【IT168 专稿】对于中小企业的网络管理员来说最头痛的就是如何有效的管理企业内网络,让企业网络运行效率更高了。平时我们在网络管理时总是夹在中间,既要紧盯外网出口防止黑客和漏洞病毒入侵企业内网,又要对内部员工进行统筹管理封杀非法网络应用,保证他们更专心于工作。俗话说巧妇难为无米之炊,技术再好的网络管理员如果没有得力的助手才网络管理工作上也将四处碰壁。
正巧最近笔者接触到了一款不错的网络管理工具,从功能上划分他属于sniffer类监控软件,不过由于他是由国内软件公司开发的,所以在使用和统计等多个方面的表现给笔者印象颇深,下面就请各位网络频道的读者跟随笔者一起化繁为简用科来网络分析系统高效管理企业内网。
一,科来分析专家简介:
科来网络分析系统是一个让网络管理者能够在各种网络问题中,对症下药的网络管理方案,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。笔者使用的是科来分析专家6.7版本。
就个人使用科来网络分析系统几个月的经验来看这款软件在数据包分析方面的功能表现是非常不错的,我们可以对监控到的数据进行保存和备份,然后针对他们进行分析,可以按照协议按照源地址目的地址分门别类的汇总和筛选。再加上该网络分析系统添加了很多适合中国国庆的组件和功能,为我们提供了很多网络分析方法和网络故障排查捷径。相信各位IT168网络频道读者一定会喜欢这个网络分析好帮手。
二,科来网络分析系统的应用环境:
从上文中我们知道科来网络分析系统是一个sniffer类的网络管理工具,要让sniffer类工具发挥最大功能就必须将其放置到能够监听到网络内各个端口数据的核心设备上,同时要针对这个核心设备配置镜像端口。因此在开始监控之前我们要登录企业核心路由交换设备在其上配置相应端口为镜像端口。笔者以华为3COM公司的S3100交换机为例进行介绍。
第一步:首先我们要确定哪些端口作为被监控端,哪个端口作为监控端。由于我们通过普通计算机安装科来网络分析
系统,所以被监控端数量不宜过多,当然如果企业在实际情况中需要监控多个端口,那么我们只需要提高监控端设备的硬件配置即可,必要时可以更换为1000M网卡。笔者决定将端口1到端口5设置为被监控端,相应的端口6作为监控端。S3100的最后一个端口16接口与外部网络连接。
第二步:规划好端口位置和性质后我们就开始配置具体参数了,首先登录到S3100交换机上,然后通过mirroring-group 1 local命令配置一个本地镜像组,组号为1。然后使用mirroring-group 1 mirroring-port ethernet 1/0/1 to ethernet 1/0/5 both来将端口1到端口5添加到这个本地镜像组中作为被监控端,最后一个参数both表示的是数据流入端口与流出端口双方向都要进行监控。(如图1)
图1:
第三步:接下来使用mirroring-group 1 monitor-port ethernet 1/0/6命令将端口6添加为监控端口,这个端口将要连接的是安装有科来网络分析系统的那台计算机,通过他来监控另外五个接口的数据并进行分析。(如图2)
图2:
第四步:之后我们通过display current命令来查看当前交换机的配置,我们会看到端口1到5都显示有mirroring-port的信息,同时端口6属于monitor-port。确认后执行save命令保存退出,这样我们就顺利的在核心交换机上设置了镜像功能,这也为科来网络分析系统能够更好的发挥监控功能提供了有力保障。(如图3)
图3:
小提示:
如果不进行镜像端口配置的话和sniffer一样我们通过科来网络分析系统在本机进行监控将只能够扫描接收到通过本机网卡的数据,这个数据包括网络中的广播包,部分组播包以及本机通讯数据包。根本无法实现监控本网段所有主机通讯的功能。所以说配置镜像端口是非常重要的。
三,快速安装科来网络分析系统
准备工作完成后我们就要在监控计算机上安装科来网络分析系统了,该系统兼容性比较好能够与市面大多数网卡协同工作。由于篇幅关系这里就不详细说明安装步骤了,只简单罗列下。需要提醒一点的是这台监控计算机按照之前的配置将连接S3100核心交换机的ethernet 1/0/6端口。
第一步:执行下载下来的主程序启动安装向导,设置安装目录为c:\program files\colasoft csnas 6.7 xce eva。(如图4)
图4:
第二步:将所有网络组件选全,然后复制必须文件到本地硬盘。(如图5)
图5:
第三步:通过手中的序列号和授权号注册科来网络分析系统,当然我们也可以到科来公司网站去申请免费试用。(如图6)
图6:
第四步:选择要监控的网卡后进入到科来网络分析系统的主界面。(如图7)
图7:
四,用科来网络分析系统管理内网——监控QQ:
很多中小企业都禁止员工在工作时间登录QQ聊天,所以作为网络管理员就要对QQ使用明察秋毫,我们的科来网络分析系统可以帮助我们找到谁在偷偷使用QQ,而且还能够发现偷用者的QQ号码,即使他使用了代理服务器我们也能够把他查出来,因为监控时使用的是特征码协议标头比对的方式。
第一步:打开科来网络分析系统,选择监控数据大小后点“开始”,这时我们能够看到随着时间的推进在左边区域监控到的数据包越来越多,如果发现internet地址处有诸如szx.tencent.com的话就说明网络内有人尝试登录QQ,因为这系列地址都是QQ的登录服务器域名。(如图8)
图8:
第二步:同时我们通过按协议浏览来查看监控到的数据包,一般来说QQ登录与通讯都是在UDP协议下的,当然有些人为了躲避UDP协议的监控或者企业本来就封锁了UDP协议通讯的话,QQ登录会在UDP无法使用的情况尝试TCP登录。不管通过哪种协议我们都可以在按协议浏览中找到专门的QQ选项。(如图9)
图9:
第三步:查看QQ选项下的具体信息,包括登陆数据包,通讯数据包,发送信息数据包,接收信息数据包以及保持活动数据包等。笔者也使用过sniffer,他并没有针对QQ的数据包进行统计和收集,所以说在这个方面科来网络分析系统走在了前面,毕竟他是国内的产品更加符合国情。笔者通过分析登录数据包的概要直接找到了偷偷摸摸使用QQ聊天的QQ号码。(如图10)
图10:
第四步:不过由于QQ在安全方面做的比较好,所以要分析接收到的数据以及发送走的数据具体内容是不实际的,我们看到的都是QQ加密过的通讯数据。(如图11)
图11:
第五步:当员工取消QQ登录时我们的科来分析系统也能够捕捉到对应的操作,数据包中提示“用户离线”。(如图12)
图12:
通过科来网络分析系统笔者成功的发现了在内网中偷偷使用QQ的员工,并且利用扫描到的QQ号码快速定位了员工身份,有了科来的帮忙员工们再也不敢利用工作时间上网聊天了,企业运行效率大大提高。
五,总结\系统小档案:
我们的科来网络分析系统的功能还不仅仅局限于此,他的功能是强大的,由于篇幅关系笔者将在下篇文章中详细介绍通过科来网络分析系统监控内网通讯,包括FTP,MSN通讯以及HTTP页面捕捉,同时还将为各位呈现其强大的过滤器,统计等多功能组件。
科来网络分析系统小档案:
软件版本:6.7版
软件类型:共享软件(个人授权)
软件大小:19230KB
软件语言:简体中文
应用平台:Win2000/XP/2003/Vista
下载地址:
http://www.colasoft.com.cn/download/csnastech.exe