基于校园网安全和提高管理效率方面的考虑，网管员们纷纷用起了各种各样的网络监控软件。可是试用过后，效果往往不能令人满意，有一些网络监控软件功能强大，但网络监控软件部署条件过于苛刻，最终不得不放弃。如果你也为部署网络监控软件苦恼过，相信本文会给你一些有益的启示。

一、网络监控软件的分类:网络监控软件数目虽多，不过根据其对客户机控制方式，可粗略分为两大类：

1．连接控制类：其主要实现的功能是：根据预先设定的控制策略，在IP地址或MAC地址（网卡物理地址）级别上控制某台机器与局域网络或外网的连接。例如，通过此类网络监控软件可以设定网卡MAC地址为00-01-01-00-97-A0的被监控机器只能在每天下午4:00～5:30这个时段，用192.168.1.88这个IP地址连接到网络。任一条件不满足，安装监控软件的机器将会采取特定的措施（常用ARP欺骗的技术）断掉被控机的网络连接，从而达到网络监控的目的。此类网络监控软件的部署比较简单，无论是集线器或交换机连接的网络，只要在本网内选任一台计算机安装，即可实现监控功能。

2．内容控制类：其主要实现的功能是：

（1）限制不同机器不同的网络访问权限（这有点像某些NAT软路由软网关软件拥有的功能，如WinRoute）；（2）记录机器网络通讯的具体内容，如可以记录A机器所有外发邮件的内容（邮件正文、邮件附件）等。此类网络监控软件的部署较为复杂，针对不同的网络结构，部署方式不尽相同，不过此类软件所能实现的功能却是我们网管员梦寐以求的。由于需要对网内机器的网络通讯具体内容进行分类控制，所以此类软件的工作方式一般为：

（1）抓取网络内所有被控机器的通讯数据包；（2）分析数据包的具体内容；（3）应用控制策略，记录通讯内容；而这三步之中，能够抓取被控机器的通讯数据包是软件功能能够实现的前提条件，这就与我们的部署有很大关系。部署不当，软件无法获取被控机器的数据包，其功能也就无法实现。

二、内容控制类网络监控软件部署方法

由于连接控制类网络监控软件的部署十分简单，我们无需多加讨论。下面，我们就一起来看看内容控制类网管软件的部署。在部署之前，我们需要简单了解一下集线器与交换机的工作方式。

对于使用集线器连接的网络而言，如果A机器需要与其他机器进行网络通信，A发出的数据包会被同时复制到集线器的所有其他端口上。换而言之，用集线器连接的网络，网内任何一台机器都能够“听到”其他机器的通信，当然也能够将这些通信包抓取下来。这正是内容控制类网络监控软件功能实现的前提。所以，在集线器网络中，任何一台机器上均可部署此类网络监控软件，而且功能都能正常实现。但是，基于集线器的网络现在已不多见，只出现在一些早期建成的局域网中。

交换机与集线器最大的不同是通信数据包不再复制到其他所有端口，而是“精确”地发往目标机器所在的那个端口，所以，其他机器就无法“听到”这种目的性较强的通信，当然也就无法实现数据包的抓取了。要想在基于交换机的网络中部署此类网管软件，必须在网络的“关口”处设岗。所谓“关口”，即指所有机器的通信都会流经的端口。具体情况如下：

1. 如果是通过代理服务器上网，只要在代理服务器上部署即可实现监控。2. 如果局域网的网关是计算机，可在此网关计算机上部署。3. 如果网络的网关不是计算机，而是路由器的话，则较为复杂。软件开发商一般会建议在交换机和路由器之间加装一个集线器，将网管机接在集线器上，从而实现监控。4. 交换机端口映射。此方法只适合于部分可网管交换机，可通过对交换机的配置，将所有端口的数据通信映射到某一端口，并在与此端口相连的机器上安装网管软件进行监控。

三、应用层已成企业内网安全问题的主要来源

随着针对应用层SMTP、HTTP、FTP、POP3等协议所发动的攻击层出不穷，过去专门锁定于网络层安全性上的防火墙与入侵侦测／入侵防护系统（IDS／IPS），已无法满足目前企业内网安全需求，以及内网安全风险上的急迫性，于是，应用层内网安全防护方案遂成为企业加强的重点。

在应用层方面，几乎每天都有不同的内网安全风险戏码精采上演，除了历史悠久的病毒、蠕虫之外，木马程序、间谍软件、垃圾邮件、网络钓鱼等攻击，时时造成个人、企业，乃至全球社会的极大损失。不仅如此，虽然新应用的出现带来全新的功能与商机，但也同时伴随出新的内网安全风险，包括Web Mail、实时通讯、P2P共享软件、VoIP、RSS阅读器等，其中最使人困扰的，莫过于系统软件中接二连三出现的安全漏洞，为了更新漏洞，又会衍生出额外的成本、管理，甚至系统稳定性与效能上的新问题。

安全业者表示，虽然应用层安全早已成为现阶段企业防护的重要项目之一，不过，目前企业在面对类型繁杂的各式应用层安全方案时，常面临难以抉择的状况。长久以来，防火墙与防毒软件几乎成为大部分企业最基本的安全建置项目，但讲求封包过滤的防火墙却无法因应Web等应用层的安全问题，至于防毒软件，乃以病毒特征码为主要防护的基础，不但无法面对急剧变动的各种应用层攻击，更无法解决零日攻击的威胁。

安全厂商表示，为了解决防火墙与防毒软件之不足，遂有安全网关设备的兴起，但种类上仍相当繁杂，常造成企业选购上的困扰。目前常见的内网安全网关设备，大致包括防毒墙、内容过滤器与多功能内网安全网关设备等类型，其中多功能内网安全网关设备已成为目前当红的内网安全设备之一，但是该配备在效能上一直颇令人质疑。安全厂商特别指出，不论何种内网安全网关设备，只要将防毒功能打开，效能多半惨不忍睹，也因为如此，防毒功能无异等于内网安全网关设备的一大死穴。