[求] 低成本网络设备监控软件

大部分是移动设备，非 PC

这东西基本上都是商用的硬件，因为这类东西最值钱的是特征库。
另外如果你需要监控所有网络通信，还必须在所有人的设备上安装 CA 证书。

常见聊天工具的聊天内容这一条就决定了成本不可能低，除了方案本身成本还有合规成本。

最低成本的方法估计是每个工位装个摄像头，要求员工一定要在摄像头下面使用设备。

这类东西都比较贵，是行为管控的硬件设备。软路由之类的方式似乎支持功能没那么到位

https 通讯的如何监控，中间人劫持转发请求？
所以设备是中间人劫持软件？
首先污染 dns ，然后再统一劫持？

@zjsxwc 参考抓包工具，在客户端装证书

@zjsxwc 但是，https 决定了，中间人无法申请到主流网站域名的证书私钥和公钥，于是根本做不了正常的劫持啊。

@opengps 你也说了，客户端装证书，换个设备甚至虚拟机，不就不行了吗，还有现在有 dns over https 直接用过的 dns 这套，相当于这种方式的根基被掘了。

@opengps 还有他说所有设备，那么有没有可能有些嵌入式设备，根本就不能自己安装你的假证书。

@zjsxwc 所以电脑 pc 监控的主流方式是，安装一个驱动级别的实时截屏+ocr 的软件，把 ocr 的文本发送到总监控服务器。

但手机是如何监控的？

@zjsxwc 不是所有的数据现在都能被监控，所以你没必要带着所有数据都抓到的需求去找这种设备，不然已经提前注定了找不到。

@zjsxwc 手机的隐私保护，比 Windows 更加强大，现在的安卓、苹果系统开发 app 时都有接口避免被截屏的，比如我打开一个起点中文看小说，用上面那套截屏+ocr 方式就搞不了，因为根本截屏不了，还有手机厂家众多，内核混乱，根本搞不了啊。

曾经做过此类上网行为监控设备的项目：深信服、网络督察等；
PC 端（装插件）都有办法监控内容；
手机端出去的只能看到 URL 和流量特征库分类（ HTTP 除外）；

@zjsxwc #8 可以搭配准入，没有证书不让入网。用 CA 做中间人攻击的方式，客户端怎么搞 DNS 对监控效果没有影响。
唯一的问题是很多设备不容易安装证书。所以嵌入式设备一般使用的是独立的 SSID 、VLAN 做 MAC 认证，并且通过安全策略限制网络连接。

哥们，自己装的 100%不合法你信不？

应该没有成本低的. 所有设备需要安装证书, 认证证书才允许接入网络.
要对所有流量进行中间人解析, 然后从中提取特征, 聚合后存储, 使用成本就不会低.
中间人设备的性能要求较高, IO 能力要求也高.
一般是用的深信服的, 除了深信服不清楚还有哪些企业做这个.

@mingl0280 #15 企业装合法的。
《网络安全法》第二十一条：
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

买台深信服吧

@wheat0r app 上会存在 ca 证书吗

@sherwin008 #19 在系统的根证书库里就可以了吧