注意：如果系统只能监控本机，不能监控其它主机， 很可能是下面第（1）种 情况。实际上这时软件运行非常正常，请仔细阅读这部分内容。技术人员阅读安装方案前首先应该了解单位的互联网网关出口所在的位置和所连接的交换机，而不必了解网络底层的各交换机是如何连接的。 如有问题，请QQ联系：4108863 获得远程协助。

（一）怎样监控其它电脑上网？
 

  首先保证如果能监控本机上网，说明软件就一切正常！要监控其它电脑上网，以下任意监控方法即可。 试用测试的时候推荐监控方法一，真正购买实施后，推荐监控方法二。

（1）、90%的用户都是这种情况上网：通过“普通交换机－路由器（防火墙）”作为网关上网，且内部交换机均不具备设置镜像端口的功能。（100台 以下主机的网络很可能是这种情况，这是也考普安装通用监控方案，适合任何网络情况， 下面两种种方法都可以实现监控）

监控方法一：可以使用局域网任意一台主机做监控机，只需要点击主界面菜单的“辅助工具”-“交换机环境监控”这个辅助功能 ，按照界面提示操作，可以使监控机成为局域网内部一个潜在的网关，从而实现监控其它主机 。
    这个功能务必关闭所有防火墙，否则可能导致断网（瑞星等防火墙安全级别必须调整为中级，建议暂时关闭）。 这种方便优点是最简单，不需要调整任何硬件，监控非常隐蔽，适合监控20台主机以下的网络。 缺点也明显，就是被监控机如果是专业计算机人士绑定了网关MAC地址或者做了ARP防御 （如瑞星防火墙，奇虎360安全卫士等都可以防御），可能无法监控，如果有这种情况可以用下面监控方法二即可监控。

监控方法二：在内部顶层交换机和路由器之间串接一个能支持端口镜像的交换机或者HUB，再将 安装“考普软件”的机器网线也接入到新增的交换机镜像口或者HUB即可。目前HUB有可能影响网速， 强烈推荐两款带镜像功能的专用监控交换机：TP-LINK的TL-SF2005 或者 TL-SL2210千兆Web管理交换机。将“考普 监控机器”的网线接入的“镜像端口”即可。强烈推荐客户正式监控的时候使用这种方法。上。

（2）、通过“路由器、防火墙、或者非Windows代理”作为网关上网，且内部主交换机具备设置镜像端口的功能。此实际是上面和串接带镜像的交换机的方法一样。（100台主机以上的网络很可能是这种情况）
监控方法：在内部主交换机上设置端口镜像，将路由器（Internet出口）Port镜像到某一个空闲的Port上，然后将“考普监控”的网线 接入这个空闲的“镜像端口”即可。

（3）、网络通过网管型三层交换机划分了Vlan，且该交换机上有一个端口是Internet的出口。
监控方法：需在交换机上面做镜像端口（Mirror Port)，以将Internet出口Port 镜像到某一个空闲的Port上，并将这两个port放到同一Vlan中。“考普监控”的网线接入空闲的“镜像端口”即可，监控机接入同上面（2）情况。

（4）、通过一台Windows机器安装“代理软件”作为网关上网，实现局域网所有机器共享一个出口上网。
监控方法：将“考普监控软件”安装在代理服务器上，绑定内网的网卡。
　

（5）、局域网是通过无线网相连接。这种情况监控系统可以安装在任意一台无线设备上（如笔记本电脑） ，即可监控其它无线主机， 只需要考普主界面菜单选择“辅助工具”－“无线网监控”，启动要监控的IP范围即可。如下图：

无线网络监控具有以下特点：

    ①在同一无线局域网内，不需要在被监控 无线主机安装任何软件，也不需要改动任何硬件。在任意一台无线设备（如笔记本电脑）上运行即可监控其它无线主机的上网通信。
    ②系统内置WEP（64位和128位）、WPA-PSK（TKIP和AES）解密，即使通过加密的无线网络也能监控， 考普监控根据操作系统无线网卡的配置自动解密，无需用户任何设置。简单实用是我们系统开发的一贯宗旨。
    ③完全遵守国际 标准，广泛支持IEEE 802.11b/g等各系列无线标准，广泛兼容各厂商、各种接口系列的无线网卡，如Intel迅驰移动技术、PCMCIA接口、USB接口、PCI接口等等的无线网卡，完全兼容11M、54M、108M等带宽的无线网络。

考普信息安全网络监控系统应用常见示例图

（二）为什么没有产生任何监控记录？

这个问题很可能是网卡绑定不正确，请按照下列步骤检查：

（1）       启动监控程序，请检查界面左下角引擎运行是否正常，如果不正常会产生红色的叉；这时表明驱动程序可能不正确，首先确定是否安装了驱动程序（如果安装不上 ，请重启操作系统，关闭安全软件后重新安装Winpcap 4.0以上版本），然后请在主界面“设置向导”按钮里面检查引擎当前绑定的网卡是否正确。

（2）       如果程序提示“数据库错误”，请检查系统进程里面是否有corp_data.exe这个进程 ，检查防火墙是否允许据库这个进程运行,使用347端口通讯。 我们发现瑞星等安全软件，极其个别情况可能阻止数据库程序的运行，请暂停安全软件，重新打开监控系统，即可正常。

（3）       在监控机上任意访问一个Web网站， 如www.sina.com.cn。点击“刷新”按钮，看是否有新纪录出现。如果主界面底下显示有记录出现，说明程序运行一切正常。 （另外如果设置有软件代理服务器，请注意代理上网的端口是否为等常用标准端口，否则可能没有监控记录，如Web标准端口为80、8080；FTP标准端口为21等等。）

（三）为什么只能监控到本机上网记录？

只要有本机监控记录，说明软件运行正常。 这是说名监控机器连接的是普通交换机。解决的方法 请看上面的第（2）中情况。

（四）怎样远程查看监控日志？

有2种方法可以远程查看日志：（1）用户如果是Windows 2000 Server/XP/2003,利用微软操作系统的远程桌面连接进行管理（3389端口） 即可，十分方便，推荐使用。（2）付款用户可以免费获得我公司开发的远程日志查询系统（试用版未开放此功能）。

(五）怎样封杀web方式发送邮件？

在封网设置中的"过滤网页URL地址"，编辑配置文件，在文件中加入URL关键字：
 mail
 gmail
 mimg.163.com
 g2wm.263.com
 vip
 hotmail
启用黑名单模式。 这样基本上就可以封堵，凡是WEB MAIL登录的URL含有mail、gmail、vip等关键字的URL登录，和特殊的mimg.163.com、g2wm.263.com和hotmail的登录实现封堵。
对于其他的WEB MAIL 网站可以类似办法处理，实现封堵。 2007以上版本封锁web邮件更简单，只需要在封网设置里面，打勾禁止web资料发送即可。

如果还有其它问题,请Email 到master@corpcorp.com 或者QQ：4108863与我们联系。

(六）为什么Windows VISTA下会提示引擎或者驱动程序运行失败？

   由于Windows VISTA的帐户权限设置导致的驱动不能加载，VISTA下请安装Winpcap 4.0以上版本驱动，并且要求有最高的系统管理权限，比如Administrator帐户。

（七）为什么旁路模式有些用户不能封QQ？

实际中，串接HUB或者设置交换机镜像的客户，绝大多数情况可以封QQ。但也有时候封QQ不成功。由于QQ通讯采用了TCP（80、443端口）和UDP（8000端口）进行通讯，可能以下原因造成的。我公司软件的封杀功能经过严格测试，程序不存在任何问题。

（1）       做封QQ之前，务必保证监控完全正确，不仅能监控QQ，而且必须能监控其他如web上网行为；请检查 “引擎设置”、“监控设置”，“封网设置”是否正确？主界面查询是否产生了QQ的违规访问记录。

（2）       有些监控机的防火墙等安全软件，不允许发送封杀包，建议测试的时候先暂停使用这些软件。

（3）       要封锁QQ， 建议监控先于QQ启动， 也就是测试的时候：点击QQ离线，然后再上线，看主界面是否产生了违规记录。（也可以用“现场观察”按钮－开始观察）

（4）      被 监控机器或者路由器上做了IP和MAC地址绑定，这种情况下其他同类旁路监控软件是无法封杀UDP通讯的QQ的，他们的解决方法是：在防火墙或者路由器上封杀所有UDP为8000端口的通讯或者解除IP/MAC绑定。（ 我们的20070801以上版本不需要防火墙配合，也采用了新技术封QQ，QQ登录的时候回强制弹出登录失败对话框）。

（5）       点击“封网设置按钮”，务必正确设置封杀模式。打勾禁止“QQ 聊天（UDP连接方式）”，检查右上的“网关设置”，是否正确？ 这里的“网关设置”指被监控机器上网设置的网关IP地址（一般就是路由器IP地址）。

（6）       对于跨多个VLAN、多个网段和基于IP地址进行监控的，技术上无法封锁QQ UDP为8000端口的通讯。解决方法是：在防火墙或者路由器上封杀所有UDP为8000端口的通讯。