1. 局域網限速手段

局域網限速一直是網絡管理的一大難題，可以說并不存在一種完美的解決方案。一般來說，局域網限速存在三種手段： 1.1 用網關或者網橋模式，給每臺電腦分配固定的帶寬。這種方式比較穩定，缺點是需要增加硬件投入，且每臺電腦只能使用固定的帶寬，從而造成了帶寬資源的浪費。 1.2 現在有些網管軟件采用了ARP欺騙的模式，可以欺騙其他電腦把監控機器作為網關，從而實現網關模式的限速。但是這樣的做法并不能控制安裝了ARP防火墻的電腦，并且造成局域網廣播風暴，給局域網帶來了不穩定的因素。因此要慎用。 1.3 其實在旁路模式下也同樣可以對局域網帶寬進行管理。旁路模式的原理，是利用交換機的端口鏡像功能，對鏡像口的數據包進行分析，然后發送攔截包斷開流量占用大的連接。 下面我們演示一下如何用超級嗅探狗來進行局域網限速：

2. 如何用超級嗅探狗實現局域網限速？

超級嗅探狗只需要在一臺電腦上面安裝就可以管理整個局域網。下面是具體的步驟演示：

局域網流量控制和管理一直是網絡管理的一個難題。 一般來說，對局域網流量的監控限制有兩個解決方案：

1. 串聯方式的流量分配。

Linux操作系統中的流量控制器（Traffic Control）可以通過在輸出端口處建立一個隊列來實現流量控制。通過使用一臺linux的網關，即可設置每臺機器的流量。市場上也有相應的產品（一般是硬件產品）可以做到流量分配。 這個方案的關鍵是必須要使用網關或者網橋的連接方式，所以對網速會有一定的影響。 另外，固定的流量分配使用起來比較呆板，不能使互聯網帶寬得到有效利用。比如：在上網帶寬很空閑的情況下，客戶機仍然只能使用分配到的流量，從而造成了帶寬資源的浪費。 優點在于可以精確的分配流量。

2. 旁路方式的流量限制。

如果不需要精確的分配流量，那么通過旁路方式的監控也可以做到流量的監控。旁路監控方式是通過交換機的端口鏡像功能，對數據進行分析還原。同樣也可以監控到每臺機器的上網流量，并且可以禁止P2P軟件使用。旁路方式的優點是部署方便，不會影響網速。缺點是不能做到精確的分配流量。 以超級嗅探狗為例，對流量控制方面可以做到如下功能： 1. 實時流量監視，監視每臺電腦的實時流量。 2. 禁止帶寬耗用比較多的協議，如：P2P、在線視頻、下載等。 3. 在流量高峰時禁止某些電腦上網。如：當實時上網帶寬到達了總帶寬的80％時，禁止某些電腦上網。

利用超級嗅探狗監控軟件進行流量管理？

超級嗅探狗只需要在一臺電腦上面安裝就可以管理整個局域網。下面是具體的步驟演示：

超級嗅探狗3.3版即將發布，新版本增加了流量管理、帶寬管理、Url關鍵詞過濾、網站訪問限時等功能，使網絡管理更加方便。 1. 流量管理功能，可以限制每臺電腦一定時間內的流量大小。超過流量時可以禁止某些類型的網絡訪問。 2. 帶寬管理功能，可以在局域網上網帶寬占用過高時，禁止某些電腦上網。 3. Url關鍵詞過濾，對網址中出現的關鍵詞進行過濾，從而可以禁止用戶搜索違禁關鍵詞。支持近50個分類的關鍵詞。 4. 網站限制訪問，對指定分類的網站限制訪問時間，比如：新聞類網站每天只允許1小時。 還有其他很多新增功能哦，趕快試試吧：[URL=http://m.zhenduzhifa.com/download_trial.htm]免費下載[/URL]

  隨著網絡應用的普及和互聯網內容的爆炸性增長，對局域網內用戶的上網行為加以管理已經是一個很現實的問題。  目前影響企業網絡環境和員工工作效率的網絡應用主要分為3大部分。    1. 網頁瀏覽    截止06年底，全球網站數量已經過億，各類娛樂、色情、游戲、宗教等網站不可計數。而據統計，員工上網一半的時間都是用來瀏覽網頁。所以，上網行為管理的第一條是要可以對不同的網頁分類訪問進行管理，網頁分類越細，管理程度也就越細。從管理需要來說，網頁分類至少要在20類以上，分別要涵蓋：娛樂、色情、技術、學習、游戲、下載、黑客、新聞、搜索引擎等等。具體可以參見[URL=http://m.zhenduzhifa.com/wfilter_webcatalog.htm]超級嗅探狗網頁分類[/URL]。    2. 上網聊天    上網聊天基本耗去了員工上網的另外一半時間。所以對聊天軟件的管理是上網管理的第二重點。聊天軟件的管理主要有兩點： 1. 封堵 2. 過濾。 對不需要用的聊天軟件一律禁止使用。對需要使用的聊天軟件限制使用，或者只允許某些有權限的員工使用。

P2P、在線視頻等軟件很容易就可以占用掉局域網大部分上網帶寬，流量限制和流量管理已經成為每一個網管人員都要面臨的問題。

首先，我們先了解一下占用流量最多的幾類應用：

1. P2P下載，如BT、電騾、迅雷等。 2. 在線視頻，如PPLive、PPStream等軟件，視頻軟件現在都采用了P2P技術，一臺電腦可以產生幾百個連接，從而耗掉全部帶寬資源。 3. 大文件的下載，如電影下載、視頻文件下載等等。

下面我們再演示一下如何用超級嗅探狗來限制流量。

超級嗅探狗只需要在一臺電腦上面安裝就可以管理整個局域網。下面是具體的步驟演示。

現在很多公司用了AD域來進行管理，而傳統的監控軟件一般都是基于IP或者MAC來監控的。這樣如果有些員工的電腦不固定或者到用別人機器上網的話，就不能適用正確的監控策略。 超級嗅探狗支持和AD域結合，可以給每個賬號設置上網策略，從而實現了真正的基于賬號監控。

第一步：啟用帳戶監控

[IMG]upload/accountConf.jpg[/IMG] 如圖1.1所示，在“帳戶配置”頁面中，點擊“是”，選擇一帳戶類別，點擊“保存配置”。

PPLive等流媒體軟件采用了P2P技術進行通訊，會占用大量帶寬。 超級嗅探狗3.2版本中加強了對相關軟件的支持，可以分時段禁止常用的PPLIVE, QQ直播，PPStream等軟件。 一機安裝即可管理全網。 如下圖：

web信息的爆炸式增長，使我們可以很便捷的查詢到需要的資料，提高工作效率；但是也會使我們耗費大量的時間閱讀新聞、體育、娛樂、論壇等信息。 對訪問的網絡資源進行管理刻不容緩。 超級嗅探狗上網管理軟件的網頁過濾模塊給您提供了以下管理手段： 1. 網站黑名單：把一些不允許訪問的網站禁止掉。 2. 網站白名單：只允許訪問白名單里面的網站。 3. 網頁分類過濾： 提供7大分類，50小分類?？梢怨芾聿煌诸惖木W站，比如：在工作時間禁止掉娛樂類、下載類網站。 更多網頁過濾信息，請參見：http://m.zhenduzhifa.com

股市變幻牽動人心，但是工作時間炒股大大影響了工作效率，并且可能會造成無心工作，引起不需要的損失。 利用超級嗅探狗可以按時段禁止或者允許股票軟件的使用，使工作時間的網絡行為納入公司的管理范圍。并且在一臺電腦上面安裝即可管理全網。 對工作時間炒股的管理，主要通過兩種策略來實現： 1. 禁止工作時間使用行情、交易軟件。 2. 禁止工作時間訪問財經類站點。 如下圖：

P2P技術的迅猛發展使的對P2P流量進行管理不可或缺。但是，由于P2P通訊的復雜性，對P2P協議的準確識別一直是一大難題。 對P2P協議進行識別的傳統方法主要有： 1. 端口范圍，比如老的bt協議的6883-6889的端口范圍。 2. 特征匹配。通過數據包中的一些特征進行識別。 近兩年來，為了避開網絡監控，越來越多的P2P軟件，典型的有bt，emule，都采用了加密協議和模糊特征。而且大部分P2P軟件在默認端口被禁止的情況下，都能自動轉換端口，并且支持通過80端口來進行通訊。所以傳統的識別技術面臨很大挑戰。 下一代的P2P識別技術，必然要綜合更多的因素進行考慮，才能準確識別P2P協議。

 互聯網已經是企業辦公必不可或缺的工具。但是局域網內沒有控制的上網、聊天、游戲等上網行為，卻嚴重影響了工作效率；并且帶來病毒、木馬等危害企業局域網網絡安全的惡意應用程序；更嚴重的話，有可能會給企業帶來法律糾紛。 那么，如何對企業局域網上網行為進行控制呢？

局域網上網控制的三個方面

一般來說，要從以下三方面入手：

1. 建立企業上網制度建立企業局域網上網秩序。

  隨著越來越多的軟件采用了P2P技術進行通訊，一兩臺電腦使用的P2P軟件就可以搶占掉一個局域網的全部帶寬資源。而且目前P2P的使用非常廣泛：下載、在線視頻、網絡電視...，可以說隨處都可以看到P2P的影子。   所以，為了保證企業網絡的正常穩定運行，必須對流量進行監控和限制。   一般來說，對局域網流量的監控限制有兩個解決方案：   1. 對每臺機器分配流量。   Linux操作系統中的流量控制器（Traffic Control）可以通過在輸出端口處建立一個隊列來實現流量控制。通過使用一臺linux的網關，即可設置每臺機器的流量。市場上也有相應的產品（一般是硬件產品）可以做到流量分配。這個方案的關鍵是必須要使用網關或者網橋的連接方式，所以對網速會有一定的影響。   2. 監控每臺機器的網絡流量，同時禁止P2P軟件的使用。   如果不需要精確的分配流量，那么通過旁路方式的監控也可以做到流量的監控。旁路監控方式是通過交換機的端口鏡像功能，對數據進行分析還原。同樣也可以監控到每臺機器的上網流量，并且可以禁止P2P軟件使用。旁路方式的優點是部署方便，不會影響網速。缺點是不能做到精確的分配流量。   這兩個方案的原理、實施方式和成本都有一定的區別。  

 對于大多數企業來說，互聯網已經是必不可缺的工具。但是沒有控制的上網、聊天、游戲等上網行為，卻嚴重影響了工作效率；并且帶來病毒、木馬等危害企業網絡安全的惡意應用程序；更嚴重的話，有可能會給企業帶來法律糾紛。  那么，如何對企業局域網上網行為進行限制呢？  一般來說，要從以下三方面入手：  1. 建立企業上網制度。     通過行政手段，建立相應的秩序。  2. 監控并且保留上網記錄。     采用一些監控軟件，對互聯網訪問行為進行監控記錄。使員工的網絡行為有據可查。  3. 用技術手段對網絡行為進行過濾和禁止。     利用相應工具，過濾掉不需要訪問的網站，并且禁止P2P、網絡電視、聊天軟件...等嚴重影響工作效率的互聯網應用程序。

   隨著網絡應用的普及和互聯網內容的爆炸性增長，企業對員工的上網行為加以管理已經是一個很現實的問題。 本文主要對上網行為管理的幾個主要方面加以闡述，希望能夠對企業上網管理有所幫助。    目前影響企業網絡環境和員工工作效率的網絡應用主要分為3大部分。    1. 網頁瀏覽    截止06年底，全球網站數量已經過億，各類娛樂、色情、游戲、宗教等網站不可計數。而據統計，員工上網一半的時間都是用來瀏覽網頁。所以，上網行為管理的第一條是要可以對不同的網頁分類訪問進行管理，網頁分類越細，管理程度也就越細。從管理需要來說，網頁分類至少要在20類以上，分別要涵蓋：娛樂、色情、技術、學習、游戲、下載、黑客、新聞、搜索引擎等等。具體可以參見[URL=http://m.zhenduzhifa.com/wfilter_webcatalog.htm]超級嗅探狗網頁分類[/URL]。    2. 上網聊天    上網聊天基本耗去了員工上網的另外一半時間。所以對聊天軟件的管理是上網管理的第二重點。聊天軟件的管理主要有兩點： 1. 封堵 2. 過濾。 對不需要用的聊天軟件一律禁止使用。對需要使用的聊天軟件限制使用，或者只允許某些有權限的員工使用。    3. P2P下載、網絡視頻和文件傳輸    P2P下載、網絡視頻、文件傳輸不但占用大量的資源，而且很容易帶來各種病毒從而破壞局域網穩定性。我建議P2P軟件、網絡視頻軟件一律封殺。禁止下載不明來源的軟件。    網絡管理方方面面的東西很多，對于企業上網管理來說，以上3方面就是上網行為管理的三劍客，缺一不可。    

如何禁止MSN文件傳輸？

MSN, QQ, Yahoo等聊天軟件支持的文件傳輸功能給我們帶來了很大的便利，不過也給企業的局域網管理、上網管理帶來了很大的挑戰。不受管理的文件傳輸往往會帶來病毒，木馬等惡意軟件，危害企業的局域網安全。  但是，各種聊天軟件都采用多種傳輸方式來繞開防火墻的封堵，從而使禁止聊天軟件的文件傳輸成為一項很艱難的任務。  以MSN為例，MSN文件傳輸目前已經發現4種傳輸方式，如下：  1. 如果兩個MSN中有一個可以直接連接到互聯網上，那么一般會采用直接連接來傳輸文件。這個方式的傳輸速度是最快的。而直接連接又存在如下3種方式，這3種方式的端口都是不固定的。  1.1) 直接TCP連接。  1.2) TLS加密的TCP連接。  1.3) 直接UDP通訊。  2. 如果兩個MSN無法直接連接，MSN服務器會充當“中轉站”來傳輸文件。這個情況下，MSN會使用當前聊天的TCP連接進行傳輸。

某公司上網管理規定

關于使用計算機和互聯網工具的規定 為有助于大家合理利用工作時間，高效率地完成各項工作目標，更好地營造積極向上的工作氛圍，在不影響大家正常收發工作郵件和有準備地上網查詢工作相關資料的情況下，特對工作時間內使用計算機和互聯網工具做如下規定： 1、為養成良好的工作習慣，公司對互聯網使用實行定時開放，特殊情況靈活處理的管理辦法。具體細則如下： 通用規定 時間 互聯網瀏覽 MSN QQ/個人事務 周一～周五    9:00 ～12:00 禁止登錄任何網站。 特殊情況下技術支持工作申請使用； 禁止使用。    12:00 ～13:00 工作相關部分網站 1、特殊情況下技術支持工作申請使用； 2、XX,XX有限度使用； 13:00 ～14:00 工作相關部分網站 （研發人員除外） 14:00 ～17:00 禁止登錄任何網站。 17:00 ～18:00 工作相關部分網站 其它時間 所有網站。 開放。

21端口：21端口主要用于FTP（File Transfer Protocol，文件傳輸協議）服務。 23端口：23端口主要用于Telnet（遠程登錄）服務，是Internet上普遍采用的登錄和仿真程序。 25端口：25端口為SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協議）服務器所開放，主要用于發送郵件，如今絕大多數郵件服務器都使用該協議。 53端口：53端口為DNS（Domain Name Server，域名服務器）服務器所開放，主要用于域名解析，DNS服務在NT系統中使用的最為廣泛。 67、68端口：67、68端口分別是為Bootp服務的Bootstrap Protocol Server（引導程序協議服務端）和Bootstrap Protocol Client（引導程序協議客戶端）開放的端口。 69端口是為TFTP（Trival File Tranfer Protocol，次要文件傳輸協議）服務開放的，TFTP是Cisco公司開發的一個簡單文件傳輸協議，類似于FTP。不過與FTP相比，TFTP不具有復雜的交互存取接口和認證控制，該服務適用于不需要復雜交換環境的客戶端和服務器之間進行數據傳輸。 79端口：79端口是為Finger服務開放的，主要用于查詢遠程主機在線用戶、操作系統類型以及是否緩沖區溢出等用戶的詳細信息。 80端口：80端口是為HTTP（HyperText Transport Protocol，超文本傳輸協議）開放的，這是上網沖浪使用最多的協議，主要用于在WWW（World Wide Web，萬維網）服務上傳輸信息的協議。

對于管理者來說，如何提高工作效率，優化管理模式，是一門藝術．針對某一個具體方面卻只需要小小的技巧而已．比如：如何禁止公網郵箱．不可否認郵箱的種種優點，而在具體工作中我們需要的卻只是一絲不茍的工作狀態．

我們不但可以進行信息的檢索，在相應的網站上找到我們需要的信息，我們還可以網上購物，網上找工作等等．只要有相應的網站，我們就可以找到我們想要的任何信息．如果在工作時段因非工作目的做這些呢？那結果就是另外一回事了．相反的，只會影響工作效率的提高，可是有些企業出于工作需要考慮又不得不開放網絡，這之間便成了一個魚與熊掌的矛盾，給管理帶來了很大的不便．

在監控過程中，為了記錄用戶的上網行為，超級嗅探狗會自動將這些行為記錄在臨時文件中。如果用戶訪問了有病毒的網站，或者傳送了攜帶病毒的文件，超級嗅探狗可能將這些病毒信息寫入到臨時文件夾中，從而有可能引起殺毒軟件的告警。超級嗅探狗雖然記錄了這些病毒信息，可是不會觸發病毒，而且這些臨時文件都會被定期刪除，不會感染電腦。

信息的共享，搜索引擎的發展使得員工通過互聯網可以方便的獲取信息，同時也給管理者的管理帶來了不方便。在日常工作中，員工經常需要使用郵件，聊天工具來交流。如果員工在上班時間，收看網絡視頻，聽音樂，聊私人QQ，不僅會降低工作效率，占用公司網絡帶寬。現在很多的在線電影攜帶木馬、病毒，給公司網絡帶來潛在的安全問題。如何監督和管理員工的網絡行為，限制員工上網，封堵網絡電視，封堵股票軟件，封堵QQ。

隨著網絡技術的發展，人們之間的信息交流變得越來越迅速和便捷。對于80后的一代，網絡 在生活中所占的地位更加非同一般?！癊-mail”和“QQ”也早已不是什么新鮮的詞匯。而網 絡郵箱以及很多聊天軟件的開發商也在不斷的增強其軟件的功能，使得用戶可以更加方便和 有效的傳輸信息。其中文件傳輸已經是作為一項很基本的功能實現。人們可以以附件的方式 將文件通過郵箱傳輸給對方，或者直接通過聊天工具傳輸文件。

   網絡化的辦公環境給我們的工作帶來很大的方便，我們可以通過搜索引擎獲得需要的信息，可以通過郵件，聊天工具和客戶交流。雖然給員工帶來了方便，可是卻給管理者帶來了管理上的不便。在工作時間使用聊天工具聊天，不但降低了工作效率，而且有可能被某些員工作為泄漏商業秘密的工具。聊天工具QQ，在中國擁有相當多的使用者，很多公司的銷售人員都是通過QQ和客戶、廠家聯系，通過QQ給客戶遠程協助。假如公司的某一銷售人員辭職，而他一直用他的私人QQ和客戶聯系，那么該員工等于帶走了公司的客戶，這對公司來說，丟失客戶是很大的損失。      

互聯網網絡聊天、電子郵件等網絡行為的興起，給企業內部的網絡管理帶來很大的挑戰。 不加管理的聊天、郵件等行為一方面會影響工作效率，另外一方面也會帶來企業機密泄漏等隱患，而且加大了感染病毒的風險。 所以，對企事業單位來說，有必要對聊天、郵件等行為進行管理，制定一套合理的互聯網訪問策略制度，并且在必要時記錄聊天郵件等內容。

那么怎樣來對企業局域網進行監控呢？

從技術角度來說，一般有兩種方案。 一種是在每臺機器上安裝客戶端軟件，然后通過一個集中的服務器進行管理。還有一種方案是通過交換機的網管功能，在一臺電腦上安裝網管軟件進行監控。 在每臺電腦上安裝客戶端軟件可以對客戶機進行全面的監視和控制，一般可以做到截取屏幕、禁止運行各類軟件等等。 缺點在于安裝麻煩，必須每臺機器逐一安裝，而且重裝機器等也需要重新安裝軟件。最致命的問題在于一旦客戶機安裝了防火墻等軟件，會嚴重影響監控客戶端的運行。 第二種方案的優勢在于部署方便，一機安裝即可監控全網。缺點在于不能截屏、也不能監控加密的內容。只能監控常見的網絡通訊：比如網頁瀏覽、郵件收發、MSN聊天等。 應該說，兩者各有側重?？蛻舳丝梢垣@得對客戶機的全面控制，但是全網的管理的成本比較高，尤其不適合比較大的網絡。 而網絡監控更加側重管理功能，不能截取屏幕，但是部署成本低，網絡管理的優勢比較明顯。

昨天深夜偶見一貼，名為“監視員工的聊天記錄——我們是在犯罪么？？！！”很多人回復，大多數還是覺得這個是侵犯隱私的。后來又在google搜索相關監控，上網，隱私等話題，很多的數據，無數的實例。相關法律依據我們暫且不表，因為那個都是明文寫的一清二楚。新中國都成立五十周年了，法律健全不健全不是你，我，他可以說清楚的。什么CCTV的案例我們也不說，什么一方說到被監控的是在裸奔，另一方說監控的是在侵犯隱私我們也不爭論。    我們單從企業監控的目的，方式以及位置來說。首先：企業的監控目的。企業實現監控，本意并不在要看你聊天內容，郵件內容，上網內容，無非就是一個意思，上班時間好好上班?？偣采习鄷r間就八小時，根據一些官方數據，員工八小時上班，其中最少有兩個小時花在和上班無關的上網活動中。這點對企業的損失又將如何處理。中國的人力工資已經夠低了，是選擇減少兩個小時的工資還是讓企業有一個完善的工具來告示員工：“嘿，現在是上班時間，該干活了”這些我們都不涉及那些通過郵件，聊天文件等將公司資料，資源帶走的行為。那個就是違法了。退一萬步講，你在公司的公共場合用公共電腦和公共網絡把你的隱私在網絡上傳播給別人。想不說裸奔都難，所以請穿好您的衣服，眼睛很好奇的。用法律術語就是：您已經放棄了您的隱私權了，何來偷窺？何來侵犯？