現在校園網對于安全和管理都越來越嚴格，很多網關門都用起了網絡監控軟件，但是由于有些網管軟件功能強大，部署過于苛刻，效果總是不能令人滿意的，那么我們現在就去看看網絡監控軟件的部署的介紹。

　　■網絡監控軟件的分類

　　網絡監控軟件數目雖多，不過根據其對客戶機的控制方式，可粗略分為兩大類：

　　1.連接控制類

　　其主要實現的功能是：根據預先設定的控制策略，在IP地址或MAC地址(網卡物理地址)級別上控制某臺機器與局域網絡或外網的連接。例如，通過此類軟件可以設定網卡MAC地址為00-01-01-00-97-A0的被監控機器只能在每天下午4:00～5:30這個時段，用192.168.1.88這個IP地址連接到網絡。任一條件不滿足，安裝監控軟件的機器將會采取特定的措施(常用ARP欺騙的技術)斷掉被控機的網絡連接，從而達到網絡監控的目的。

　　此類軟件的部署比較簡單，無論是集線器或交換機連接的網絡，只要在本網內選任一臺計算機安裝，即可實現監控功能。

　　代表軟件：

　　網絡執法官V2.67

　　網絡剪刀手V1.51

　　2.內容控制類

　　其主要實現的功能是：一，限制不同機器不同的網絡訪問權限(這有點像某些代理軟件擁有的功能，如WinRoute);二，記錄機器網絡通訊的具體內容，如可以記錄A機器所有外發郵件的內容(郵件正文、郵件附件)等。

　　此類軟件的部署較為復雜，針對不同的網絡結構，部署方式不盡相同，不過此類軟件所能實現的功能卻是我們網管員夢寐以求的。由于需要對網內機器的網絡通訊具體內容進行分類控制，所以此類軟件的工作方式一般為：

　　(1)抓取網絡內所有被控機器的通訊數據包

　　(2)分析數據包的具體內容

　　(3)應用控制策略，記錄通訊內容

　　而這三步之中，能夠抓取被控機器的通訊數據包是軟件功能能夠實現的前提條件，這就與我們的部署有很大關系。部署不當，軟件無法獲取被控機器的數據包，其功能也就無法實現。

　　代表軟件：

　　網路崗第四代

　　Web防護盾V1.03

　　■內容控制類網管軟件部署方法

　　由于連接控制類網管軟件的部署十分簡單，我們無需多加討論。下面，我們就一起來看看內容控制類網管軟件的部署。

　　在部署之前，我們需要簡單了解一下集線器與交換機的工作方式。

　　對于使用集線器連接的網絡而言，如果A機器需要與其他機器進行網絡通信，A發出的數據包會被同時復制到集線器的所有其他端口上。換而言之，用集線器連接的網絡，網內任何一臺機器都能夠“聽到”其他機器的通信，當然也能夠將這些通信包抓取下來。這正是內容控制類網管軟件功能實現的前提。所以，在集線器網絡中，任何一臺機器上均可部署此類網管軟件，而且功能都能正常實現。但是，基于集線器的網絡現在已不多見，只出現在一些早期建成的局域網中。

　　交換機與集線器最大的不同是通信數據包不再復制到其他所有端口，而是“精確”地發往目標機器所在的那個端口，所以，其他機器就無法“聽到”這種目的性較強的通信，當然也就無法實現數據包的抓取了。要想在基于交換機的網絡中部署此類網管軟件，必須在網絡的“關口”處設崗。所謂“關口”，即指所有機器的通信都會流經的端口。具體情況如下：

　　1.如果是通過代理服務器上網，只要在代理服務器上部署即可實現監控。

　　2.如果局域網的網關是計算機，可在此網關計算機上部署。

　　3.如果網絡的網關不是計算機，而是路由器的話，則較為復雜。軟件開發商一般會建議在交換機和路由器之間加裝一個集線器，將網管機接在集線器上，從而實現監控。

　　4.交換機端口映射。此方法只適合于部分可網管交換機，可通過對交換機的配置，將所有端口的數據通信映射到某一端口，并在與此端口相連的機器上安裝網管軟件進行監控。

　　以上就是關于網絡監控軟件的部署的介紹，如果你曾經也為部署網絡監控軟件而苦惱過，那么就參考下上文內容，希望你會得到一些有益的啟示。