在我看来，您误解了 TAP 的概念。这仅意味着您复制了一个链接。然后你可以例如：

• 将第一个 TAP 输出链路转发到目的地（或下一跳），将第二个输出 TAP 链路转发到监控设备。
• 但是您也可以将第一个输出 TAP 链接转发到将过滤和/或修改流量的防火墙，并且可以将第二个输出 TAP 链接转发到监控（例如 netflow 探针，...）。如果防火墙已经将流详细信息发送到监控系统，则这是多余的。

如果“主动 TAP”是指“捕获”/捕获流量并将其修改（或不）转发到实际目的地的主动方式，则可以通过多种方式实现：

• 一个盒子（例如您的计算机，防火墙）直接放置在数据包路径上（例如在网络入口处）
• DNS（您谈到了 HTTP）指向您的盒子 IP。然后您的盒子会将流量重定向到真实的服务器 IP（例如，给定域名）
• 您通过 BGP 广告宣布终端服务器 IP，以便 ISP/AS 将向您转发目标为终端服务器 IP 的流量。然后，您使用隧道方法（例如 GRE 隧道）将流量重定向到服务器

最简单的方法是使用 linux 机器OpenVSwitch和iptables

OpenVSwitch为您提供对流量转发的精细控制，并提供许多其他功能：

• NetFlow 支持，因此您可以将此流量发送到 NetFlow 收集器（可以在同一台机器或另一台机器上运行）
• VLAN 支持
• 端口镜像

如果您使用虚拟机，则特别方便。

iptables允许您即时修改、NAT 或丢弃数据包（或事件帧）。

许多商业解决方案（包括问题评论中讨论的代理）都基于这些软件。

正如@vera在她的回答中所解释的那样，您需要配置您的网络，以便流量通过您的机器。这很大程度上取决于您的网络设置。

网络分接头是放置在 2 个网络设备之间并提供监控连接的无源分离设备。

没有活动的网络水龙头，但要回答您的需要，您可以使用其他一些网络设备。

例如，您可以使用 数据包过滤来检查和更改 HTTP 数据包。

我对 Ixia 的 PacketStack 有很好的体验。使用此设备，您可以

• 去重

• 在每个数据包中插入时间戳，以将事件与其他设备相关联。

• 修剪数据包，删除不必要的信息并减小数据包大小，以提高安全性并提高工具效率。

• 在将数据提供给分析工具之前，隐藏或覆盖敏感或个人身份信息 (PII)。