本论文中主要讨论用户端的安全控制和主机用户的网络行为。讨论了在IP网络中对用户网络行为进行规范和对网络中的合法、非法数据包的鉴别。如果IP网中的每个用户都能规范自己的网络行为，那么IP网就减少了从内部发起攻击的可能性。如果IP网中的某个用户发出了不允许的网络行为，可以通过安装在客户 端的3A程序限制用户的网络行为，规范该用户的网络行为，如果是IP网中非法的用户发出的网络行为，可以在Radius服务器或者网关处对数据包进行检测和过滤。通过对IP)包做标记来实现的，如果发现没有打上标记的包，就认为该数据包是非法的，可以重置或者拦截该数据包，如果是合法用户发出的非法的数据包，可以通知发出该数据包的用户：你发出了非法的数据包，要对系统进行检查，如果是在规定时间内连续发出非法的数据包，就可以通过关闭NAS的PORT来强制该合法用户下线。通过本方法，可以对IP网络中的用户行为进行控制，通过控制用户的网络行为，来保证IP网络的安全，如果IP网中的每个用户的网络行为都能得到规范，IP网络的安全性就加强了。称这样的网络为可管理的主动网络，所以可以通过构建可控的网络，来保证IP网络的安全可信，提出了“可管理的主动网络安全系统”设计方案。 　　基于802.1x和RADIUS协议，利用802.1x协议支持的端口技术，对每一个端口进行开启关闭，来决定用户能否上IP网络，同时能对IP网络中传输的数据包在审计网关处进行比较分析，建立一个网络行为特征库，根据特征库，对数据包进行分析。 同时要建立一个用户信息库，一个ACL库，利用802.1x和RADIUJS协议对IP网络内部的用户合法性和数据包安全性进行分析，判断用户的合法性和包的合法性。对于非法的用户，根据我们的用户信息库进行判断，关闭该用户所连接NAS的端口，对于合法用户可以根据ACL对用户的一些访问网络资源行为进行控制，在ACL中我们还对用户的数据包基本类型进行统计，如：每天上网情况的分析，访问最频繁的网站分析，上网最多的人员分析等，并提供按时间、服务、网站访问、使用网络流量等多种排行榜。为网络运行状况做出分析，为网络的运营管理提供参考。 可以根据网络行为特征库，对用户的数据包进行初步的过滤，如果用户数据包内带有我们网络行为特征库中的特征代码，则对此用户的数据包做出处理，来加强用户的自身安全，规范限制用户的网络行为。这样要求INTRANET中的每一个用户都把自己约束好，来达到整个网络安全的目的。 IPV4协议本身就有不足的地方，例如：网络地址不够用，网络协议自身不安全，大量的路由信息交换影响网络的速度等，IPV6协议能这些不足。IPV6协议相对于IPV4协议有很多优势，如：巨大的地址空间、有效分级的寻址和路由结构、内置的安全性、更好地支持Qos等特点。我们Radius服务器在对数据包的监听时，能监听IPV4／IPV6包，即支持双栈。