“IP/MAC/Port信息查詢”插件的功能是通過用戶提交的IP/MAC/端口獲取對應IP的地理位置信息，MAC的生產廠家信息，協(xié)議使用端口的信息。下面介紹如何使用該插件。 1.下載插件 [IMG]upload/iplookup1.jpg[/IMG] 2.運行插件 2.1 查詢IP信息 例如輸入180.97.33.107(百度)，返回的信息如下： [IMG]upload/iplookup2.jpg[/IMG] 2.2 查詢MAC廠商 例如輸入00-0B-2F-7B-47-...

1. 什么是根據(jù)MAC地址監(jiān)控？

WFilter支持“根據(jù)IP地址監(jiān)控”和“根據(jù)MAC地址監(jiān)控”兩種方案（如果您有AD域，還可以根據(jù)域賬號進行監(jiān)控）?！案鶕?jù)MAC地址監(jiān)控”模式下，WFilter通過被監(jiān)控設備的物理MAC地址來進行識別，即使客戶機修改了IP（或者自動獲取了一個新的IP），仍然可以準確識別。所以“MAC監(jiān)控模式”在自動獲取IP地址，或者IP地址不固定的網絡中，有很大的優(yōu)越性。

我們一般建議用戶采用如下的監(jiān)控方式：

1. 已經是固定IP或者可以實現(xiàn)固定IP的情況下，優(yōu)先采用“根據(jù)IP監(jiān)控”的模式。
2. 動態(tài)IP的局域網，單網段情況下，優(yōu)先采用“根據(jù)MAC監(jiān)控”模式。

2. 多網段根據(jù)MAC監(jiān)控方案

多網段的情況下，由于三層交換機的存在，屏蔽了客戶機實際的MAC地址，從而無法直接實現(xiàn)“根據(jù)MAC地址”監(jiān)控。

不同于HTTP，HTTPS的通訊數(shù)據(jù)是被加密保護的。要實現(xiàn)對HTTPS站點的屏蔽，網管軟件需要支持對HTTPS的握手信息的解析。

WFilter的系列產品（超級嗅探狗和WFilter Free)都可以支持對HTTPS站點設置“黑白名單”。

本例中， 我將演示如何用WFilter Free來禁止HTTPS站點。

WFilter4.1中新增了旺旺黑白名單功能，該功能可以針對具體的淘寶賬號或者阿里巴巴賬號進行封堵和不封堵。下面的例子演示了如何配置旺旺黑名單。

1.在“封堵級別策略“中新增一個“阿里旺旺”策略

[IMG]upload/aliww1.jpg[/IMG]

2.黑名單內容如下圖

需要注意的是：在用戶名前面加上類型。淘寶用戶則加上taobao，阿里巴巴用戶則加上alichn。配置完成后記得保存。 [IMG]upload/aliww2.jpg[/IMG] ...

在配置策略時，您可能會遇到在不同的封堵策略中都需要禁止或者開放某些網站，這時您必須在每個策略都配上這些網站。為了簡化用戶的操作，在WFilter4.1中新增了“插入模板”功能。 模板分為“官方模板”和“自定義模板”，“官方模板”是WFilter將一些常見的黑白名單放在軟件里方便用戶使用，“自定義模板”可以按照用戶自身的需求進行編輯。 下面的事例演示了如何使用“插入模板-自定義模板”功能：

1.新增test策略，新增一個網站黑白名單test。

  無線設備已經是局域網的一大組成部分，而手機等移動設備一般都是自動獲取IP且MAC地址也不方便管理和查看。所以，移動設備上網的管理已經是企業(yè)局域網管理的一大難題。本文中，我們將演示如何用WFilter的賬號監(jiān)控功能來管理移動設備的上網行為。    利用WFilter的賬號監(jiān)控功能，可以要求手機用戶上網時先進行web賬號驗證，支持域賬號驗證和自定義賬號驗證兩種方式。驗證后的賬號可以在WFilter中查看到。

一個WFilter監(jiān)控主機可以監(jiān)控一個局域網的上網行為，當您有多個局域網需要管理的時候，需要在每個網絡都安裝一套WFilter才可以。

為管理多個WFilter服務器，我們推薦您在WFilter界面中直接切換到不同的服務器進行查看。請參考：[URL=http://m.s-dudley.com/blog/post/148.html]如何集中管理多個超級嗅探狗監(jiān)控服務器？[/URL]

有些情況下，個別用戶可能需要把數(shù)據(jù)集中存放以便于管理。要實現(xiàn)這樣的功能，您必須安裝WFilter的數(shù)據(jù)庫版本。從而利用數(shù)據(jù)庫的管理功能來同步WFilter數(shù)據(jù)庫。

本例中，我們將演示如何用mysqldump來同步WFilter數(shù)據(jù)庫（mysql版本）

WFilter（超級嗅探狗）4.1版本中新增了“網頁推送”功能，可以在滿足指定條件時給客戶機來推送web頁面，它可以用于企業(yè)公告、內容推送、報表推送等功能的實現(xiàn)。 本例中，我們將演示如何使用WFilter進行網頁推送。

企事業(yè)單位內部，允許員工隨意使用網盤、使用網絡硬盤存儲東西，將會使得企業(yè)面臨著商業(yè)機密丟失、被盜的風險。WFilter Free可以有效控制網盤使用、禁止網盤上傳。 本例中，我們將演示如何用WFilter Free 禁止網盤(以百度云網盤為例)。

根據(jù)我們最新的壓力測試，WFilter（超級嗅探狗）4.1版本的性能得到了大幅提升，監(jiān)控5000臺毫無壓力，相比4.0大幅提升啦。 測試環(huán)境是Server 2008 R2，dlink千兆交換機。測試機的內存只有2G、CPU是Intel Celeron E3200@2.4GHZ。由于測試的硬件配置比較低，帶機量還存在大幅的上升空間。 [IMG]upload/wfilter_performance_1.png[/IMG] [IMG]upload/wfilter_performance_2.png[/IMG]

　　有些小型局域網只通過一個無線路由器接入，而且沒有支持鏡像的交換機或者路由器。這樣的情況下，可以采用本文中演示的方案：“把安裝WFilter的電腦配置為網關，然后把無線路由器當成無線AP來提供無線服務”。 　　網絡結構如下圖： [IMG]upload/web-1.jpg[/IMG]

DHCP服務器用于給客戶機分配動態(tài)IP地址，當一個局域網內存在多個DHCP服務器時，就會導致IP地址混亂或者沖突。很多情況下，一個私接的路由器就可能導致大面積斷網。 利用WFilter的“局域網DHCP服務器掃描 ”插件，你可以一鍵掃描出局域網內的DHCP服務器的信息。不僅可以檢測管理DHCP服務器的工作狀況，還可以有效的發(fā)現(xiàn)私接路由器等行為。 本例將演示如何用WFilter Free（免費版）的“局域網DHCP服務器掃描”插件來掃描DHCP服務器。

利用WFilter的“局域網掃描”插件，你可以一鍵掃描出局域網內的在線設備列表、設備類型、系統(tǒng)類型、IP和MAC地址，并且還可以掃描出每臺設備開放的端口等信息。 本例將演示如何用WFilter Free（免費版）的“局域網掃描”插件來掃描局域網。 [B]1.安裝局域網掃描插件[/B] 打開wfilter free，進入到“系統(tǒng)配置”——“插件管理”，點擊下載插件，彈出“下載插件”框，安裝“局域網掃描”插件。 [IMG]network_scan01.jpg[/IMG]

經過一年多研發(fā)，WFilter（超級嗅探狗）4.1版本即將發(fā)布啦。讓我們一起來了解有哪些新功能吧：

1. 更多的監(jiān)控部署方案

新版本在現(xiàn)有的部署方案下，又補充了更多的監(jiān)控方案，尤其加強了針對無線網絡的部署。而且新增了多網段下根據(jù)mac地址監(jiān)控的功能。串聯(lián)驅動imnptf也添加了對win7 64、2008、win8 64、2012 server的支持。

2. 更多的監(jiān)控內容

新版本中，添加了對一大批IP協(xié)議的支持，對于瀏覽記錄、文件傳輸記錄等，都添加了更多的信息，比如：使用的瀏覽器版本、TLS加密的信息。

3. 更快的加載速度

WFilter 4.1版本采用了fastcgi的技術，使界面后臺處理程序常駐內存，從而大大加快了頁面的載入速度。監(jiān)控性能、查詢速度也有了很大的提升。

本文將介紹如何用WFilter來監(jiān)控多個局域網（多個互聯(lián)網接入）。由于每個鏡像只監(jiān)控到一個局域網，那么要在一臺監(jiān)控主機上監(jiān)控多個局域網時，需要使用多塊網卡，每塊網卡都接到一個鏡像端口。然后在WFilter的“系統(tǒng)配置”->“監(jiān)控配置”中配置多個監(jiān)控網卡來進行監(jiān)控。

1. 網絡拓撲圖

以同時監(jiān)控兩個局域網為例，如下圖：

[IMG]upload/morelanMon01.jpg[/IMG]

請注意：兩個局域網的網段不能設置成一樣，否則監(jiān)控記錄會混淆。分別設置不同的網段，比如：192.168.1.x，192.168.2.x。

有些公司局域網內，只要有人用P2P、迅雷、旋風等下載軟件，就會造成整個局域網網速變慢。

WFilter Free版從1.0.171起已經添加了迅雷的支持，可以完全禁止迅雷及其他P2P軟件的下載。

本例中，我們將演示如何用WFilter Free來禁止局域網的下載軟件(以迅雷為例)。

有些公司局域網或者小區(qū)局域網需要客戶機通過PPPOE撥號到指定的上網服務器來上網，從而實現(xiàn)用戶驗證以及流量計費。但是PPPOE是IP協(xié)議，且默認是壓縮加密的，常見的上網行為管理軟件都無法對PPPOE的用戶進行管理。

本例中，我們將演示如何用WFilter Free來監(jiān)控PPPOE的客戶機。WFilter Free可以支持不加密不壓縮的PPPOE協(xié)議。所以要先配置PPPOE服務器的通訊方式。

在安裝avast 網絡安全軟件的虛擬機上，運行超級嗅探狗，無法監(jiān)控到本機的網絡行為。 以下演示如何對avast 網絡安全軟件進行配置，具體步驟如下： 1. 選擇“安全”中的“防火墻設置”，點擊設置。 [IMG]upload/avast01.jpg[/IMG] 2. 在策略中點擊“數(shù)據(jù)包規(guī)則”。 [IMG]upload/avast02.jpg[/IMG] 3. 增加一條新的數(shù)據(jù)包規(guī)則：允許所有的協(xié)議通過，地址中添加本機的IP，保存配置。 [IMG]upload/ava...

在“旁路”過濾模式（通過鏡像端口實現(xiàn)監(jiān)控）下，WFilter（超級嗅探狗）通過在“通訊網卡”上發(fā)送RST包來阻斷TCP連接。所以如果通訊網卡不能通訊或者通訊不暢，就可以導致封堵功能不起作用。

什么情況下需要用兩塊網卡

一般情況，用同一塊網卡就可以同時實現(xiàn)監(jiān)控和封堵，當下列情況出現(xiàn)時，需要用兩塊網卡。

1. 交換機的鏡像端口不允許通訊。有些交換機是不允許鏡像上網的，該鏡像口只能收包，不能發(fā)包。你可以在監(jiān)控的電腦上ping其他的電腦來檢查這一項。改變交換機的設置（如果支持的話）或者增加一個獨立的通訊網卡就可以解決這個問題。比如Cisco交換機有一個參數(shù)“ingress”，它能允許鏡像端口進行通訊。

2. 監(jiān)聽網卡過于繁忙。由于鏡像端口要接收其他電腦的上網數(shù)據(jù)包，網絡壓力大時網卡的負荷會很大。如果需要監(jiān)控50臺及以上的電腦，我們建議您使用兩塊網卡。點擊“系統(tǒng)配置”—>“配置檢測”可以檢查監(jiān)控網卡是否存在此問題（存在此問題時會提示“封堵效率過低”）。

WFilter Free是免費的網管軟件，本博客將演示如何用WFilter Free來屏蔽局域網內機器瀏覽淘寶等購物網站。

1、配置封堵策略

打開WFilter Free，點擊“封堵策略”。

[IMG=700,225,屏蔽淘寶]upload/taobao_01.png[/IMG]

WFilter Free是免費的網管軟件，本例將演示如何用WFilter Free來禁止局域網內的微信和微信傳文件。具體步驟如下：

1、安裝微信協(xié)議的支持

新建一個封堵策略，名為“禁止微信”。點擊左下方的“下載協(xié)議”，彈出“下載協(xié)議”框，搜索微信和微信傳文件并安裝。

[IMG]upload/block_weixin01.jpg[/IMG]

1、Network Tap簡介

網路分流器(Network Tap)可以透明串聯(lián)在網絡中實現(xiàn)網絡流量的監(jiān)控。相比較鏡像交換機而言，network tap有以下優(yōu)點：

1. 即插即用，不需要電源就可以工作。
2. 利用網線來實現(xiàn)監(jiān)控，不會影響網速。
3. 成本低，自己就可以手工制作。

網上有很多如何自己制作network tap的帖子，有興趣的同學可以自己嘗試下，請參見：

1. Openwrt簡介

作為一個開源路由器第三方固件，openwrt可以把你的無線路由器擴展成一個強大的linux嵌入式設備。有了openwrt，即使你的路由器硬件不支持“端口鏡像”功能，你也可以通過在openwrt系統(tǒng)內安裝port-mirroring程序來實現(xiàn)監(jiān)控。

本文將指導您如何在openwrt系統(tǒng)中安裝port-mirroring程序來實現(xiàn)監(jiān)控。如果您的路由器不是openwrt固件的，請訪問[URL=http://www.openwrt.org.cn/bbs/forum.php]openwrt官網[/URL]來獲取最新固件和刷機指南。

最近很多客戶詢問如何禁止手機或者PAD這類移動設備上的PPS影音，在這里介紹一下步驟。

1.先新建一個封堵策略，名為“禁止PPS”，選擇“流媒體”，勾選“禁止PPS網絡電視”，保存設置。

[IMG]upload/block_PPS_01.jpg[/IMG]

對于有多個部門的公司，各部門一般有不同的上網權限，如果部門內部的人員變動和策略設置都由IT部門來設置的話會比較麻煩。 在這種情況下，可以給每個部門單獨設置一個操作員，這個操作員只能看到本部門的電腦的上網記錄、報表，也能給本部門的員工設置上網策略。 本例中將演示如何用超級嗅探狗來設置多部門操作員。