1、国外免费WINPCAP封包驱动缺点：
    网络监控软件目前市场上不少，但90%软件由于没有足够开发能力，其实都是采用国外免费的WINPCAP驱动程序只是开发上层一些界面应用而已；WINPCAP是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望；网络监控最核心的关键部分就是网络驱动部分，所有的应用、功能、性能、安装方式等等都取决于此；因此我们首先了解什么是WINPCAP，详细的中文可以通过GOOGLE搜索，官方站是http://www.winpcap.org/；简单点说：“WinPcap是用于网络封包抓取的一套工具，可适用于32位的操作平台上解析网络封包，包含了核心的封包过滤，一个底层动态链接库，和一个高层系统函数库，及可用来直接存取封包的应用程序界面”。基础原理是对总线旁听模式，所以不适合庞大的网络也不适合大规模实时存储的网络监控应用；这就是为什么所有采用WINPCAP驱动的软件都是需要非常老式的10M共享式HUB或把交换机变回HUB的镜像模式；目前主要适合的应用是做一些只监视的SNMP协议的高层网管应用；由于WINPCAP是免费的，缺陷也是明显的：效率低、无法做流量限制、无法针对UDP限制、应用功能少、安装需要HUB或镜像、严重损失流量带宽、代码公开安全问题、不适合超过100电脑以上中大型网做监控、接受火墙管理同时降低网络性能等等；
    (1)通过共享式HUB（集线器）
    这个模式是一个比较通用的方法，但由于HUB基本都是10M的，因此在网络性能上将很大限制，也意味丢包的风险；目前HUB几乎到了淘汰的命运；也不适合大型网络环境，因此是很大局限；网络带宽损失都会超过60%; 在千M网络的环境却用10M的共享HUB，真是疯了；
    (2)通过镜像交换机
    由于共享的HUB都是10M的，于是为了解决这个问题，一些交换机带了镜像端口，所谓镜像就是把交换机再变回原始的共享HUB，以获得MAC层包；可网管的镜像交换机首先是比较贵并需要专业的配置，而目绝大多数企业并没有带镜像交换机，另外如果规模比较小的话（比如30个电脑一下），那么增加购买镜像交换机意味成本的提高，另外有些便宜的交换机虽然带镜像功能，但在镜像后由于双向（监视和控制）数据流处理不完善而导致交换机瞬间阻塞现象；而很多的镜像交换机也是单向的（只能监视抓包不能控制）；但相比老式的HUB模式来说，使用镜像交换机实现监听还是要理想一些；不过即使如此，网络带宽损失也将超过40%;

    3、Anyview（网络警）标准版4个工作模式：官方推荐采用网桥模式：
    Anyview（网络警）标准版是用于上网监控的软件，不需要被监视电脑安装软件但需要设置工作模式,而由于Anyview专业版里也包含了Anyview（网络警）标准版,所以也需要设置工作模式，而INTRAVIW标准版不需要设置工作模式但需要工作站支持；目前支持4种工作模式，官方推荐采用网桥模式 ；
    打开Anyview控制台, 进入选项-->工作模式；默认采用“网关模式”，4个工作模式优劣要点比较如下：
    (1)网关模式：控制能力强、网络效率90%、设置最复杂、但功能最全，适合大用户量环境并需连接数限制；
    (2)旁路模式：设置最简单、适合50个电脑内、容易上手、立即可行；因此开始测试基本功能时可以先设置为：“旁路模式”（虚拟网关模式）；不过该模式不适合大用户量环境，不适合多VLAN环境，也不适合禁止旁路的环境，也容易被干扰，网络效率为85%以上；安装简单到网内任何一个电脑只要设置一个网关IP地址就可以了;
    (3)网桥模式(官方推荐)：适应并支持目前几乎所有的各种复杂的网络环境、性能最好、维护简单、安装简便、网络效率98%以上可视为透明网线；如果多个网段或多个VLAN或VPN环境则一定需要采用网桥模式；相比设置复杂的网关模式只缺了一个并发连接数限制（基本上用不到这个功能）;
    (4)旁听模式：该模式需要老式的10MHUB或镜像交换机（所谓的镜像就是把交换机转为HUB），该模式是很落后的技术，网络效率60%或更低，已经淘汰的模式不推荐使用;