大蓝千里眼_千里眼vsir_千里眼v3.2电脑版(2)

因此是很大局限；网络带宽损失都会超过60%;镜像交换机首先是比较贵并需要的配置。而目绝大多数企业并没有带镜像交换机。另外如果规模比较小的话。那么增加购买镜像交换机意味成本的提高。另外有些便宜的交换机虽然带镜像功能。但在镜像后由于双向数据流处理不完善而导致交换机瞬间阻塞现象；而很多的镜像交换机也是单向的；但相比老式的HUB模式来说。使用镜像交换机实现还是要理想一些。此类软件有超级嗅探狗网络管理软件。

LaneCat网猫网络监控软件等。3．网关模式：是把本机作为其他电脑的网关。常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因此控制力极强。但由于存储转发的方式。性能多少有点损失；不过效率已经比较好了。但维护和安装比较麻烦；无法跨越VLAN和VPN；假如网关死了。全网就瘫痪了。此类软件有 ISA。anyrouter软网关等。这里没有引用。ISA在银行金融机构中使用。海天上网监控软件是专门针对ISA而开发的。

4．网桥模式：双网卡做成透明桥。而桥是工作在第2层的。所以可以简单理解为桥为一条网线。因此性能是最好的几乎没有损失。支持网桥模式的软件比较少。主要有Anyview网络警局域网管理软件。百络网警局域网管理软件。网路岗局域网管理软件。5．获取数据包的技术除了模式。我们讲一下获取数据包的技术。目前有两种方式：1） 采用操作系统核心NDIS中间层驱动模式。2） 公开免费接口WINPCAP协议层驱动。Anyview网络警局域网管理软件采用NDIS中间层驱动。

百络网警说采用的是kercap内核技术。网路岗则采用的是WINPCAP技术。由于WINPCAP本身设计的天生弱点。所以在流量限制方面无法实现。阻断UDP也将导致网络中断。无法支持千M网络和无线网络。性能也必然很低；也无法实现NAT等更多的扩展功能。由于在协议层运行会被火墙禁止；而NDIS中间层驱动模式由于在NDIS层位置驱动。因此性能效率将非常高。更也将成为可能；能够克服WINPCAP所有的弱点。

因此成为主流技术；但实现起来很大难度需要很强的开发实力；6．结论：按照部署模式分：通过对比我们可以知道。网桥模式是最理想的一种模式。这种模式唯一的缺点就是额外开支。需要购买一台足够网络处理能力服务器。而且还要连接在交换机和路由器之间的网络上。主要有Anyview网络警。百络网警。网路岗。activewall等。再按照获取数据包的技术分：显然Anyview网络警和activewall采用NDIS中间层驱动技术更好。

如果需要内网管理与外网管理都需要。那么所有软件都需要客户端。显然数据伞。Phantom和信安上网行为管理系统是最好的选择。其次是Anyview网络警局域网管理。因为Anyview网络警需要买一台服务器。部署在交换机和路由器之间。如果只需要外网监控。那末就需要选择了。Anyview网络警这时不需要部署客户端。但需要买一台服务器。部署在交换机和路由器之间。而信安上网行为管理系统和Phantom则可以任选一台电脑做服务器；缺点是要安装客户端。

1） 免费开放的国外代码。因此安全性欠缺；原理上是采用旁听模式。所以无法阻断UDP应用。无法流量限制。并容易数据丢包；阻断规则有可能引起网络中断或无效；2） 原理上决定不适合超过100个电脑的网络环境。如采用老式共享式HUB速度限制在10M带宽损失严重；如采用交换机镜像是共享100M方式。由于一些交换机本身的缺陷。采用镜像后会导致交换机阻塞现象的可能。因此网络带宽会大约损失40%；3） 由于是免费接口只提供总线抓包功能。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-51863-2.html