基于Winsock 2 SPI技術(shù)的內(nèi)部網(wǎng)絡(luò)安全防護(hù)研究.pdf

1、本論文的目的在于擴(kuò)展傳統(tǒng)的防火墻技術(shù)，使之能夠防范來(lái)自內(nèi)部的攻擊。傳統(tǒng)防火墻之所以存在這種缺陷是因?yàn)樗菍?duì)外防護(hù)，而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)認(rèn)為都是可信的，缺乏對(duì)內(nèi)部局域網(wǎng)主機(jī)的有效監(jiān)控。據(jù)統(tǒng)計(jì)網(wǎng)絡(luò)安全事故有70﹪都是由于內(nèi)部安全隱患造成的。因此，如何對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行有效的監(jiān)控，防止惡意用戶、惡意程序的破壞，對(duì)于保護(hù)用戶網(wǎng)絡(luò)的安全是至關(guān)重要的。本論文著重從如何防止非法用戶、非法程序?qū)?shù)據(jù)帶出局域網(wǎng)以及如何防止非法竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包，避免數(shù)據(jù)泄密

2、等方面著手，通過(guò)采用Winsock2SPI編程技術(shù)，在為上層應(yīng)用程序提供的標(biāo)準(zhǔn)網(wǎng)絡(luò)接口上對(duì)用戶程序出網(wǎng)進(jìn)行有效的控制。通過(guò)用戶、應(yīng)用程序和主機(jī)身份的鑒別，SPI程序?qū)ζ渌獋魉偷臄?shù)據(jù)包進(jìn)行識(shí)別，并按設(shè)定的策略執(zhí)行控制。如果內(nèi)部網(wǎng)絡(luò)中某臺(tái)主機(jī)要與其他主機(jī)進(jìn)行通信，那么它必須向安裝在其主機(jī)上的SPI網(wǎng)絡(luò)過(guò)濾模塊標(biāo)明它的身份以及應(yīng)用程序和用戶的身份。由于采用主機(jī)ID、程序ID及用戶ID相結(jié)合的身份認(rèn)證方法，只有過(guò)濾模塊明確允許的特定的主機(jī)、用