论文部分内容阅读
本论文中主要讨论用户端的安全控制和主机用户的网络行为。讨论了在IP网络中对用户网络行为进行规范和对网络中的合法、非法数据包的鉴别。如果IP网中的每个用户都能规范自己的网络行为,那么IP网就减少了从内部发起攻击的可能性。如果IP网中的某个用户发出了不允许的网络行为,可以通过安装在客户
端的3A程序限制用户的网络行为,规范该用户的网络行为,如果是IP网中非法的用户发出的网络行为,可以在Radius服务器或者网关处对数据包进行检测和过滤。通过对IP)包做标记来实现的,如果发现没有打上标记的包,就认为该数据包是非法的,可以重置或者拦截该数据包,如果是合法用户发出的非法的数据包,可以通知发出该数据包的用户:你发出了非法的数据包,要对系统进行检查,如果是在规定时间内连续发出非法的数据包,就可以通过关闭NAS的PORT来强制该合法用户下线。通过本方法,可以对IP网络中的用户行为进行控制,通过控制用户的网络行为,来保证IP网络的安全,如果IP网中的每个用户的网络行为都能得到规范,IP网络的安全性就加强了。称这样的网络为可管理的主动网络,所以可以通过构建可控的网络,来保证IP网络的安全可信,提出了“可管理的主动网络安全系统”设计方案。
基于802.1x和RADIUS协议,利用802.1x协议支持的端口技术,对每一个端口进行开启关闭,来决定用户能否上IP网络,同时能对IP网络中传输的数据包在审计网关处进行比较分析,建立一个网络行为特征库,根据特征库,对数据包进行分析。
同时要建立一个用户信息库,一个ACL库,利用802.1x和RADIUJS协议对IP网络内部的用户合法性和数据包安全性进行分析,判断用户的合法性和包的合法性。对于非法的用户,根据我们的用户信息库进行判断,关闭该用户所连接NAS的端口,对于合法用户可以根据ACL对用户的一些访问网络资源行为进行控制,在ACL中我们还对用户的数据包基本类型进行统计,如:每天上网情况的分析,访问最频繁的网站分析,上网最多的人员分析等,并提供按时间、服务、网站访问、使用网络流量等多种排行榜。为网络运行状况做出分析,为网络的运营管理提供参考。
可以根据网络行为特征库,对用户的数据包进行初步的过滤,如果用户数据包内带有我们网络行为特征库中的特征代码,则对此用户的数据包做出处理,来加强用户的自身安全,规范限制用户的网络行为。这样要求INTRANET中的每一个用户都把自己约束好,来达到整个网络安全的目的。
IPV4协议本身就有不足的地方,例如:网络地址不够用,网络协议自身不安全,大量的路由信息交换影响网络的速度等,IPV6协议能这些不足。IPV6协议相对于IPV4协议有很多优势,如:巨大的地址空间、有效分级的寻址和路由结构、内置的安全性、更好地支持Qos等特点。我们Radius服务器在对数据包的监听时,能监听IPV4/IPV6包,即支持双栈。