WFilter ICF新手指南
目录
1 安装抓包驱动
WFilter ICF采用npcap/winpcap的抓包驱动,在安装WFilter ICF之前,您需要先安装npcap或者winpcap。
* Win2003、win xp系统,请安装winpcap。https://www.winpcap.org/install/default.htm * Windows vista之后的系统,请安装npcap。https://nmap.org/npcap/
Npcap的安装步骤如下(需要选择winpcap兼容模式):
2 安装注意事项
2.1 硬盘空间估算
在选择安装路径时,应确保所选盘符有足够大的存储空间存放监控数据。WFilter自身的安装只需要20MB空余磁盘空间,不过监控的数据存放所需硬盘容量和监控的电脑台数、日志存储天数成正比,每台电脑每天大约占用2MB硬盘空间。
监控数据所需硬盘容量=监控的电脑台数(N) * 2MB * 日志存储天数。
2.2 数据库版本的安装
初次使用建议安装WFilter文件版本。如果您安装的是WFilter数据库版本,安装之前需要先安装好相应的数据库。WFilter数据库版本支持SQL Server和MYSQL两种数据库。详情请参考《WFilter数据库版本》。
3 初次运行WFilter
运行桌面上“WFilter”快捷方式,或者点击“开始”->“所有程序”->“IMFirewall WFilter”->“运行WFilter”。如果没有创建快捷方式,可以直接在浏览器地址栏中输入“http://127.0.0.1:10090”。
打开WFilter页面后,在用户名栏中输入"admin",在密码栏中输入安装时设定的密码,即可完成登录.
如果不能成功登录,一般是防火墙配置有问题或者安装没有成功。请按照提示的错误解决。
第一次运行时成功登录后,会弹出“配置向导”,请按配置向导设置相关的配置信息。然后在“所有在线”页面中应该能显示当前监控到的电脑.
WFilter安装所处的网络位置不正确或者配置不正确会造成不能正常监控。
如果您没有监控到任何电脑,说明您的监听网卡配置可能有问题,请参考监听设备配置。
如果您只能监控到自己的电脑,请参考如何部署WFilter。
4 配置WFilter
4.1 监听设备配置
登录WFilter后,如果“所有在线”中没有任何数据,则有两种可能性:
- 安装WFilter后,尚未有网络访问。您不妨访问一些网站,或者用聊天工具聊几句话,然后点击“所有在线”的刷新。
- “监听设备配置”或者“IP段配置”不正确。请点击“系统配置”中的“配置检测”功能检查相关配置是否正确。
4.2 如何指定监控电脑
在WFilter左边的菜单栏中,点击"监控电脑列表",把需要监控电脑的"是否监控"选项打勾。
注意:如果您启用监控的电脑台数(M)超过您的授权点数(N),系统只监控最先发现的N台电脑。
5 如何部署WFilter?
5.1 概述
- “WFilter”只需要安装在一台电脑上就可以监控整个局域网的上网行为,但是这台电脑必须处在一个可以看到其他电脑上网数据包的位置。
- 一般来说,有两种部署方案:
- 在交换机或者路由器上面配置一个“镜像端口”,把监控主机接到“镜像端口”来实现监控。
- 把监控主机配置成“网关”、“网桥”或者“代理服务器”,并使其他电脑通过该服务器来上网,从而实现监控。
- 请参见:WFilter部署用例。
- 不同的网络结构中WFilter的部署方案也不同,下面以一个典型的小型网络环境为例作一些初步介绍。
5.2 典型网络结构环境
- 如图5.1所示,局域网内的电脑通过交换机和有线路由器连接到Internet。
在这种情况下,需要在网络入口处增加一个镜像交换机。再将监控机(安装WFilter的电脑)连在镜像交换机上,就可以实现监控。
- 在我们的部署用例中列出了一些常见网络的部署案例,为更好的理解如何部署WFilter,请参考WFilter旁路模式部署方案。