一、外网监控与内网监控

企业网络管理涉及到两个部分。一部分是监视上Internet的行为和内容，也就是大家所谓的上网监控或外网监控；另一部分是如果这个电脑不上Internet但又在内部局域网上(比如打印文件)，一般被大家叫成内网监控或者本网监控。外网监控管理的是上网的内容监视和上网的行为监视(比如发了什么邮件，是否限制流量，是否允许QQ，或监视用户页面浏览)；而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机 游戏、使用电脑做了什么等等)。

拥有内网管理功能的网络管理软件有：Phantom桌面管理、三只眼、网路岗以及LaneCat网猫。内网管理的实现需要客户端支持。这几种软件都有专门的客户端软件提供。没有内网管理功能的：百络网警、activewall、聚生网管。

外网监控软件模式基本可以分为两类：有客户端的和没有客户端的(内网安全都需要客户端，上面没有客户端的都不能实现内网安全管理)。

二、没有客户端的外网监控

没有客户端的外网监控软件大概分为四种安装模式：旁路、旁听(共享式HUB、端口镜像)、网关、网桥。

1、旁路模式：

基本采用ARP欺骗方式虚拟网关，让其他计算机将数据发送到监控计算机。只能适合于小型的网络，网络环境中不能有限制旁路模式；路由或防火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；若网内同时有多个旁路将会导致混乱而中断网络。此类软件较多，主要有聚生网管、P2P终结者、网络执法官等。

2、旁听模式：

通过共享式HUB、端口镜像方式来获取网络上的数据实现监控，通过抓取总线MAC层数据帧方式而获得监听数据，并利用网络通讯协议原理发送带RST标记的IP包封堵TCP连接以破坏TCP连接实现控制的方法；不能封堵UDP通讯包,而QQ、BT等很多软件会使用UDP协议。而且还需要额外购置网络设备，因为共享式HUB中每个端口基本都是10M的，因此在网络性能上将有很大限制，也意味丢包的危险，目前HUB几乎到了淘汰的命运，也不适合大型网络环境，因此是很大局限。

镜像交换机比较贵并且需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话，那么购买镜像交换机意味成本的提高。另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向(监视和控制)数据流处理不完善而导致交换机瞬间阻塞现象。很多的镜像交换机也是单向的，但相比老式的HUB模式来说，使用镜像交换机实现监听还是要理想一些。此类软件有超级嗅探狗、LaneCat网猫等。

3、网关模式：

网关模式是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机)，常用的是NAT存储转发的方式，简单说有点像路由器工作的方式，因此控制力极强。但由于存储转发的方式，性能多少有点损失，不过效率已经比较好了，但维护和安装比较麻烦，无法跨越VLAN和VPN。假如网关死了，全网就瘫痪了。此类软件有 ISA、anyrouter软网关等。

4、网桥模式：

双网卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条网线，因此性能是最好的几乎没有损失；适合超大用户量；该模式的缺点是额外开支，需要购买一台拥有足够网络处理能力服务器，而且还要连接在交换机和路由器之间的网络上。支持网桥模式的软件比较少，主要有Anyview网络警、网路岗、activewall等。

总结

金无足赤，人无完人。这个世上也没有十全十美的网络监控软件。如果想要实现对内网和外网的监控，推荐使用LaneCat网猫，因为它是唯一一款分内网监控和外网监控的软件。以上分析仅供参考，毕竟适宜的才是最好的。

网络监控

电子眼抓拍大解密 网站变灰色代码方法大集合