WFilter ICF新手指南

来自WFilter(超级嗅探狗)文档和指南
WFilter讨论 | 贡献2019年7月31日 (三) 12:52的版本

跳转至: 导航搜索

1 安装抓包驱动

WFilter ICF采用npcap/winpcap的抓包驱动,在安装WFilter ICF之前,您需要先安装npcap或者winpcap。

* Win2003、win xp系统,请安装winpcap。https://www.winpcap.org/install/default.htm
* Windows vista之后的系统,请安装npcap。https://nmap.org/npcap/

Npcap的安装步骤如下(需要选择winpcap兼容模式):

Npcap01.png

Npcap02.png

2 安装注意事项

2.1 硬盘空间估算

在选择安装路径时,应确保所选盘符有足够大的存储空间存放监控数据。WFilter自身的安装只需要20MB空余磁盘空间,不过监控的数据存放所需硬盘容量和监控的电脑台数、日志存储天数成正比,每台电脑每天大约占用2MB硬盘空间。

监控数据所需硬盘容量=监控的电脑台数(N) * 2MB * 日志存储天数。

2.2 数据库版本的安装

初次使用建议安装WFilter文件版本。如果您安装的是WFilter数据库版本,安装之前需要先安装好相应的数据库。WFilter数据库版本支持SQL Server和MYSQL两种数据库。详情请参考《WFilter数据库版本》。

3 初次运行WFilter

运行桌面上“WFilter”快捷方式,或者点击“开始”->“所有程序”->“IMFirewall WFilter”->“运行WFilter”。如果没有创建快捷方式,可以直接在浏览器地址栏中输入“http://127.0.0.1:10090”。

打开WFilter页面后,在用户名栏中输入"admin",在密码栏中输入安装时设定的密码,即可完成登录.

Login.png

如果不能成功登录,一般是防火墙配置有问题或者安装没有成功。请按照提示的错误解决。

第一次运行时成功登录后,会弹出“配置向导”,请按配置向导设置相关的配置信息。然后在“所有在线”页面中应该能显示当前监控到的电脑.

Figure 3.2.jpg

WFilter安装所处的网络位置不正确或者配置不正确会造成不能正常监控。

如果您没有监控到任何电脑,说明您的监听网卡配置可能有问题,请参考监听设备配置。

如果您只能监控到自己的电脑,请参考如何部署WFilter。

4 配置WFilter

4.1 监听设备配置

登录WFilter后,如果“所有在线”中没有任何数据,则有两种可能性:

  • 安装WFilter后,尚未有网络访问。您不妨访问一些网站,或者用聊天工具聊几句话,然后点击“所有在线”的刷新。
  • “监听设备配置”或者“IP段配置”不正确。请点击“系统配置”中的“配置检测”功能检查相关配置是否正确。
    Figure 4.1.jpg

4.2 如何指定监控电脑

在WFilter左边的菜单栏中,点击"监控电脑列表",把需要监控电脑的"是否监控"选项打勾。

注意:如果您启用监控的电脑台数(M)超过您的授权点数(N),系统只监控最先发现的N台电脑。

Figure 4.2.jpg


5 如何部署WFilter?

5.1 概述

  • “WFilter”只需要安装在一台电脑上就可以监控整个局域网的上网行为,但是这台电脑必须处在一个可以看到其他电脑上网数据包的位置。
  • 一般来说,有两种部署方案:
  1. 在交换机或者路由器上面配置一个“镜像端口”,把监控主机接到“镜像端口”来实现监控。
  2. 把监控主机配置成“网关”、“网桥”或者“代理服务器”,并使其他电脑通过该服务器来上网,从而实现监控。
  • 请参见:WFilter部署用例。
  • 不同的网络结构中WFilter的部署方案也不同,下面以一个典型的小型网络环境为例作一些初步介绍。

5.2 典型网络结构环境

  • 如图5.1所示,局域网内的电脑通过交换机和有线路由器连接到Internet。

在这种情况下,需要在网络入口处增加一个镜像交换机。再将监控机(安装WFilter的电脑)连在镜像交换机上,就可以实现监控。
Figure 5.1.jpg

  • 在我们的部署用例中列出了一些常见网络的部署案例,为更好的理解如何部署WFilter,请参考WFilter旁路模式部署方案