WFilter的“SSL監控”模塊，可以對https以及SSL加密的smtp/imap/pop3的內容進行解密從而記錄其內容。該SSL監控模塊，既可以對電腦進行管控，而且對手機一樣生效。但是要不影響客戶機的正常使用，首先需要在客戶機上安裝ca證書。電腦上安裝ca證書比較簡單，我們不再贅述。本文中，我將介紹如何在蘋果手機（iphone）上安裝SSL監控的ca證書，從而實現對iphone的SSL監控。

1. 開啟SSL監控

說到https，不得不提http（HyperText Transfer Protocol）這個互聯網上用的最廣泛的網絡協議，其技術架構，協議功能，協議原理百度或者google都有詳細解釋。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在這個S上，SSL加密，通常理解，https就是http加入SSL加密層變成以安全為目標的http傳輸。那么SSL是個啥呢，SSL是一個目前應用非常廣泛的一種非對稱加密方式，也是公認破解不了的。安全，又好用，所以才能廣泛應用，除了http,郵件的pop3,smtp，IM通訊等等，都能用上，是個很好的加密方式。起初用https通常都是金融類網站用到財務交易，時光如水，歲月如歌，IT技術一日百里的飛速發展，現在很多門戶網站，企業網站也都逐漸使用https協議，這個也是事實的趨勢。概念就是這個概念了，那么https如何監控管理呢？以下說明是獻給非專業IT技術人員，非專業碼農的。為了大家都能明白，可能有些敘述比較幼稚和粗淺，請多多理解。

WFilter上網行為管理軟件（WFilter ICF）是基于網絡監控技術的上網行為管理軟件，其原理和客戶端監控（內網監控）的技術原理有著很大的差異。

本文將分析這兩種方案的優缺點，以協助您做出正確的選擇。

一個有效的網址庫是上網行為管理產品進行網頁過濾的基本條件?，F在市場上的大部分上網行為管理產品，都自帶了網址庫功能，但是各家的實現方式差別挺大的。大部分廠商都著重于宣傳自己的“大”，動輒號稱幾千萬網址庫，殊不知相對于數以億計（2015年網站總數已經超過3億）的互聯網而言，千萬級的網址庫也只是覆蓋了一小部分而已。

WFilter系列上網行為管理產品，在”網址庫“方面，采用了如下三種技術：

1. 自帶基本百萬級網址庫；涵蓋alex排名前百萬的網站列表。

2. 本地自動分類技術；對于未知的網站類型，可以基于網站的內容，實時進行自動分類。

3. 云主機分類技術；對于未知的網址類型，可以發送到我們的網站分類云主機進行查詢，由主機進行分類后返回。

網址庫是網頁過濾的基礎。網頁分類就是根據網站的內容，將網站分為什么類型，比如門戶網站、購物類、信息類、技術類等等等。這樣的產品早在N年前，Websence，surfcontrol就有號稱千萬級的網址庫，甚至有些國內的行為管理硬件，動輒需要1T的內存空間，都是因為網址庫不夠精簡的原因。但是互聯網的網址就跟汪洋大海的海水一樣，數不過來。

實際使用過程中，尤其是工作局域網環境，只會訪問到網址庫中1%的網址，其余的99%網址庫幾乎不用。這樣大型網址庫的優點僅有一個就是“大型”而這樣的“大型”網址庫也會造成軟件性能滯后，軟件自身文件過大。

WFilter系統產品的網址庫收錄了常用的百萬級網址（實時更新），但是互聯網的工作內容又是千變萬化，如果網址庫的定義不夠，我們另外有動態網址分類，讓您根據自己的目標，要求去定義您對網站分類的理解或者新增您的網站分類。

除了自帶的60多種網頁分類外，您還可以在“WFilter上網行為管理軟件”中根據管理需要自定義網頁分類。具體步驟如下：

HTTPS就是HTTP over SSL（通過SSL加密的HTTP網頁瀏覽協議），而SSL采用了非對稱密鑰的加密方式，在目前的硬件條件下，不知道私鑰是不可能解密SSL的密文的。

對于HTTP的網頁瀏覽內容，“WFilter（超級嗅探狗）”和“WFilter上網行為管理系統（WFilter NGF）”無需額外配置，都可以直接記錄網址、網頁標題和瀏覽器類型。但是，對于https的訪問，默認情況下，只能記錄域名。如下圖：

域服務器使用越來越廣泛了，對于局域網設備機動使用的，用了域賬號，能準確管理到位。那么如何監控到客戶機登陸的域賬號呢？

本文將介紹如何用”WFilter（超級嗅探狗）“軟件來監控局域網客戶機登錄的域賬號。

1. 什么是根據MAC地址監控？

WFilter支持“根據IP地址監控”和“根據MAC地址監控”兩種方案（如果您有AD域，還可以根據域賬號進行監控）?！案鶕﨧AC地址監控”模式下，WFilter通過被監控設備的物理MAC地址來進行識別，即使客戶機修改了IP（或者自動獲取了一個新的IP），仍然可以準確識別。所以“MAC監控模式”在自動獲取IP地址，或者IP地址不固定的網絡中，有很大的優越性。

我們一般建議用戶采用如下的監控方式：

1. 已經是固定IP或者可以實現固定IP的情況下，優先采用“根據IP監控”的模式。
2. 動態IP的局域網，單網段情況下，優先采用“根據MAC監控”模式。

2. 多網段根據MAC監控方案

多網段的情況下，由于三層交換機的存在，屏蔽了客戶機實際的MAC地址，從而無法直接實現“根據MAC地址”監控。

一個WFilter監控主機可以監控一個局域網的上網行為，當您有多個局域網需要管理的時候，需要在每個網絡都安裝一套WFilter才可以。

為管理多個WFilter服務器，我們推薦您在WFilter界面中直接切換到不同的服務器進行查看。請參考：[URL=http://www.cpgw.com.cn/blog/post/148.html]如何集中管理多個超級嗅探狗監控服務器？[/URL]

有些情況下，個別用戶可能需要把數據集中存放以便于管理。要實現這樣的功能，您必須安裝WFilter的數據庫版本。從而利用數據庫的管理功能來同步WFilter數據庫。

本例中，我們將演示如何用mysqldump來同步WFilter數據庫（mysql版本）

WFilter（超級嗅探狗）4.1版本中新增了“網頁推送”功能，可以在滿足指定條件時給客戶機來推送web頁面，它可以用于企業公告、內容推送、報表推送等功能的實現。 本例中，我們將演示如何使用WFilter進行網頁推送。

根據我們最新的壓力測試，WFilter（超級嗅探狗）4.1版本的性能得到了大幅提升，監控5000臺毫無壓力，相比4.0大幅提升啦。 測試環境是Server 2008 R2，dlink千兆交換機。測試機的內存只有2G、CPU是Intel Celeron E3200@2.4GHZ。由于測試的硬件配置比較低，帶機量還存在大幅的上升空間。 [IMG]upload/wfilter_performance_1.png[/IMG] [IMG]upload/wfilter_performance_2.png[/IMG]

雖然WFilter（超級嗅探狗）提供了一系列的統計報表，但是有時候您可能需要對數據進行一些處理。以“網頁明細統計”報表為例，該報表列出了日期、姓名、網站分類、網站、訪問次數的信息。如果您需要按日期求和，可以先把該報表導出為csv格式，然后在excel中利用“數據透視”功能進行二次統計。

終端服務給企業局域網的網絡管理帶來了很多好處，不少企業都在自己的局域網內架設了終端服務器來提供網絡服務。但是，因為客戶端都共享了終端服務器的網絡資源，所以傳統的基于IP或者MAC地址的上網行為管理無法對終端服務器上的不同用戶進行監控和管理。 最新發布的超級嗅探狗zh.4.0.200版本新增了代理服務器用戶驗證功能，使用WFilter（超級嗅探狗）的“帳號監控功能”和“代理服務器功能”相結合，可以監控到終端服務器上的不同用戶，且可以給每個用戶設置單獨的上網策略。 具體方案請參考：[URL=http://www.cpgw.com.cn/help/doc/WFilter_monitor_terminalserver.htm]如何監控終端服務器上不同用戶的上網行為?[/URL]

我們在使用超級嗅探狗網絡監控軟件對網絡進行監控管理的時候還要結合路由器或者防火墻封堵UDP端口。為什么旁路模式不能封堵UDP端口？

本例中演示了如何在dlink 7300路由器上面禁止UDP端口。

1. 首先登陸路由器，在“網絡安全- - >防火墻設置”里面對防火墻進行設置，具體設置如下圖所示：

現在很多軟件不僅僅通過TCP 方式進行通訊，還能夠通過UDP方式進行通訊。所以我們在使用超級嗅探狗網絡監控軟件對網絡進行管理的時候還要結合路由器或者防火墻封堵UDP端口。為什么旁路模式不能封堵UDP端口？

1. 首先登陸路由器，在“高級-->防火墻&DMZ”里面對防火墻進行設置，具體設置如下圖所示：