论文部分内容阅读
随着Internet在全球的普及和发展,越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源,方便快捷地收发信息。计算机网络已经和人们的学习、工作紧密的联系在一起,成为许多人生活中不可或缺的重要部分。但是,在人们享受网络带来的巨大便利时,计算机网络的安全性也日益受到关注。
传统的网络安全技术是以被动的以“防”为主的技术,以防御外来入侵为主要前提,以防范网络其他用户的攻击为目的,而忽略了用户对网络行为的自我约束和管理,由于攻击技术的不断变化,一直处于一个种被动挨打的局面,而且难以防御来自内部网络用户的攻击,更无法对内部的用户进行管理和控制。系统一般是被置于网络边缘处或者在内网安放专门的监测器来监控用户的网络行为和判断系统是否被攻击,即当出现网络攻击行为时被动设计以拦截丢弃数据包为主要手段,规模较大时就使服务器压力过大,从而导致整个网络的瘫痪,而且当出现网络攻击行为时却很难知道入侵者身份和具体位置。
本系统针对现有被动式的网络安全技术,从用户网络行为的自我管理和约束的角度出发,以不“侵害”网络其他用户为目的,采用主动式防护和监管策略,从源头上过滤非法的网络数据包,识别和阻止非法的网络行为,对内部网络安全隐患以技术的手段进行有效的控制,并能对每一个终瑞用户行为进行监测和管理,有效地阻止非法资源访问,从而大大提高内部网络使用的安全性,真正保障每一位网络用户在自己的权限范围内合法使用内部网络和应用内部网络的数据信息,同时也降低了用户被攻击的可能性。本系统具有以下特点:
1.将管理系统分散于每个客户端,实现了用户网络行为的主动自我管理。
2.为了保证网络的可信、可控和可举证性,对客户端的网络行为进行监测和控制,本系统利用了802.1X协议的基于端口控制的技术,对每个和用户相连的端口进行开启和关闭,从而决定用户是否可以连通网络。每个客户端并不是直接和外部网络相连,而是连接在NAS设备上,用户上网必须输入自己的相关信息,通过RADIUS服务器的身份验证后,与其相连接的NAS端口才能打开。对已经认证的客户端进行监控,网关处服务器如果发现有非法的网络行为发生,则强制其下线,关闭NAS端口,并写入日志。当用户正常下线,NAS端口被正常关闭。
3.为了保证用户身份的单一性,使用Winpcap技术,对网络数据包进行监听,对客户端的使用代理情况进行检测,防止多用户通过代理软件使用同一个帐户登陆上网的情况。
4.为了能对用户网络行为进行检测和管理,使用NDIS驱动技术拦截用户发送的数据包,在用户发送的每个以太网数据包的IP包头中打上本系统特有的标记,并在网关处对每个数据包进行检查,如果包头标记不正确则直接丢弃。这样就杜绝了用户非正常下线,导
致NAS端口无法关闭,以后无需验证就直接上网的现象,也防止了伪造数据包的情况。根据从服务器下载的客户端对应的访问控制列表(ACL)和网络行为库,对每个网络数据包进行检查,过滤非法的网络数据包,从而防止对非法的网络行为或者越权的资源访问。如果发现频繁的非法数据包则可以强制客户端下线。 5.为了适应网络的发展,适应IPv4向IPv6的过渡,本系统设计了双栈技术,来实现对IPv4和IPv6的支持。