1、使用 GFI WebMonitor for ISA 监控 Web流量GFI WebMonitor for ISA Server 是 GFI 公司推出的一款 ISA Server 的监视插件,你可以通过它来实时监控用户浏览的网站以及下载的文件,并且在WebMonitor 3.0 后集成了 GFI download security 中的对下载的内容进行反病毒扫描的功能,这样可以保证用户所浏览的网页及下载的文件的安全性。GFI WebMonitor for ISA Server 的主要特性有:实时监视 Web 流量(由于 WebMonitor 是作为 ISA 防火墙 Web 代理过滤器的一个插件来
2、运行,因此它只能监控到通过 ISA 防火墙 Web 代理过滤器的流量);允许管理员阻止用户浏览 Web 或者下载文件;对于用户下载的文件进行病毒扫描和间谍软件检查;实时连接、URL 历史、用户历史以及流量字节数查看;与 ISA 防火墙良好的兼容性,支持 ISA Server 2000/2004,包括标准版和企业版;基于 Web 的界面,允许从网络中任何位置的访问;安装配置简单。目前 GFI WebMonitor for ISA Server 的最新版本是 3.0.1.23,大家可以从 GFI 网站(需要注册后才能下载,并且在你注册后 GFI 会给你一个 60 天的使用授权)或者从 ISA 中文
3、站(30 天试用版本)下载。在试用期 30 天满后,如果你没有 60 天的试用授权以及没有购买正式 License,那么 WebMonitor 会作为免费版 本来运行。免费版本和授权版本之间的区别在于免费版本只具有监控功能,而不具有下载文件扫描等高级功能。WebMonitor 的 管理是基于 Web 界面的,它是绑定在某个虚拟 IP 地址上,当你通过安装有 WebMonitor 的 ISA 防火墙的 Web 代理访问此虚拟 IP 地址时,就会进入 WebMonitor 的管理界面。当然 WebMonitor 也允许你通过域名来进行访问,但是 WebMonitor 中只是指定了你可以访问其管理界
4、面的域 名,你还需要通过其他方式例如 DNS 解析来将此域名解析到 WebMonitor 中所绑定的虚拟IP 上。在默认情况下,WebMonitor 所绑定的域名是 monitor.isa,所绑定的虚拟 IP 是 1.1.1.1。你还需要配置你的 dns 解析或者修改 hosts 文件,将monitor.isa 这个域名解析 到 1.1.1.1,然后通过安装有 WebMonitor 的 ISA的 Web 代理服务来访问此域名,这样才能通过域名来访问 WebMonitor 的管理界面。注意:由于 WebMoniter 作为 ISA 防火墙 Web 代理过滤器的插件运行,当它绑定在某个 IP 上时
5、,会导致此 IP 上原有的 Web 服务失效,所以你指定的绑定WebMonitor 的 IP 应该没有提供 Web 服务。另外需要注意的一点是 WebMonitor 的访问授权。WebMonitor 中可以对允许访问其管理 Web 界面的 IP 地址/用户进行授权,只有经过授权 的 IP/用户才能访问。默认情况下,WebMonitor 只允许安装 WebMonitor 的本地主机访问它的管理 Web 界面。运行下载的安装程序进行安装,在欢迎使用 GFI WebMonitor for ISA Server 安装向导页,点击下一步;在检查最新的版本页,选择不检查新版本,然后点击下一步;在许可协议页
6、,选择我接受协议,然后点击下一步; 在 WebMonitor 配置-访问权限页,配置你允许访问 WebMonitor 的 IP 地址或者用户,在安装时,默认情况下只会允许本机访问 WebMonitor 的管理界面,你同样可以允许某个用户访问 WebMonitor 的管理界面,但是必须通过DOMAINUsername 的形式输入, 在不同的项之间用“;”间隔,在此我接受默认的值,只是删除了本机的外部 IP 地址,点击下一步继续;在用户信息页,输入你的信息及 License Key,点击下一步; 在服务登录信息页,输入运行 WebMonitor 服务的账号。WebMonitor 必须运行在具有管理
7、权限的账户之下,并且此账户必须具有作为服务登录的权限,输入账户和密码后点击下一步; 在邮件设置页,配置可以用于发送邮件的账户信息,你可以配置WebMonitor 在发生部分事件(例如防病毒组件更新失败)时发送邮件来通知你,如果你没有使用,可以全部清空,然后点击下一步;在目标目录页,选择 WebMonitor 程序安装的目标文件夹,然后点击下一步;在准备安装 GFI WebMonitor for ISA Server 页,点击下一步;在安装过程中,WebMonitor 会提示你为了更新 WebMonitor,启用了本地主机网络的 Web 代理;最后安装完成后,提示你需要重启 ISA 防火墙服务,
8、点击是,此时会自动重启 ISA 防火墙服务;重启完成后在已经成功安装 GFI WebMonitor for ISA Server 页,点击完成,此时,WebMonitor 就安装好了,你也可以在 ISA 防火墙管理控制台配置节点的插件中发现 WebMonitor。你可以通过修改 WebMonitor 安装目录下的 DownloadingPage.Html 来修改WebMonitor 管理 Web 界面所绑定的 IP 和域名,如下图所示,我把域名和 IP 分别进行了修改。修改后记得重启 ISA 防火墙服务,这样你的修改才会生效。在本机的浏览器中访问 WebMonitor 的 Web 管理地址,你
9、就可以进入WebMonitor 的管理界面了,如下图所示,WebMonitor 的界面 分为监控、配置和常规三部分。首先在监控部分中,你可以在活动连接节点中看到当前用户的Web 会话情况,你可以点击红叉按钮来断开客户的连接。而在 URL 历史节点中,你可以看到用户访问过的 URL 地址,以及此 URL 的点击次数、接受/发送的字节数以及每个 URL 所访问的真实文件类型等;点击 URL 就可以看到更为详细的信息,例如哪些用户访问过这个 URL。点击刷新按钮就可以进行刷新,点击复位数据按钮则清空当前的历史记录; 在用户历史节点,显示出了每个用户所访问的 URL 地址,点击用户则可以看到用户所访问
10、的 URL 地址的详细信息,点击刷新按钮就可以进行刷新,点击复位数据按钮则清空当前的历史记录; 在最近的 Web 访问节点中,你可以看到最近的用户的 Web 访问信息; 在配置部分中,首先你可以在访问权限页配置可以访问 WebMonitor 的 IP 和用户,在右边的添加新 IP 或用户文本框,输入新的 IP 地址或者用户名,然后点击添加,如果输入用户名,必须使用 DOMAINUsername 的格式;然后点击左边的应用按钮,这个修改是即时生效的。在常规选项节点中,在右边面板的数据保留选项中,你可以选择手动清空所有历史数据,或者选择每天午夜(0:00)自动清空历史数据,建议选择手动清空, 这样
11、只有你在查看上面的历史数据时点击了复位数据按钮才会清空你的历史数据。下面的警告选项中你可以修改你的邮件服务器设置。在站点分级节点,你可以配置是否允许站点分级。如果你启用站点分级,当客户访问某个 URL 地址时,WebMonitor 通过访问 YAHOO SafeSearch 站点来确定用户访问的 URL 是否为成人站点,如果是则将此 URL 地址添加到WebMonitor 在 ISA 防火墙中创建的一个 URL 集 Audlt 中,然后你可以通过在ISA 防火墙中创建访问规则来拒绝客户到此 URL 集的访问。注意:这个功能太耗费系统性能,而且会导致客户访问 Web 时非常的缓慢,建议如非特别需
12、要,不要开启。在 Web 流量扫描节点,你可以启用 Web 流量扫描。在 WebMonitor 中集成了两种插件:一种是用于病毒扫描的罗马尼亚著名反病毒软件 BitDefender,还有一种是用于反间谍软件的 KASPersky 反病毒软件,你至少需要选择一种插件用于 Web 流量的扫描。在右边面板下部的文件类型处理选项部分,点击左部 WebMonitor 预定义的的文件类型后,你可以在右部动作列表选择对于此文件类型进行的处理方式,修改好后点击应用即可。WebMonitor 的处理方式有以下四种:允许,不进行任何检查;当用户访问此类型的文件时,不进行任何检查,允许客户访问。病毒扫描,但是对于用
13、户隐藏扫描过程;当用户访问此类型的文件时,进行反病毒检查,但是对用户隐藏检查过程。病毒扫描,但是对于用户显示扫描过程;当用户访问此类型的文件时,进行反病毒检查,但是对用户显示检查过程。阻止;直接阻止用户的访问,不进行任何检查。下图是一个对可执行文件进行病毒扫描并显示病毒扫描过程的例子,在浏览器窗口中显示出了文件下载的速率,并且下载完成后进行了扫描。而下图是一个阻止可执行文件类型的例子, 你可以在此页面的下部自行添加文件类型,然后选择对应的动作,再点击下部的应用按钮。你也可以在下面对用户/IP 地址设置排除,对于这些用户/IP 则不会受到Web 流量扫描定义的限制;你也可以对某些网站进行排除,对从这些网站所下载的文件,则不会进行反病毒扫描。下面的 BitDefender 和 Kaspersky 节点是配置反病毒插件的更新时间,默认即可。最后的常规部分主要是关于 WebMonitor 的版本信息、授权及 GFI 相关产品的信息。在使用过程中,感觉 WebMonitor 监控 Web 流量和扫描下载文件的功能非常有效,而且对于性能的影响不大,推荐大家使用。可惜 WebMonitor 只能监控通过 Web 代理过滤器的流量,这点是一个不足。
