网络和计算机技术的发展可以说 已经深入到我们国家才每一个角落, 根据07年底的统计我国目前1/5的 政府部门,30%大型企业，100%的IT 企业和银行，如果离开网络完全无法运行。

据调查，企业员工每天的互联网访问中40％与工作无关，对色情等非法网站的访问量70％发生在工作时间；互联网带宽资源有70％是被mp3、视频下载等占用；更有甚者，30%以上的员工在使用互联网时没有明确目标。

于是，来自网络的风险也正在悄然入侵，越来越多的网络交流无意中加大了企业信息的泄漏，给企业信息安全带来隐患。很多公司对于来自外部的网络攻击非常上心，但对于来自内部局域网的隐患却不大注意。

局域网监控软件的4种工作模式：

1、网桥模式：原理是双网卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条网线，因此性能是最好的几乎没有损失；WINPCAP本身并不支持该模式；该模式可以说是最理想的了，即使桥坏了，只要简单做个跳线就可以了，因为桥是透明的可以看成网线，即使桥坏了就可以理解为网线坏了换一条而已；支持多VLAN、无线、千M万M、以及VPN、多出口等等几乎所有的网络情况，原因很简单，因为透明桥嘛等于理解为那是网线而已。
2、网关模式：原理是把本机作为其他电脑的网关（设置被监视电脑的默认网关指向本机），分别可以作为单网卡方式和双网卡甚至多网卡方式，原始的PROXY模式目前基本淘汰了一般不再有人采用，目前常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因此控制力极强，但由于存储转发的方式，性能多少有点损失；不过效率已经比较好了；缺陷是假如网关死了，全网就瘫痪了。
3、旁路模式：原理是使用ARP技术建立虚拟网关，只能适合于小型的网络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如网内同时多个旁路将会导致混乱而中断网络；但只要条件该方式是最简单的部署以及最方便的安装设置。
4、旁听模式：原理是旁路监听，就如两个人电话边上有一个并机在听，因此效率就非常低了，该模式需要采用共享式HUB或交换机镜像；可是如采用老式的共享式HUB将影响网络出口性能；如采用镜像模式，一方面需要投资支持双向的镜像交换机设备，另一方面需要专业的人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低网络性能；而根本的问题是很功能就失去了；旁听模式原理性缺陷导致UDP阻断无法完美实现，也会严重损失网络带宽，同时无法实现比如流量限制等很多功能；一般来说，至少损失40%以上的网络性能；而WINPCAP就是采用该模式工作的，正因为如此无论是性能功能就根本上决定了天生的缺陷。

市场上有那么多局域网监控软件，该怎么选择呢？这些软件的区别又是什么？这是很多人都不知道的了，下面我们简单的为这些局域网监控产品做一个分类。
1、按照最关键的核心驱动程序不同，局域网监控软件分成三大类：
（1）免费WINPCAP驱动的或使用WINPCAP修改的版本：
　　 这些共同的特点是安装需要HUB或镜像，采用旁听模式，无法限制UDP和流量限制；产品名称很多：由于旁听模式的天生缺点，为了弥补这个缺点，所以很多产品都采用了ARP欺骗的模式，所以当路由绑定IP和MAC或绑定ARP，如采用ARP欺骗方式的软件将失去作用，或被监视电脑安装ARP火墙也将失效；

（2）采用NDIS中间层驱动，基本都是自主开发，因为没有免费的接口；
（3）采用自主研发的核心抓包驱动
　　 因为winpcap的开源性，政府、军队、事业单位都无法完全的信赖采用使用winpcap核心的产品，这样促使一些厂商开始研发自己的抓包引擎，目前国内最显著的就是上海百络研发的基于kercap核心的百络网警。

　　 而上述三类的共同的特点是支持4种工作模式：网桥模式、网关模式、旁路模式、旁听模式。

2、按照功能性质不同，又区分为上网行为管理和内网管理 
上网行为管理又可以称为外网管理，主要管理局域网内电脑访问外部网络行为；内网管理相对于外网管理，可以控制局域网内电脑、管理文件、因为安装了客户端，对一些内容加密的聊天软件，比如说QQ等，可以监视聊天的内容。

我们在选择局域网监控软件的时候，首先肯定要对局域网监控有了一定的了解，知道其基本的原理，分类，功能作用，在此基础上，每个企业单位在考虑具体问题时，再具体问题具体分析。

相关内容链接：

网络监控软件帮助个别新入伍战士摆脱网络依赖

http://www.netbai.com/articles/2011-5-163227.htm

通用局域网网络监控软件部署方案分析

http://www.netbai.com/juyuwang_rj/juyuwang20.asp