办公网络监控方案篇.doc

1、 网络安全分析与实施报告-----办公网络监控方案篇 办公网络监控方案篇 一、 背景描述： 随着计算机网络的普及应用已渗透到各个层面，带来便利的同时也随之带来的安全和管理问题。互联网络是一把双刃剑；就如一个企业而言有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲等等；不仅仅消耗公司资源，更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。为此目前公司建设网站也是不够的，只管理设备也还是不够的，还需要把员工使用网络的内容监视和并把网络行为管理起来；而利用局域网网络监控软件或者交换机、路由器网络设备配置监控功能是非

2、常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果，已经成为大家的共识。 二、 网络监控概要； 就是定义在以监控点为基点半径没有跨越路由范围的LAN；通俗点说，就是以监控引擎电脑为中心出发没有穿过路由范围的局域网范围；这是因为局域网监控是需要捕获ISO模型中的第2层数据包（MAC层帧）以解析网络传输包协议以及确认监视对象为需求，而穿过路由后就无法捕获了； 网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密，实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来

3、的内容（比如外贸企业的定单过程），对电脑的各种端口和设备实施全面管理和控制，对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制； （1）防止并追查重要资料、机密文件等外泄； （2）监督、审查、限制、规范网络使用行为； （3）限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为； （4）备份重要网络资源文件（比如业务邮件）； （5）监视各种IM比如常用的QQ/MSN聊天记录内容和行为过程； （6）流量限制以及网站访问统计，用于分析员工使用网络情况； 三、 网络监控常见形式分析 1、 采用基于SNMP协议的MRTG监控方法 首先在路由器上开起s

4、nmp功能. 　　具体如下： 　　Telnet 到路由器上进入全局配置模式。输入以下命令: 　　config)# snmp-server community public RO 　　\\设置SNMP的团体名为public. 　　(config)# snmp-server trap-source FastEthernet0/1 　　\\以Fa0/1端口为监控源，如果不输，将以设备自身的ROUTER ID作为监控源.(此FastEthernet0/1为路由器的内网段的端口，并不是局端端口) 　　(config)# snmp-server contact 　　\\设置管理者的邮箱地

5、址 　　config)# snmp-server host X.X.X.X public 　　\\设置管理机的IP地址为X.X.X.X，并设置团体名public. 　　config)# snmp-server enable traps 　　\\启动监控 　　#copy run start 　　\\保存设置 以上就完成路由设备上的所有配置. MRTG的安装 　　Mrtg在windows下的安装很简单,只需要将mrtg.***直接解压到某个盘就好了,比如解压到：d:\mrtg 　　同时还要建立一个目录来存放我们要生成的文件,如：d:\mrtgwww，同时将d:\mrtg\ima

6、ges的所有文件复制到d:\wwwmrtg下。 MRTG的配置 　　开始——运行——cmd进入dos窗口进行相关配置。 　　①、配置文件的生成（由cfgmaker来生成） 　　首先进入到目录d:\mrtg\bin(mrtg解压后的目录)，执行如下命令： 　　D:\mrtg\bin>perl cfgmaker  public@xx.xx.xx.xx（注意:此@后面应添写自己内部Router的ip地址） --global “workdir: d:\wwwmrtg” --output routermrtg.cfg 　　命令成功执行完成后，将会在我们前一个命令所指定的WEB目录里面生成以I

7、P+端口命名的网页和一些png图片，这些图片就是网络当时的流量图。我们可以直接打开这个网页检查一下，看是否正常。刚开始生成后很多都是空白的，需要让它自动运行一段时间后才可以有图形表现出来。 　　②、配置文件的修改（routermrtg.cfg） 　　要使MRTG可以随时得到最新的流量图，我们还需要修改一下配置脚本，主要是刚才output参数所带的文件名mrtg.cfg，使用文本编辑器打开它。 　　文件头部已经说明了在WINDOWES系统里面或者在UNIX系统里面的不同配置 方法 　　为了使网络流量图可以每5分钟自动更新一次，我们还需要在 　　###Global Config Opt

8、ions的下一行加入一条命令： 　　RunAsDaemon: yes 　　这条命令的作用是使MRTG每5分钟自动去获取一次SNMP的数据及更新网络 流量图形。 　　保存文件，退出。 　　③运行如下命令： 　　D:\mrtg\bin>perl mrtg routermrtg.cfg 　　如果出现以下语句就表明mrtg工作正常: 　　Daemoning mrtg… 　　Do not close this window,or mrtg will die 　　就是告诉你不要关闭这个窗口,否则mrtg就无法工作. 　　④添加服务MRTG为一项随机启动服务 　　由于MRTG是用pe

9、rl编写的,所以不能直接添加为windows的服务,需要以下两个小程序：Instsrv.exe和srvany.exe，可以用google直接搜索下载到。将Instsrv.exe和srvany.exe放到d:\mrtg\bin目录(为了方便起见)，执行如下命令： 　　d:\mrtg\bin>instsrv MRTG d:\mrtg\bin\srvany.exe 　　会出现添加服务成功的提示。 　　⑤建立MRTG统计网页（使用indexmaker） 　　d:\mrtg\bin>perl indexmaker mrtgrouter.cfg >D:\wwwmrtg\index.htm 　　这

10、样就生成了统计的网页D:\wwwmrtg\index.htm。     可以通过修改routermrtg.cfg中每个端口的Title、PageTop信息来指定每 个端口流量信息页面的标题，可以修改routermrtg.cfg中其他的一些信息，也可以修改index.htm文件来改变页面的显示，当然你每次修改之前最好备份一下 routermrtg.cfg文件。 　　至此，就是在IIS中为index.htm添加一个联接，MRTG就可以正常运行了。具体如下: 　　1.设置网站基本配置: 　　 2. 设置网站主目录: 　　 3.接着配置默认文档，记住这步很重要。不然你是看不到生成的网页的。

11、 　　已经完成了所有的配置.这时，我们通过IE来查看mrtg流量图 　　http://x.x.x.x         2、 采用交换机端口镜像与外围软件SNIFFER或者ETHREAL进行监控 第一步：在交换机做端口镜像 一般使用MONITOR PORT +一个监控端口（一般是通过该端口进行对其他主机和端口的流量以及报文的检测与查看分析）+多个被监控的端口 PORT MIRRORING，mirror session 等系列命令（根据不同交换机对应不同的端口镜像命令） 第二步：在监控端安装 Sniffer， ethreal等监控软件进行对监控数据

12、包查看分析，实现对网络的数据流量管理（例如 对端口80，21，25的监控）；通过此类小软件只需要安装到随意一台PC上，该PC通过串口或者TELNET方式访问交换机；即可对交换机下主机数据流进行抓包分析与监测。 3、 采用第三方网络监控软件进行办公电脑使用监控 一般有网络警察、WORKWIN、蝴蝶网络监控中心等等 附录：网络监控解决方案介绍： 1、 监听模式 通过抓取总线MAC层数据侦方式而获得监听数据，并利用网络通讯协议原理而实现控制的方法；因此监听模式最大的弱点原理性的，也就是说需要如下方法之一来解决安装问题： (1)通过

13、共享式HUB（集线器） 这个模式是一个比较通用的方法，但由于HUB基本都是10M的，因此在网络性能上将很大限制，也意味丢包的危险；目前HUB几乎到了淘汰的命运；也不适合大型网络环境，因此是很大局限； (2)通过镜像交换机 可网管的镜像交换机首先是比较贵并需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话（比如30个电脑一下），那么增加购买镜像交换机意味成本的提高，另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向（监视和控制）数据流处理不完善而导致交换机瞬间阻塞现象；但相比HUB模式来说，使用镜像交换机实现监听无疑是理想的选择； (3)通过代理/网关

14、服务器 所以代理/网关服务器，就是在这个电脑通过WINDOWS连接共享设置、SYGATE、CCPROXY、ISA等，其他电脑通过这个代理/网关服务器分享上网；一般都是双网卡模式；一个网卡连接外网，另外一个网卡连接内网，监控软件捆绑内网卡；但现在大部分的网络已经不再使用这个模式，直接通过路由的NAT上网共享模式； 而WINPCAP模式下对ISA是无法监控的；目前分为： （a）服务代理模式：比如CCPROXY 比如设置上网浏览为8080，邮件为8025等等，这样的代理模式； （b）透明网关模式：比如WINROUTER， 网内其他电脑设置默认网关就可；通过NAT地址转换；

15、4)ARP欺骗模式 ARP欺骗模式将可以实现在普通交换机下的数据监听，方法简单有效，但主要是两个弱点，一是不适合规模大的网络（建议少于50台电脑的环境）；二是会和网络内其他的ARP欺骗软件互相冲突干扰而导致网络瘫痪； 2、 网关模式 由于所有出口数据流都必须经过该网关，因此控制方面可以说是最强大完美而无任何副作用的方式，因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点；克服了所有监听模式下阻断UDP的致命弱点；是网络监控最理想的模式； 个人工作业务总结 本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”)，

16、主要从事测量技术工作，至今已有三年。 在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的提高自己的专业技术水平。同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。 在这三年中，在公司各领导及同事的帮助带领下，按照岗位职责要求和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高。 在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习政治理论

17、坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。积极主动学习专业知识，工作态度端正，认真负责，具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面，勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转变。 一、回顾这四年来的职业生涯，我主要做了以下工作： 1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000勘探剖面

18、测量、测绘内业资料的编写工作，提交成果《新疆库车县胡同布拉克石灰岩矿普查报告》已通过评审。 2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为《库车县城北水厂建设项目用地压覆矿产资源评估报告》，现已通过评审。 3、参与了《新疆库车县巴西克其克盐矿普查》项目的野外地质勘查工作，参与项目包括：1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的《新疆库车县康村盐矿普查报告》已通过评审。 4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为《新疆哈密市南坡子泉

19、金矿2009年度矿山储量年报》，现已通过评审。 6、参与了《新疆博乐市五台石灰岩矿9号矿区勘探》项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。 7、参与了《新疆博乐市托特克斜花岗岩矿详查报告》项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。 通过以上的这些工作，我学习并具备了以下工作能力： 1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一

20、提高分析问题、解决问题的能力，从而对测量学的基本内容得到一次实际应用，使所学知识进一步巩固、深化。 2、熟悉了三、四等控制测量的作业程序及施测方法，并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。 3、掌握了GPS控制测量内业解算软件（南方测绘 Gps数据处理）以及内业成图软件（南方cass）的操作应用。能够将外业测量的数据导入软件进行地形图成图和处理。 4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法，并参与了部分项目测量技术总结章节的编写工作。 5、在项目负责的领导下参与整个测量项目的组织运作，对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力，为以后的工作打下了坚实基础。 二、工作中尚存在的问题 从事测绘工作以来，深深感受到工作的繁忙、责任的重大，也因此没能全方位地进行系统地学习实践，主要表现为没有足够的经验，对于地形复杂的地段理解不够深刻；理论知识掌握不够系统，实践能力尚为有限。以上问题，在今后工作中自己将努力做到更好。 三、今后的工作打算 通过总结四年来的工作，我无论从工作技术上，还是从世界观、人生观、价值观等各个方面，都有了很大的提高。今后，我会在此基础上，刻苦钻研，再接再厉，使自己在业务知识水平更上一层楼，为测绘事业的发展，贡献自己的力量。