用户通过了解不同监控模式下客观存在的优缺点后,可能希望对不同的IP段实施不同模式的监控,以达到更满意的监控效果,混合模式正因此而诞生.用户设置混合监控模式,并分配了各IP范围的监控模式后,系统将自动对网络信息进行分析归类,再将信息转交给不同的监控模式模块处理;尽管系统后台处理过程异常复杂,但留给用户的操作却依然非常简单.我们再此建议用户定义IP范围的时候,最好以网段为单位,或以Vlan划分的IP段作为参考.如果用户定义的两个IP范围在同一个网段中,则用户可能会自己修改IP,以使其从一个IP范围跳转到另一个IP范围.监控模式的实施选择混合监控模式2,IP范围管理"定义":定义新的IP范围."编辑":改变某一选中IP范围."删除":删除选中的一个或多个目标."导出":将IP范围的信息及其对应的规则配置导出到自定义的文件中."导入":将"导出"的IP范围信息从指定的文件加入到当前列表中."保存设置":保存用户对"IP范围信息/监控模式定义"等信息的改动.<双击目标机器>:双击选中的IP范围后,将弹出编辑窗口.<更改IP范围监控状态>:在IP范围的状态小图标上单击,可改变其监控状态.考虑到IP范围的数量一般比较少,所以在此没有提供群组管理的功能.第五部分:常见系统配置 一,网络定义1,定义内部网段,如下图:只有出现多网段的情况,才需要定义内部网段;在单网段环境,系统会自动识别该网段的IP掩码值,以减少用户工作量. 定义网段时,一般要求用户定义每个需要监控的IP段,但是,用户也可采用简化的定义方式,比如:输入掩码时,直接用255.255.0.0代替 255.255.255.0,这样可能只需要输入一次,这是一种不精确的定义方式,可行但不提倡.2,定义因特网出口IP 上述设置,目前只针对单网段有效果.设置Internet出口的目的是为了让系统启用隔断堵截方式.通常针对UDP通讯,系统会启用隔断封堵方式,该方式用到Internet出口IP地址;封锁后,被堵目标不能再上网,包括访问网页,收发邮件,聊天等,如果是目标机是98/me系统,可能需要重新启动才可以恢复,如果是2000/xp系统,则过几分种自动恢复.但是,如果用户添加IP时,能正确输入出口IP所对应的MAC地址,系统会在很短的时间内自动恢复被封机器的上网通道.3,设置代理IP或内网资源 如果用户采用非透明代理服务器软件实现多机共享上网,那么必须在该处输入代理服务器的IP地址(内网IP范畴).另外,如果网内有邮件服务器等内网资源,也需要在上面输入其IP,才能监控到内网机器访问内网资源的情况.二,监控项目 缺省情况下,所有列出的项目都处于被监控状态,用户可用鼠标点击项目以"取消/选中"该项目. 系统还提供了"自定义项目",用户自定义项目时必须对IP通讯有比较深的了解.见下图:"项目名称"用以标识所定义的项目."监控描述"将在现场观察窗口中显示和并保存于对应的日志文件中."通讯类型"提供TCP和UDP两种,以后的版本中将增加其他通讯类型."源端口"是发出通讯包的一方所占用的端口值."目标端口"是接受通讯方所使用的端口值.如果系统检测到符合上述条件的通讯包,将在现场观察窗口中显示出来,并记录到日志文件中.什么情况下要用到自动监控项目的功能?如果用户了解某个病毒/游戏/聊天软件的通讯包规律,通过自定义项目,以让网路岗来提醒用户哪台机器干什么敏感的事情.三,监控时间 该处显示的监控时间是全局的,在非监控时间段,监控服务会完全不做任何控制,尽管服务还处于运行状态.四,端口配置 监控项目和端口是息息相关,系统是通过对特定端口数据的分析来实现对特定项目的监控的.每一个项目可同时配置三个端口,比如您的网络有一天也许同时有80 8080 3128等访问网站的端口的现象出现,这样就需要配置多个端口. 如果用户采用非透明代理服务器软件实现共享上网,且代理端口并非80,那么就需要HTTP的端口80后面在增加一个端口值.五,空闲IP通常,网络管理员在给网内机器分配完ip后发现,有些IP范围段是空闲的,短期内用不上;同时网管也不想让这些IP被使用,那么,利用空闲IP防止电脑IP被私下更改就非常有效!第六部分:上网规则一,上网 说明:如果用户只是简单地控制目标机器的上网行为,在这里设置是最好的.上图中蓝色显示块表示允许,白色表示禁止.用鼠标控制选择蓝色/白色.只有在白色时间段,"发送邮件/接受邮件"的选项才起作用.在蓝色时间段是不是就一定可以上网还难说,主要看后面的项目中是否设置了封锁,在如此多的上网规则中,只要有一处封堵,就能起到封堵的作用.如果你用outlook收发hotmail邮件,上图中的选项将不起作用,因为hotmail邮件并非通过收发邮件的端口(110/25)发生通讯,而是通过http方式.二,网页过滤 网页过滤主要是针对地址URL的过滤,对内容不予考虑;定义关键词的时候,建议输入最具代表性的词. 针对google.com baidu.com 和3721等搜索网站,我们还支持对中文关键词的封堵. 举例说明: 1,如果要禁止上www.sina.com.cn网站,则输入sina.com.cn比较合适,如输入sina.com的话,则被控机器连同www.sina.com 和 www.sina.com.cn都不能上了. 2,在禁止网站列表中输入"法轮功",以防被控机器在搜索网站上以该关键词来搜索. 3,在"只允许访问列表"中输入 .sohu. 可让用户只能上ww.sohu.com.三,过滤库 为方便用户控制,我们专门收集了几类网站列表和端口库,可供选择.针对列表库,用户可进入"列表库管理工具"进行添加或删除操作. 在"列表库管理工具"中,用户可以从网上更新相关的列表库.四,上网反馈 如果用户通过封堵端口的方式来禁止上网,则上述功能无效;而通过关键词的来封锁网站才有效.在以前的软件版本中,我们封锁一台机器上某个网站时,会显示连接出错信息,正如上图中的默认设置一样,根据用户需求,此处特意增加此功能,以让被封锁的机器显示更明确的信息.另外如果目标机器上了某个敏感网站,通过设置也可以让其跳转到某一个指定的页面(比如企业网或校园网).五,收发邮件 根据反馈,大多数客户并没有使用此功能.在新版本中仍然提供该功能,主要考虑到某些用户对邮件封锁的时间性要求比较高. 需要说明的是:上图中下方的选项只有在时间段处于白色状态时才起作用.六,邮件过滤 老实讲,邮件过滤并非严格过滤,如果邮件内容太少,甚至没有,那么系统检测到有邮件发送迹象时,已经太迟,该邮件可能已经发送出去,再去堵截就没有意义了. 尽管如此,针对稍大的邮件的过滤还是有效的,尤其是带附件的邮件.七,IP过滤IP过滤是针对因特网上各类资源的IP地址的过滤,进行设置时,需要对IP有全面的了解.事实上,全球IP地址的分配是有一定大致规定的,相关知识可在网上搜索到,搜索关键词请用"IP地址分配",利用这些规律,我们可以设置哪些地区的网站不可以上.某些大型网站,比如yahoo,sina 等都具有很多的IP地址,因此,我们不能简单通过一两个IP地址来封锁该网站.八,封堵端口 "封堵端口"是略现专业化的功能名词,从本产品一代开始就保留此功能,是现有客户用的比较多的功能之一.任何一款网络软件,如果它建立在TCP/IP通讯之上,都会用到"端口",比如股票软件,FTP软件,收发邮件软件等等,都具备自己的开放端口.因此,通过"端口"来封锁上网行为是非常有效的.尽管很多软件的端口是软件开发者自定义的,但用户也不必担心其改变自身的"开放端口",因为,"开发端口"一旦改变,该软件的客户端也必须随之更改,从市场角度看是不现实的.如果了解IP包的话,用户可利用本系统提供的工具"IP包分析工具"来分析端口.九,外发尺寸 这里对外发尺寸的控制是一种模糊控制,并不能精确到字节数,而且,上述功能只有在用户购买的版本具备邮件内容的监控功能时才起作用.原因是,没有内容监控的话,系统无法及时知道外发文件的大小,也就不能在中途进行堵截.十,限制流量 首先说明,本软件只能检测到上网带宽数据而不能实现对带宽的管理和分配.尽管如此,根据客户的要求,我们仍然提供了对流量的限制功能;比如,限制某台机器每天只能有多少M的上网流量,超过这个数字,系统会自动断网. 上图显示的累计流量是动态的,便于用户及时观察到客户机的流量. 如用户规定该机器每分钟的流量,则每隔一分钟累计流量就会自动变成0.十一,绑定IP 在单网段环境,且是基于网卡的监控模式下,用户可以通过绑定IP的功能来防止目标机器私下更改IP上网. 选项:"IP改变时候,记录其变化情况"被选中时,该网卡更改IP地址后,会详细记录其更改情况.十二,监控项目 用户可根据需要设置目标的监控内容.如果用户购买的版本没有邮件内容监控或没有聊天内容监控,则上图中"监控聊天内容"和"监控外发资料内容"的选项就不起作用.第七部分:日志查阅&管理一,查阅网络活动日志 1,选择目标机器,见下图: 见上图,在"所有对象"前打上勾,查询日志的时候,是针对所有机器的;相反,如果去掉"所有对象"前面的勾,用户可以随意双击目标机器,以显示对应的日志记录.粗黑显示的机器表明有与其相关的日志记录. 上图显示的"机器/帐户/IP地址"是和用户选择的监控模式直接关联的,查阅日志的时候,请根据选择的监控模式来选择"机器/帐户/IP地址". 按钮表示:刷新显示目标机器列表. 按钮表示:在目标机器列表中查找所要找的目标机器.2,选择查询范围,见下图:"范围":点击后,弹出快速选择日期范围的菜单."刷新":更改范围或要查的目标机器后,重新查找并显示对应的日志记录.小图标表示:将显示的日志内容导出.小图标表示:查找匹配的日志记录条目.小图标表示:打印显示的日志内容.3,设置显示的行数,见下图: 4,统计日志 针对访问网站的日志和收发邮件的日志,我们提供简单的统计功能,更专业的统计报表在"网路岗.报表子系统"中实现(另外付费).二,查阅外发资料日志1,选择目标机器,如下图: 上图显示的"机器/帐户/IP"是和用户选择的监控模式直接关联的,查阅日志的时候,请根据选择的监控模式来选择"机器/帐户/IP地址". 机器后面的数字直接表明了该机器的日志数量.显示日志内容,见下图:小图标表示是否存在附件.小图标表示该邮件可直接用Microsoft Outlook打开.如果用户发现上图下半部分显示乱码,建议用Outlook打开.小图标点后可显示附件.3,搜索邮件,见下图:在上图输入框中,输入邮箱或关键词时都必须单行输入,检索时,系统主要根据邮件的标题,源邮箱,目标邮箱,正文来检索,对附件内容不检索.第八部分:远程控制中心用户授权用户在使用远程日志查阅功能的时,必须先在监控端进行授权.授权内容包括:用户名,登录密码,用户查阅日志的权限,授权查阅的范围,等等.见下图:安装远程控制中心端程序.安装程序位于光盘中,安装后运行主程序"远程控制中心",见下图: 用户首先"新建"服务器,新建内容包括服务器地址和存放该服务器日志的目录.通过远程控制中心用户可以选择登录不同位置的服务器. 数据交换口在监控机端有定义,缺省是9010端口,如果用户希望更改的话,请在"网路岗"服务栏目打开下面的窗口,做修改后,重新启动"数据交换服务". 用户在输入用户名和密码后,"登录"时,可能碰到下面的问题:错误提示一:"登录服务器失败"解决方法首先,检查服务器IP地址是否正确,如果没有问题,再用Ping命令检查.如果不能ping,则检查监控机上是否安装了个人防火墙软件,如有,则可能需要卸掉再试.如果能够ping监控机,则需要检查"数据交换<通讯>服务"是否已经启动,而且两边的端口是否一致.错误提示二:"LOG_INDEX_FILE 是webfiles目录下索引文件(idx)数据结构//webfiles下的子目录以日期作为其目录名称,每个子目录下存放当天的记录//idx文件位于每个子目录下,它标记该目录下的各个文件所存放的内容含义//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////struct LOG_INDEX_FILE{ CTime tmCapture ;//抓包时间 BYTE sytle ;//类型:0:软件发送Mail 1:软件接受Mail 2:网站发mail 3:FTP 4:qq发送文件 BYTE bDelete ; //是否已经删除. char sUser[21]; //基于帐户监控的用户名称 char sPcName[21]; //访问者机器名 char sSrcMac[13]; //源Mac地址 DWORD dwSrcAddr; //源IP地址 DWORD dwDstAddr; //目标地址 char sDstMac[13]; //目标Mac地址 char sArea[51] ; //目标机器所在地方 char sFile1[13]; //相关的文件名1 (*.htm *.dat) char sFile2[13]; //相关的文件名2 char sLocalFile[51]; //相关的文件名3 char reserved1[42]; //保留 BYTE mode; //0:基于mac,1:基于user,2:基于ip; char reserved2[49]; //保留};////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////以下是网络活动日志数据结构//文件位于Activities目录下.每天形成一个日志文件//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////struct LOG_EVENT{ CTime tmBlock; //抓包时间 Char sUser[21]; //基于帐户监控的帐户名称 char sSrcMac[13]; //访问者mac char sPcName[21]; //访问者机器名 DWORD dwIP; BYTE id; //标志,类型 (保留) char sReason[151]; //事件描述};struct LOG_USERDEF{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; //访问者mac char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 char sDesc[151]; //自定义提示 DWORD dwDstAddr; //目标地址 char sAddress[51]; //目的ip所在的位置};struct LOG_HTTP{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; //访问者mac char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 DWORD dDomainLen; //域名长度 char strURL[101]; //访问url char sAddress[51]; //目的ip所在的位置};struct LOG_MAIL{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 char strFROM[51]; //发送者邮箱 char strTO[51] ; //接受者邮箱 可能很多 char strCC[51]; //抄送 char strBCC[51]; //暗送 char strTITLE[101];//邮件标题 BYTE bAttach ; //是否有附件 BYTE bStyle; //接受还是发送 0:表示发送 1:表示接受 char sAddress[51]; //目的ip所在的位置};struct LOG_ICQ{ CTime tmCapture; //抓包时间 char sUser[21] ; //用户名 char sSrcMac[13]; //访问者MAC char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 char sSend[15]; //发送者ID号码 char sRecv[15]; //接受者ID号码 char sTitle[101]; //内容的前100个字的内容 BYTE bStyle ; //是icq还是oicq char sAddress[51]; //目的ip所在的位置};struct LOG_MSN{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; //访问者MAC char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 BYTE style; //是发送,还是接受 char sID[51]; //MSN ID char sContent[101]; //内容的前100个字的内容 char sAddress[51]; //目的ip所在的位置};struct LOG_YAHOO{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; char sPcName[21]; //访问者机器名 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 BYTE style; //是发送,还是接受 char sSrcID[31]; //源ID char sDstID[31]; //目标ID char sContent[101]; //内容的前100个字的内容 char sAddress[51]; //目的ip所在的位置};struct LOG_FTP{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; char sPcName[21]; //访问者机器名 char sDstPC[51]; //被访问者机器名 可能为域名,也可能是网络邻居 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 char sCommand[151];//命令的前150个字的内容 char sAddress[51]; //目的ip所在的位置};struct LOG_TELNET{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; char sPcName[21]; //访问者机器名 char sDstPC[50]; //被访问者机器名 可能为域名,也可能是网络邻居 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 char sCommand[101]; //命令的前100个字的内容 char sAddress[51] ; //目的ip所在的位置};struct LOG_NETBIOS{ CTime tmCapture; //抓包时间 char sUser[21]; //用户名 char sSrcMac[13]; char sPcName[21]; //访问者机器名 char sDstPC[51]; //被访问者机器名 可能为域名,也可能是网络邻居 DWORD dwSrcAddr; //源地址 DWORD dwDstAddr; //目标地址 char sCommand[151];//打开的文件 char sAddress[51]; //目的ip所在的位置};//网络流量日志struct LOG_NMR{ char sMac[13]; char sUser[21]; DWORD dwAddr; DWORD dwNMr[24];};第八部分:问与答一,为什么选择"网路岗",和同类产品相比,有什么优势? "网路岗"一代产品于2001年问世,至今已是第四代产品(又称金版系列);经过几次换代升级,产品已十分稳定成熟."网路岗.金版系列"具有国内领先的邮件监控技术和国内领先的聊天监控技术;对各类复杂网络环境的适应能力也是首屈一指."金版系列"不仅功能强大,界面友好,操作方便,其领先的监控技术和快速的产品升级能力使其在众多的监控产品中脱颖而出! 二,监控产品是用硬件好,还是用软件好? 监控类产品是用硬件还是用软件,主要取决于两点: 1,网络规模 2,功能要求 我们的建议是:网络规模大用软件,功能要求多用软件,小规模,少功能且不考虑产品价格的前提下,可以考虑硬件产品. 市面上硬件网络产品的确具有很广泛的应用,比如防火墙,路由器等,和软件相比,硬件产品的价格通常要高出很多,不过,细心的用户会发现:硬件产品在实际应用中,所用到的功能往往比较简单.就拿一些知名品牌防火墙的过滤功能来说,尽管其说明书上列出诸多规则设置,但如果用户真正启用这些功能时,当在线电脑稍多时,其上网速度会变得明显缓慢.硬件产品所采用的过滤模式为转发式过滤方式,当网络通讯量比较大时,普通硬件的CPU处理能力无法适应网络实时通讯的要求,造成通讯瓶颈现象. 功能完善的监控产品必然会分析大量的通讯数据包,同时也要求CPU应具备很强的处理能力,针对大型的网络(比如大学校园网),至少需要奔腾4以上CPU来处理;另外,硬盘的存储空间也很重要,就拿邮件监控的功能来说,如果有100台机器每天收发邮件,其日志量应该在300M左右,一个月的邮件日志量就应该在10G左右;可想而知,如果让一款硬件产品来实现该功能的话,的确有些捉襟见肘了.我们这里提到的硬件产品指的是已将软件固化到芯片中的网络设备,市面上出现的一些"高配置硬件"是"能自动启动的无显示器的PC主机",不能算是真正的硬件产品.?????? 以"网路岗"为代表的软件产品,能及时追随新的监控/反监控技术,快速升级产品.并且,这些产品大都采用并行监控技术,对网络速度影响甚小,在监控类产品所发挥的作用是有目共睹的.三,如何购买《网路岗.金版系列》?您可以从我们的代理商那里购买,或者直接通过我们的网站ww.softxp.net联系我们.我们直接以"特快专递"的方式发货到客户的手中. 关于具体的汇款方式,请联系我们,我们会很快将相关汇款方式传真过去.目前我们接受的汇款方式有:公司转帐,邮局汇款等.四,购买《网路岗》以后,用户享受那些售后服务?用户一旦获得《网路岗》的正式授权,将享受如下的服务:《网路岗》分大版本和小版本.对于小版本之间的升级,我们不收升级费.但如果是换代升级,则根据所购买点数,适当收取部分升级费用.用户加密狗在使用过程中出现异常或损坏,均可更换(只需缴纳工本费:100元);如果用户购买后,首次使用就发现加密狗不能正常工作,我们将立即为您免费更换.我们将在我们的网站建立完善的正版客户服务体系,所有购买我们正版软件的客户,将会得到一流的服务.五,打开主程序时,显示找不到网卡信息,怎么办?打开主程序SentryCenter.exe,如果提示"找不到网卡信息"则按下面的方法处理:关闭网路岗相关的窗口,运行光盘中的驱动程序SentryDrv.exe如果仍然出现上述问题,则进入控制面板,打开"添加/删除程序",卸载Winpcap.然后重新安装SentryDrv.exe.3,如果继续出现上述问题,打开"网络邻居"属性,打开网卡的属性窗口,卸载所有的协议内容(包括TCP/IP),然后重启机器,启动机器后,在保证网卡已经启用,且Tcp/ip协议已经安装的情况下,再次安装SentryDrv.exe,问题应该会得到解决.六,《网路岗》是黑客软件吗?它容易被人利用吗?不是.该产品在监控记录的同时,已经将个人密码等关键信息严格过滤掉,另外我们提供的试用版也限制了一些功能:如不能查看别人的邮件内容等措施;我们决不会将该产品卖给个人或从事不法活动的团体组织等.所以本产品不容易被人利用.七,《网路岗》对操作系统有什么要求? 本产品在Windows XP系统平台上开发完成,不能在除Microsoft Windows之外的操作系统上运行,该产品由于包括了四个"后台服务程序",而Win9x系统不支持"服务"程序,只有在基于NT系统构架的操作系统上才能正常运行,所以本系统要求操作系统必须是Windows2000/Windows NT/Windows XP/2003. 我们并不打算兼容Win9x版本的系统,如果公司用Win9x系统做代理服务器上网,则很容易被黑客入侵,再加上该机器上有监控日志的话,公司机密甚至因此而泄露. 八,系统开机后,如果不启动《网路岗》画面,监控会起作用吗? 监控程序是以后台服务的方式在运行,当机器进入Windows时,服务不需要人为启动而自动运行起来;即使当操作系统处于注销状态或更换用户登录,监控照样起作用,但如果系统处于休眠状态,监控将不起作用. 九,我机器有多块网卡,需要选择哪一块网卡来绑定? 一般情况下,当采用代理服务器软件来上网,该机器往往有多块网卡供选择.这时我们要求用户参考该网卡的IP地址和需要监控的网段,选择局域网的网卡. 十, 什么是透明代理服务器?什么是非透明代理服务器?(LinuxAid) 透明代理 透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行有一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据,然后拷贝给客户端.理论上透明代理可以对任何协议通用, 目前能实现的主要有:DNS, sendmail relay, 和 HTTP. 但是在这种情况下客户端必须正确设置DNS服务器.因为现在浏览器不设置任何代理.则DNS查询必须由browser来解析,也就是客户端必须在TCP/IP中设置正确的DNS服务器,由其完成dns解析. 大家熟悉的有 Windows自带的Internet 共享上网, Sygate,Adsl+IP分享器,路由器等等 传统代理 -(非透明) 传统代理工作方式下,内部网络和外部网络之间的唯一连接是代理服务器,客户端要在浏览器中设置代理服务器的地址和端口号,客户浏览器在发出连接请求以前,会自动察看浏览器设置的代理地址及代理端口,若设置了代理端口和代理地址,则将连接请求发送给指定的代理服务器的指定端口.这种方式的一个明显特点是客户机在连接以前的dns查询也由代理服务器去做.解析DNS的过程是根据代理服务器设置的dns查询顺序进行的. 大家熟悉的有 WinRoute,WinGate,Microsoft ISA,CCProxy 等等 十一,监控机是双CPU,《网路岗》新版能正常工作吗 ? 能;从三代产品开始,已经支持双CPU.十二, 《网路岗》对网卡有什么要求? 目前要求是以太网网卡,并且支持杂项接受.我们发现少数老式笔记本上的网卡不能正常绑定. 十三, 《网路岗》能否监控企业员工个人网上密码? 不能,为防止侵犯个人隐私,我们对关键信息作了严格过滤.本产品的最终目的是提高员工工作透明度,而不是窥探他人个人隐私.我们拒绝任何企业对个人密码等信息监控的功能要求,任何个人或非法组织都不能购买本产品. 十四, 我购买了《网路岗》20个监控点,以后公司发展了,需要加点怎么办? 如果贵公司因发展需要,增加了一些电脑,需要增加网路岗监控点,则贵公司向我们申请,我们根据网路岗的市场报价计算需要增加的点的价钱.在收到贵公司汇款后,我们在一个工作日内利用我们的远程升级系统为贵公司授权或升级加密狗. 十五,有部分机器的IP无法解析成机器名是什么原因? 可能有下面几个原因:目标电脑没有开机.目标电脑安装了个人防火墙或启用了Windows本身的防火墙功能.目标电脑和监控机不在同一个域.十六,怎样设置缺省的上网规则,以便让自动加入的机器启用该规则? 基于网卡的监控模式和基于IP的监控模式都有"缺省规则"的设置选项,如上图,在上网规则设置完毕后,用户可以"保存当前设置为缺省规则".一旦设置了缺省规则后,系统在发现新的目标时,会自动匹配该规则.第九部分:工具软件的使用一,远程升级&维护 1,打开上述画面,联系软件开发商,双方协商好通讯端口,用户发出连接请求. 2,连接成功后,填写公司基本信息并按下"传送…"按钮. 3,如用户有什么要求或技术问题,可以通过图下方的交流窗口进行交流.该交流窗口可自动对交流文字进行"繁简转化". 4,连接失败,则可能受到防火墙的干扰,需要用户先停止防火墙. 5,发出连接请求后,在交流区很快显示"断开和服务器连接",则是由于开发商正忙于给其他用户授权,致使当前请求被拒绝,需要用户等一段时间.二,日志备份1,创建备份日志文件.如下图: 在备份向导中选择日期范围.如下图:2,恢复日志.选择菜单"文件"-"打开…",在打开指定的日志文件以后,再选择"恢复备份"菜单.如下图:三,列表库管理中心在对某一列表库进行操作之前,请先打开它,如下图:表示:在打开的列表库中查询某个网址是否存在.表示:在打开的列表库中添加新的网址.表示:在打开的列表库中删除某个网址.表示:导入列表文本文件到打开的列表库中.表示:导出打开的列表库中的网址(注:考虑到版权方面的原因,开发商提供的网址内容不能导出).表示:网上更新列表库.如下图:四,IP包分析工具IP包分析工具是英文界面,主要是方便用户在各种语言环境下使用(本程序可独立运行).下面是一些符号所代表的意义:SN 通讯包序列号TYPE 通讯包类型Source IP 通讯包的源IP地址SPort 通讯包的源端口SMac 通讯包的源网卡地址Destination IP 通讯包的目的IP地址DPort 通讯包的目的端口DMac 通讯包的目的网卡地址Data Length 通讯包的数据内容长度(不包含包头)如果只监控某一个IP的通讯包,只需要在"Packet Filter"下方的IP处输入要监控的IP,然后选中"Apply Filter";如果只监控该IP的某一个端口(比如:80)的通讯包,则还需要在"Packet Filter"下输入端口(比如:80).第十部分:附录 系统参数:项目 描述 备注 不限用户的授权数 最多监控点 理论上讲,不限用户应该有无穷多个监控点,但考虑到过多的点的分配会占用比较多内存资源,所以实际监控点有数量限制,这仅仅是个参数而已,如果所给1500点仍然不够,我们会免费为不限用户的客户增加点. 基于网卡 1500 基于IP 1500 基于帐户 1500 混合模式 100 数据交换通讯服务 开放端口 远程查阅日志 9010 探测器 9011 "DPCS" 9110 内部网段 最大数量 50 Internet出口IP 最大数量 20 内网资源 最大数量 20 现场观查 缓冲容量(记录数) 250 远程控制中心 最大数量 20 空闲IP 最大数量 100 帐户名称 最大长度 20 群组名称 最大长度 30 机器名称 最大长度 20 事件描述 最大长度 150 自定义禁止端口 最大数量 100 访问请求文件类型 最大数量 50 时间段 最小单位 半小时 测试报告第 50 页 共 57 页