DICPP功能解析白皮书.docVIP

内外网络监控功能DICPP说明文档 ( 红色编号表示两个模块都拥有的公共功能；蓝色编号只外网监控包含；绿色编号只内网监控包含) 编号 功能大类 功能子类描述 演示说明 外网监控/内网监控 1 引擎驱动 网络监控软件目前市场上不少，但其实90%同类软件由于没有足够开发能力无法独立开发引擎驱动，这些低端软件都是采用国外免费的WINPCAP或WINPCAP修改版作为驱动程序，只是开发上层一些界面应用而已因此大同小异，他们共同的特点是必须要采用老式的10共享式HUB或把交换机又变为HUB的镜像；这是由WINPCAP根本原理性缺陷决定的；所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏；WINPCAP驱动是工作在协议高层所以必须接受火墙的管理,因此首先效率很低、性能提高也就成了奢望；网络监控最核心关键部分就是引擎驱动部分，所有的应用、功能、性能、安装方式等等都取决于此； 1、WINPCAP的主要缺陷如下： 免费开放的国外代码，因此安全性欠缺；原理上是采用旁听模式，所以无法阻断UDP应用，无法流量限制，并容易数据丢包等；阻断规则有可能引起网络中断或无效； 原理上决定不适合超过100个电脑的网络环境，如采用老式共享式HUB速度限制在10M带宽损失严重；如采用交换机镜像是共享100M方式，由于一些交换机本身的缺陷，采用镜像后会导致交换机阻塞现象的可能，因此网络带宽会大约损失40%； 由于免费接口只提供总线抓包功能，所以不支持集群环境也不支持任何内网监控功能； 由于是高层协议借口同时未提供适合监控的加密压缩数据库；所以不支持即时大规模数据存储，不适合大用户网络；不包含千M、无线网；如需支持多VLAN或VPN应采用镜像技术，需额外投资支持双向镜像技术的交换机并正确设置和维护； 由于提供的接口都是通用的有限代码，缺乏良好的可控性，所以很多功能无法实现； 2、本引擎驱动接口优势： 完全自主开发的包含上网监控和内网监控所有功能结构体系的引擎驱动；驱动工作在ISO第2层下NDIS底层，C++代码编译后嵌入到WINDOWS核心驱动； 由于自主开发并工作在超底层(在协议层之下)，所以不接受火墙管理，提供更高的效率、性能、更多的功能支持；如和其他同类软件安装到一个电脑,其他软件将无法数据（因为在更低层先捕获）； 采用定制压缩数据库，确保存储海量数据和RAID存储、即时数据、并加密确保数据安全；并支持分布式集群环境； 克服了WINPCAP或WINPCAP修改版驱动的所有缺点，支持UDP阻断、流量控制、支持集群环境、支持超过一万台的超级网络环境；支持无线、VPN、多VLAN、多网段、千M网络、多出口环境等；不需要HUB和镜像交换机等额外硬件； 2 实时日志 提供实时的所有可监视日志，记录被监视电脑的分组、IP地址、时间、事件的类型、操作的对象目标、以及对该时间的描述或监视到的内容； 3 操作员授权 本端采用的是C/S模式；有更强大的控制台功能；能够提供丰富的图形控件和更丰富的信息，并只要网络环境和速度允许可提供远程连接管理功能；通过简单的输入引擎IP地址、用户名和密码方式即可提供无限数量的控制台连接到同一个引擎进行管理和查看；可授权不同权限和操作对象和不同密码的控制台连接引擎；比如老板可看并可设置全部，而生产部只可看生产部的电脑而又不能修改权利等等； 4 操作员审计 如安装了对应协议将自动以电脑的NETBIOS名字显示，如因刚安装起来而非注册的测试用户，可通过该功能重新扫描NETBIOS名字或自己重新命名昵称； 15 排序和查找 当电脑比较多时，可点表头进行排序或使用查找功能进行对用户的查找； 16 网页监视过滤 白名单 模糊控制 17 黑名单 模糊控制 18 文件监视过滤 监视所有程序操作的文件 对程序操作过程的监视 19 监视下列程序操作的文件 默认提供4类，其他可全自定义 20 文件后缀过滤选项 监视所有文件 21 不监视如下后缀文件，可全自定义 40 受文件监控的磁盘选择 41 文件备份过滤 不备份文件 由于文件备份是默认自动的并占据有空间资源如不需要文件备份功能可设置此选项关闭文件自动备份 42 备份如下后缀文件 可全自定义并关联 43 需文件备份之应用程序关联设置 关联后使用对应关联之应用并采用指定格式文件将被自动备份到引擎服务器 44 时间规则定义 规则操作都可以进行对应时间关系，而时间规则是可以自行定义的，比如定义为上班时间、下班时间、周末等时间规则，对应时间定义表示该规则起效 外网监控/内网监控功能解析： 安装方式：安装引擎服务程序，然后设置工作模式；推荐网桥模式 45 工作模式 网关模式 控制能力最强、网络效率90%、设置较复杂