互联网在中国已经基本普及，网络在企业里的地位越来越重要；企业网中的数据很多是一些机密，比如财务报表、进货价格、成交定单、用户需求、人事资料、合同文件、设计资料等等；再加上有些员工无意间会浏览一些不正规的网站，容易引进木马。企业数据将非常危险！还有些员工喜欢在工作时间做些私事，大量占用这企业带宽，给正常业务造成影响。所以，部署局域网监控软件非常必要！

 但在部署之前，我们要了解下局域网监控软件的一些基本常识，以免被不法商家忽悠住，那就真是浪费钱、浪费表情了。

一、基本原理
1、工作模式
（1）旁路模式
   大致的原理是：比如A（比如老张）和B（比如GOOGLE网站）两个电脑通讯，企业里另一个电脑C（比如网管）在监听，因此A和B的对话过程C就可以监视到；而如果C不愿意A和B通讯，于是就向网络总线上发一个阻断过程，这样把A和B的通讯禁止；这个前提是C可以拿到A和B通讯的MAC层数据包；
   目前主要是两种方式实现旁路模式：
   A：采用公开免费接口WINPCAP协议层驱动；
需通过HUB或交换机镜像获得MAC层总线数据流；

采用该方法主要缺陷如下：
[1] HUB是10M的，一旦旁路网络将速度被严重限制；已经淘汰产品；
[2]如果采用镜像交换机，需要额外投资，同时低端镜像交换机在阻断UDP时候很可能经常性阻塞可能；
[3]由于WINPCAP本身设计的天生弱点，所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低；
[4]无法实现NAT等更多的扩展功能，由于在协议层运行会被火墙禁止；
B：采用操作系统核心kercap内核抓包引擎
kercap内核抓包引擎是由上海百络信息技术有限公司于2005年自主研发的内核驱动程序，是一款国内首个采用自主研发，并具有世界领先水平的内核抓包引擎，速度是winpcap的十倍，可工作在千兆网络环境中而不丢包。

（2）网关模式
   由于旁路模式是在边上监听，因此在规模庞大的网络是不推荐的；网关模式将更强大有效，特别是在阻断BT等P2P应用、流量限制、UDP应用（比如QQ）将更加有效；这些应用都是实时性非常强，而且都是动态变换的，因此建议网关模式；但是，有个缺点就是，机器出现问题，将影响局域网内所有机器的上网通信，故不推荐。
2、用户模式
主要有基于IP策略的和基于MAC策略的两种用户模式；简单说就是以IP地址划分用户还是以MAC地址划分用户；大部分默认都是MAC地址；在网关模式下是可以直接绑定IP和MAC的对应关系；因此用户可根据环境而选择用户模式，一般来说采用默认的基于MAC策略就可以了；
3、应用模式
企业里涉及到两部分的网络管理，一部分是监视上INTERNET的行为和内容，也就是大家说的上网监控或外网监控；另一部分就是如果这个电脑不上INTERNET但又在内部局域网上（比如打印个文件什么的），一般被大家叫成内网监控或本网监控；上网监控管理的是上网的内容监视和上网行为监视（比如发了什么邮件，是否限制流量，是否允许QQ，或监视用户页面浏览）；而内网监视管理的是本地网络的活动过程（比如有没有COPY东西到U盘、是否在玩单机游戏、使用电脑做了什么等等）；

很多企业都选择了，外网监控！因为，只要能管控员工的上网行为，不让其把企业的机密文件外泄就可以了！一般，若是企业不需要多么保密的话，笔者不推荐内网监控版本的。因为一个企业最重要的是团结,如果这样就容易引起员工的怒反心理，不利于提高员工的工作效率！

相关链接：

如何抵御企业内的支点攻击

http://www.netbai.com/articles/2011-3-313032.htm

局域网管理维护与故障排除概述

http://www.netbai.com/articles/2011-2-22927.htm