网络监控系统的布置

　　网络监控可以运用在网络维护的多个方面，一方面它是网络管理员手中的一个利器，另一方面它也是司法部门可以借助的一个实用工具。

　　7.4.1 网络监控系统的布置

　　网络监控系统的使用时的布置根据网络监控的目标范围而定，网络监控在网络拓扑中的布置图如图7-5所示，对于具体服务器进行监控的时候需要将网络监控系统尽量地布置在该服务器的近处，这样网络监控系统所见的网络通信中大部分都是和该服务器相关的通信，这样就减少了网络监控系统进行数据过滤的负担。对于内网或者DMZ区这样的逻辑子网进行监控的时候，尽量将网络监控系统放置在盖逻辑子网的边界区，这样该网络监控系统就可以获取这个子网内所有的网络通信数据。例如，如果在公司内部具有多个部门，每个部门又具有自己的子网段，由于财务信息对于公司而言十分关键，因此就将网络监控的布置在财务子网中，使该系统仅面对财务网络内部的数据信息，提高了该系统的应用性能。如果公司全部的网络信息都需要保护，就可以将网络监控系统布置在公司网络和外部网络(例如和Internet相连接的部分)的接口，获取公司与外部交流的全部的网络数据，达到监控公司内部和外部进行通信的目的。如果公司需要保证部门之间的信息安全性，即不希望在公司内部的网络之间，部门之间除了必要的业务信息交流外不进行其他的信息交流，就可以在部门子网之间布置网络监控系统，实现对于内部信息的全程监控。

　　随着网络技术的迅速发展，网络的拓扑结构也越来越复杂，网络管理人员也越来越希望具有一个自动的监视控制系统来反映整个网络的运行状况，在这种情况下，因为单机的处理能力有限，以及网络监控实际实施时的复杂性，人们在面对复杂的网络状况的情况下，采用分布式的方式来实施对于较大或复杂的网络的监控。其具体实现如图7-5所示。

　　图7-5 分布式网络监控布置图

　　如图所示，在网络的各个子段都布置的网络监控系统的引擎，这些引擎的作用就是将数获取并分析处理自己子网中的通信数据，在将处理后确认为有意义的数据，通过通用或专用线路传送到管理中心，管理中心进行集中的处理后再将其确认数据存放在存储中心，以便日后查询。在这种分布式的系统中，管理中心负责配置管理各子网中的网络监控引擎，各子网中的网络监控引擎根据管理中心所配置的监控策略对于所管辖子网中的数据进行过滤，整合分析，然后传输。在这样的分布式系统中不仅仅要注意网络引擎和管理中心的功能分配合理，而且必须考虑时钟的同步问题，只有保证各处网络监控引擎同管理中心的时钟同步，获取的数据才具有意义。

　　在网络监控系统的使用中，需要针对网络监控系统实施的不同目的在使用中进行不同的管理限制，如果网络监控系统仅仅是对于网络的流量，网络的运行状况进行监控，则其使用人员可以是网络系统管理员。如果网络监控系统的使用是为了防止局域网络内部用户对于非法信息资源的访问，防止滥用内部的服务器资源，防止保密信息的泄漏等，则该应用就关系到了网络传输中的具体信息部分，这样的系统在使用之中难免就会使它的管理使用人员具有窥探他人隐私的机会，因此这样的监控系统的使用必须要有严格的管理制度，在系统的使用权限上进行认真的限定。考虑到监控的内容可以作为事后审查的依据，在网络监控系统的实施中必须考虑监控记录信息的不可更改性。