网关模式

　　原理是把本机作为其他电脑的网关，设置被监视电脑的默认网关指向本机，分别可以作为单网卡方式和双网卡甚至多网卡方式，原始的PROXY模式目前基本淘汰了一般不再有人采用，目前常用的是NAT存储转发的方式。简单说有点像个路由器工作的方式，因此控制力极强，但由于存储转发的方式，性能多少有点损失。不过效率已经比较好了;缺陷是假如网关死了，全网就瘫痪了。

　　网桥模式

　　原理是双网卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条网线，因此性能是最好的几乎没有损失，WINPCAP本身并不支持该模式，该模式可以说是最理想的了。

　　网络监控拓扑，即使桥坏了，只要简单做个跳线就可以了，因为桥是透明的可以看成网线，即使桥坏了就可以理解为网线坏了换一条而已。支持多VLAN、无线、千M万M、以及v*n、多出口等等几乎所有的网络情况，原因很简单，因为透明桥嘛等于理解为那是网线而已。

　　旁路模式

　　原理是使用ARP技术建立虚拟网关，只能适合于小型的网络，并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾。同时，如网内同时多个旁路将会导致混乱而中断网络。但只要条件该方式是最简单的部署以及最方便的安装设置。采用ARP欺骗方式会导致局域网瘫痪，一般不建议使用。

　　旁听模式

　　原理是旁路监听，是通过交换机的镜像功能来实现监控，该模式需要采用共享式HUB或交换机镜像。可是如采用老式的共享式HUB将影响网络出口性能，如采用镜像模式，一方面需要投资支持双向的镜像交换机设备，另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活，只要在交换机上面配置镜像端口即可，不需要改变现有的网络结构。而且旁路监控设备一旦停止工作，也不会影响网络的正常运行。缺点在于，旁听模式通过发送RST包只能断开TCP连接，不能控制UDP通讯，如果要禁止UDP方式通讯的软件，需要在路由器上面做相关设置进行配合。

网络监控软件旁路模式有3大优点：
1. 安装操作简单方便。旁路监控模式部署起来比较灵活方便，只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥，所以需要对现有网络结构进行变动。

2. 响应速度快。旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。而串联模式是串联在网络中的，那么所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。

3. 不影响正常上网。旁路监控软件一旦故障或者停止运行，不会影响现有网络的正常原因。而串联监控设备如果出现故障，会导致网络中断，导致网络单点故障。

旁路监控和串联监控的比较

在多网段环境下，由于路由器屏蔽了原始的MAC地址，导致WFilter不能直接监控到客户机的MAC地址信息。此问题可以通过安装“MAC地址收集器”来解决。“MAC地址收集器”可以把网段内的MAC地址信息发送给WFilter监控服务器，从而实现MAC地址的监控。

“MAC地址收集器”有两种工作模式：

1. SNMP模式（推荐） : 通过网管交换机或者路由器的SNMP功能来获取MAC地址信息。需要设备支持SNMP管理。
2. ARP模式 ：通过ARP协议获取本网段的MAC地址信息，不需要设备支持。

本文将演示在多网段环境下通过“MAC收集器”的“ARP模式”实现“根据MAC地址监控”。网络结构图如下：

图 1

如上图，WFilter通过交换机的镜像口来监控不同网段，为了监控到192.168.50.x网段的MAC地址，我们需要在192.168.50.x网段内安装“Mac收集器”（如果需要监控多个网段的MAC地址，需要在每个网段内都安装“Mac收集器”）。步骤如下：

1. 安装MAC收集器

如图在192.168.50.x网段内安装“Mac收集器”，在安装过程中，填写WFilter服务器IP，网卡选择相对应的网卡即可。

图 2

2. 检查WFilter监控效果

未安装MAC收集器时，WFilter不能监控到实际的MAC地址，下图为WFilter监控到的MAC地址和实际的MAC地址

图 3（监控到的MAC地址）



图 4（实际的MAC地址）

安装MAC收集器后，WFilter就可以监控到实际的MAC地址，如图所示：

图 5