使用GFI WebMonitor for ISA监控Web流量.docx

使用GFI WebMonitor for ISA监控Web流量GFI WebMonitor for ISA Server是GFI公司推出的一款ISA Server的监视插件，你可以通过它来实时监控用户浏览的网站以及下载的文件，并且在WebMonitor 3.0后集成了GFI download security中的对下载的内容进行反病毒扫描的功能，这样可以保证用户所浏览的网页及下载的文件的安全性。GFI WebMonitor for ISA Server的主要特性有：实时监视Web流量（由于WebMonitor是作为ISA防火墙Web代理过滤器的一个插件来运行，因此它只能监控到通过ISA防火墙Web代理过滤器的流量）；允许管理员阻止用户浏览Web或者下载文件；对于用户下载的文件进行病毒扫描和间谍软件检查；实时连接、URL历史、用户历史以及流量字节数查看；与ISA防火墙良好的兼容性，支持ISA Server 2000/2004，包括标准版和企业版；基于Web的界面，允许从网络中任何位置的访问；安装配置简单。目前GFI WebMonitor for ISA Server的最新版本是3.0.1.23，大家可以从GFI网站（需要注册后才能下载，并且在你注册后GFI会给你一个60天的使用授权）或者从ISA 中文站（30天试用版本）下载。在试用期30天满后，如果你没有60天的试用授权以及没有购买正式License，那么WebMonitor会作为免费版 本来运行。免费版本和授权版本之间的区别在于免费版本只具有监控功能，而不具有下载文件扫描等高级功能。WebMonitor的 管理是基于Web界面的，它是绑定在某个虚拟IP地址上，当你通过安装有WebMonitor的ISA防火墙的Web代理访问此虚拟IP地址时，就会进入 WebMonitor的管理界面。当然WebMonitor也允许你通过域名来进行访问，但是WebMonitor中只是指定了你可以访问其管理界面的域 名，你还需要通过其他方式例如DNS解析来将此域名解析到WebMonitor中所绑定的虚拟IP上。在默认情况下，WebMonitor所绑定的域名是 monitor.isa，所绑定的虚拟IP是1.1.1.1。你还需要配置你的dns解析或者修改hosts文件，将monitor.isa这个域名解析 到1.1.1.1，然后通过安装有WebMonitor的ISA的Web代理服务来访问此域名，这样才能通过域名来访问WebMonitor的管理界面。注意：由于WebMoniter作为ISA防火墙Web代理过滤器的插件运行，当它绑定在某个IP上时，会导致此IP上原有的Web服务失效，所以你指定的绑定WebMonitor的IP应该没有提供Web服务。 另外需要注意的一点是WebMonitor的访问授权。WebMonitor中可以对允许访问其管理Web界面的IP地址/用户进行授权，只有经过授权 的IP/用户才能访问。默认情况下，WebMonitor只允许安装WebMonitor的本地主机访问它的管理Web界面。运行下载的安装程序进行安装，在欢迎使用GFI WebMonitor for ISA Server安装向导页，点击下一步；在检查最新的版本页，选择不检查新版本，然后点击下一步；在许可协议页，选择我接受协议，然后点击下一步；在WebMonitor配置-访问权限页，配置你允许访问WebMonitor的IP地址或者用户，在安装时，默认情况下只会允许本机访问 WebMonitor的管理界面，你同样可以允许某个用户访问WebMonitor的管理界面，但是必须通过DOMAINUsername的形式输入， 在不同的项之间用“;”间隔，在此我接受默认的值，只是删除了本机的外部IP地址，点击下一步继续；在用户信息页，输入你的信息及License Key，点击下一步； 在服务登录信息页，输入运行WebMonitor服务的账号。WebMonitor必须运行在具有管理权限的账户之下，并且此账户必须具有作为服务登录的权限，输入账户和密码后点击下一步； 在邮件设置页，配置可以用于发送邮件的账户信息，你可以配置WebMonitor在发生部分事件（例如防病毒组件更新失败）时发送邮件来通知你，如果你没有使用，可以全部清空，然后点击下一步；在目标目录页，选择WebMonitor程序安装的目标文件夹，然后点击下一步；在准备安装GFI WebMonitor for ISA Server页，点击下一步；在安装过程中，WebMonitor会提示你为了更新WebMonitor，启用了本地主机网络的Web代理；最后安装完成后，提示你需要重启ISA防火墙服务，点击是，此时会自动重启ISA防火墙服务；重启完成后在已经成功安装GFI WebMonitor for ISA Server页，点击完成，此时，WebMonitor就安装好了，你也可以在ISA防火墙管理控制台配置节点的插件中发现WebMonitor。你可以通过修改WebMonitor安装目录下的DownloadingPage.Html来修改WebMonitor管理Web界面所绑定的IP和域名，如下图所示，我把域名和IP分别进行了修改。修改后记得重启ISA防火墙服务，这样你的修改才会生效。 在本机的浏览器中访问WebMonitor的Web管理地址，你就可以进入WebMonitor的管理界面了，如下图所示，WebMonitor的界面 分为监控、配置和常规三部分。首先在监控部分中，你可以在活动连接节点中看到当前用户的Web会话情况，你可以点击红叉按钮来断开客户的连接。 而在URL历史节点中，你可以看到用户访问过的URL地址，以及此URL的点击次数、接受/发送的字节数以及每个URL所访问的真实文件类型等；点击 URL就可以看到更为详细的信息，例如哪些用户访问过这个URL。点击刷新按钮就可以进行刷新，点击复位数据按钮则清空当前的历史记录； 在用户历史节点，显示出了每个用户所访问的URL地址，点击用户则可以看到用户所访问的URL地址的详细信息，点击刷新按钮就可以进行刷新，点击复位数据按钮则清空当前的历史记录； 在最近的Web访问节点中，你可以看到最近的用户的Web访问信息； 在配置部分中，首先你可以在访问权限页配置可以访问WebMonitor的IP和用户，在右边的添加新IP或用户文本框，输入新的IP地址或者用户名，然后点击添加，如果输入用户名，必须使用DOMAINUsername的格式；然后点击左边的应用按钮，这个修改是即时生效的。 在常规选项节点中，在右边面板的数据保留选项中，你可以选择手动清空所有历史数据，或者选择每天午夜（0:00）自动清空历史数据，建议选择手动清空， 这样只有你在查看上面的历史数据时点击了复位数据按钮才会清空你的历史数据。下面的警告选项中你可以修改你的邮件服务器设置。 在站点分级节点，你可以配置是否允许站点分级。如果你启用站点分级，当客户访问某个URL地址时，WebMonitor通过访问YAHOO SafeSearch站点来确定用户访问的URL是否为成人站点，如果是则将此URL地址添加到WebMonitor在ISA防火墙中创建的一个URL集 Audlt中，然后你可以通过在ISA防火墙中创建访问规则来拒绝客户到此URL集的访问。 注意：这个功能太耗费系统性能，而且会导致客户访问Web时非常的缓慢，建议如非特别需要，不要开启。 在Web流量扫描节点，你可以启用Web流量扫描。在WebMonitor中集成了两种插件：一种是用于病毒扫描的罗马尼亚著名反病毒软件 BitDefender，还有一种是用于反间谍软件的KASPersky反病毒软件，你至少需要选择一种插件用于Web流量的扫描。在右边面板下部的文件类型处理选项部分，点击左部WebMonitor预定义的的文件类型后，你可以在右部动作列表选择对于此文件类型进行的处理方式，修改好后点击应用即可。WebMonitor的处理方式有以下四种：允许，不进行任何检查；当用户访问此类型的文件时，不进行任何检查，允许客户访问。病毒扫描，但是对于用户隐藏扫描过程；当用户访问此类型的文件时，进行反病毒检查，但是对用户隐藏检查过程。病毒扫描，但是对于用户显示扫描过程；当用户访问此类型的文件时，进行反病毒检查，但是对用户显示检查过程。阻止；直接阻止用户的访问，不进行任何检查。下图是一个对可执行文件进行病毒扫描并显示病毒扫描过程的例子，在浏览器窗口中显示出了文件下载的速率，并且下载完成后进行了扫描。而下图是一个阻止可执行文件类型的例子， 你可以在此页面的下部自行添加文件类型，然后选择对应的动作，再点击下部的应用按钮。你也可以在下面对用户/IP地址设置排除，对于这些用户/IP则不会受到Web流量扫描定义的限制；你也可以对某些网站进行排除，对从这些网站所下载的文件，则不会进