一、网络监听的工作原理

要有效防止局域网的监听，则首先需要对局域网监听的工作原理有一定的了解。知己知彼，百战百胜。只有如此，才能有针对性的提出一些防范措施。 现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，就是某个主机A如果要发送一个主机给B，其不是一对一的发送，而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下，只有主机B才会接收这个数据包。其他主机在收到数据包的时候，看到这个数据库的目的地址跟自己不匹配，就会把数据包丢弃掉。 但是，若此时局域网内有台主机C，其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配，就会接收这个数据包，并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。

在以太网内部传输数据时，包含主机唯一标识符的物理地址（MAC地址）的帧从网卡发送到物理的线路上，如网线或者光纤。此时，发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后，这台主机的网卡会先接收这个数据包，进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话，就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话，就会把数据包交给上层进行后续的处理。在这种工作模式下，若把主机设置为监听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过信息加密处理的话，那么后果就可想而知了。

二、网络安全管理策略

在网络安全管理中，除了采用上述技术措施之外，加强网络安全管理，制定有关规章制度，对于确保网络安全、可靠地运行，将起到十分有效的作用。网络安全管理理策略包括：确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

三、实现用户上网行为审计

公安部第82号令要求记录用户上网相关信息和NAT转换前后的IP地址，实现用户上网行为审计，如何实现？H3C上网行为监管解决方案能彻底解决以上问题，是业界应用识别最全面的解决方案，方案由应用控制网关和安全管理平台组成。应用控制网关有SecPath ACG盒式设备和SecBlade ACG插卡（应用于H3C S75E/S95核心交换机）两种产品形态，ACG可针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题；

局域网安全管理平台有SecCenter硬件设备和ACG Manager管理软件两种产品形态，对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户上网行为管理和流量趋势，为加强整网安全、满足合规性要求提供决策依据。主要特点：

(a)最全面P2P/IM应用控制:  通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、微信、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速正常和业务不被影响。

 (b)用户非法行为管理:  ACG应用控制网关采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，提高员工工作效率。通过URL过滤等访问控制策略，控制非法应用，过滤非法网站，规范用户上网行为。

 (c)网络与安全的深度融合:  基于H3C在网络及安全领域的深厚技术积累，用户可选择在核心交换机中增加SecBlade ACG模块，在提供完善的网络应用控制功能的同时，无需单独部署独立的安全设备，简化网络结构，便于用户管理，真正实现安全与网络的深度融合。

 (d)应用流量分析:  根据ACG上报的流量信息，安全管理平台进行应用流量分析，通过对用户、时间、协议、IP地址、端口的纵深分析，提供基于应用协议的流量趋势、详细数据、使用排名等信息并生成分析报告，为管理员进行流量管理提供有力依据。

 (e)用户行为审计:  局域网安全管理平台收集ACG记录的用户应用访问信息和防火墙发送的NAT日志，对HTTP、Email、FTP、IM等行为进行分析，记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容，实时输出用户行为审计报告，满足公安部第82号令要求。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。