这里说的网络监控,是局域网上网设备监控(泛指电脑,手机,PAD等)的上网行为和内容监控。一般都称网络管理,上网行为管理。这样的技术不算新技术,一二十年的历史总是有的。但是信息时代,IT技术,信息观念三年一小变,五年一大变,任何技术只有不停更新,才能跟得上时代的步伐,今天探讨网络监控技术和市面上各种产品。网络监控从技术角度,分两种:客户端监控和网络监控。
一、客户端监控
1. 客户端监控的起源
客户端监控技术起源于一个远古的技术。什么时候有的微软,差不多它什么时候就有了,在“古老”的IT时代,这个东西并不讨喜,因为那个时候它的名字叫“木马程序”。当年小比尔创建微软的时候,开放的接口比较强大。所以“木马程序”非常来事,植入到您系统,想干啥就干啥。从而也产生“防火墙”、“杀毒软件”等IT安全产业链。(真不知道当年小比尔是不是故意这样的,因为后面的LINUX系统,LINUX的孙子辈安卓系统,MAC系统,都没有这样的问题。)
随着IT安全的越来越成熟,而且普及越来越高。黑客程序也不像以前那么猖獗和容易了,这个就是客户端监控的起源。说白了,就是在被监控的电脑上安装一个程序包,那么想干啥就能干啥了:截屏、禁止USB、进程管理,统统都能做到。技术很成熟,程序也很开源。
2. 客户端监控的功能性和局限性
客户端的监控功能显然很强,程序都装到电脑上去了,那么一切尽在掌握中了,想看什么看什么,想干啥干啥。局限性也很明显:安装和存活率。首先被监控的设备一定要是 windows系统,别的系统包括安卓、LINUX、苹果系统,是没有路径可以安装上去的(仙去的老乔想的周全啊)。植入到windows系统里面后,是否能和防火墙杀毒软件共存也是一个考验(一旦系统重装还得重新植入)。
客户端监控产品有很多技术是开源的。各家凭借自己能力进行再改造也是一个技术活(产品的技术价值和商业价值是没有可比性)。因为技术局限性,那么客户端监控一般被用在家庭监控、学校、或者保密比较严格,电脑统一管理的单位。(当然安全性要求极高(国家安全级别哦)的系统一般是不会用微软系统的)全世界这样的产品很多,免费的,收费的,开源的都有。下面是一些常见的产品:
a. 老牌安全公司Bluecoat的K9,免费家庭版监控和过滤软件。Bluecoat是家老牌安全厂家,和梭子鱼一个时代的,后来被赛门铁克纳入门了。产品名称就叫K9。主要用来家庭监控,免费产品,用户很多。全名:k9webprotection (只有英文版)界面大概看了一下,主要是还是过滤非未成年人的领域。
b. Spytech的NetVizor, 功能蛮强大的。下载试用了一下,易安装,但是兼容性不咋的,防火墙开高了,就报警了,个人电脑可能不好安装。但是功能蛮贴心的,界面也友好,企业用如果没有语言问题,还不错。监控聊天、键盘、文件访问、邮件、软件安装等一系列操作,另外管理功能也可以。(价格也高,毕竟国外人力成本高)
c. 国外同类产品的还有sspro和上面提到的Spytech也是大同小异,可自行搜索咨询。国内客户端产品也比较多,免费的没找到,企业产品很多。第三只眼,IP-Guard, 天易成,网路岗等等。出彩功能是QQ聊天内容监控。功能差不多,主要就看产品设计和创意以及侧重点了,张家能做到的,李家也能做到。花开并蒂,各表一枝。
二、网络监控
1. 网络监控的起源是winpcap以及libpcap(这两个都是开源)。网络监控的核心是数据包分析和协议解析。理论上只能在局域网实施,通过netfilter加 iptables(串联)或者镜像(旁路),把数据包解析还原。这个技术也差不多有了二十个年头了,系统安全的要求越来越高,那么数据包的加密也越来越复杂,这样对于数据包解析技术要求也越来越高。所以对开源的winpcap以及libpcap依赖性不强,主要还是看一个协议解析的技术功底,好的协议分析工具能精确解析协议特征码,这算是一条技术专业性道路了。所以国内国外专业性产品不多,开源的,免费的(兴趣的)就更少了。(写这个要精通C就跟精通自己母语一样,掌握网络安全就跟会说自己家乡话一样)
2. 网络监控的功能性和局限性。
优点很明显:对被监控设备没有要求,不管啥系统都无所谓,手机,电脑,PAD一个都不会漏。因为不到被监控设备上,所有的功能实现都走的网络层面,局域网里面只要部署在一台机器,就可以实现全网控制。局限也很明显:不是监控了就什么都能看到的,只能在网络层面上获取数据,国内流行的QQ、微信、阿里包括SKYPE都别指望能看到聊天内容(数据包都层层加密的,理论上,实际上都解密不出来)。所以网络监控都走管理路线,一般企事业单位实用性比较高。
说白了,如果您对内容要求比较严格,走的信息安全这步,那么有条件装客户端比较适合,如果走的网络管理、带宽优化、人员工作管理疏通,那么网络监控肯定是最好选择。
3. 网络监控产品。
再介绍下行业内的专业产品。虽然华为,CISCO也有类似的产品,但都是在他们的路由以及防火墙的基础添加的,不算专业级产品。
a. Forcepoint的Websense产品(现在改名叫Forcepoint Web Security )。
Websense是windows上网络监控产品的先驱,最辉煌的时候也曾经到纳斯达克走了一圈,现在已经退市私有化了。但是瘦死的骆驼比马大,现在他们产品技术,更新还是很不错的。就是价格不美好,产品狂大(1个多G)可能因为是C/S架构而且里面有个比较大的网址库。洋货,国内应用性不强,很多功能实用性不高,导致产品比较累赘。国内普及性不广,国外评价四颗星。
b. Untangle。
这个是我喜欢的一个国外产品,高逼格、专业性强、功能牛,产品多样性,软件硬件都有。但是价格很高,销售也比较拽。顶不住人家货好。
基于LINUX系统的网络监控和下一代防火墙,从专业角度看,算是TOP级了。协议分析能力强,各种网络管理功能都能做到位,源码是开放的,但是没有专业团队分析个一年,是看不明白的。而且价格狂贵,因为价格,几乎没什么性价比了。
c. 笨驴信息的WFilter。
公司名称非常幽默,这个是我目前最喜欢的一个产品,最开始用的英文版,后来发现,竟然是国内产品,这个很骄傲。可以说是Untangle平价代替品,
虽然平价(猜测还是国外技术人员工资原因),但是就上网行为管理这块,性能和功能不逊色Untangle,也是十多年的老产品的,一直专注网络监控技术这块。
国内软件走国际路线且这么专注某一块技术的不多,猜测他们研发团队是C语言大拿。虽然是国内公司,研发头子的国籍不敢断定,这么长时间一直专注技术研发,不在市场和推销上下功夫的,不像国人作风。不过who knows?
WFilter让我喜欢的是上网行为管理和协议分析的专业,而且界面非常友好易用。Windows的旁路方案和linux的串联方案都有。就产品而言,功能也都是完全开放的,稳定和功能都很一流,最重要的价格比较亲民。(不过好企业不光产品技术一流,销售市场也要出彩才更好)
d. 深信服的上网行为管理AC和网康的上网行为管理系统。
因为都只提供硬件,所以没有实际用过,但是这么大公司,存在肯定有他的优势,网上评价褒贬不一,市场能力和销售能力很强。价格也不便宜,各自打听,各自鉴定,总归国内产品好联系。
上网行为管理这个概念在国内炒的比较杂。几百块的路由,带几个协议也号称有上网行为管理;防火墙或者路由上有一些限速的功能也号称上网行为管理。现在上网行为管理的新概念叫next generation firewall-NGF( 下一代防火墙)。和传统防火墙相比,主要是多了应用层过滤和主动防御的功能。
建议您选择产品的时候,不用理哪些云计算,大数据中心或者各种安全概念,只要很朴实的从自己的网络管理出发,把产品实实在在做个测试比较,总归能找到适合自己上网管理的一款。毕竟概念的未来的,当下还是看产品的实际应用。
