在计算机网络技术快速发展的今天,网络安全越来越受到人们的重视,非法外联监控系统是解决网络安全问题的有效手段。在一些保密级别较高的内部网络中,网络管理人员往往在内部网络和公共信息网络之间实施物理隔离,但仍存在一些非法外联的主机,对内部网络的信息安全产生了很大的威胁。当前,根据安全部门的调查,在安全事件对计算机网络所造成的损失中,有70%以上来自网络内部,其中就包括内部人员的非法外联行为。本文设计实现了基于路由欺骗的非法外联监控系统(IELDS, Illegal External Link Detecting System)用于监控内部网络中的非法外联行为。论文在研究非法外联监控系统背景、相关理论和国内外发展现状的基础上,对IELDS系统关键技术进行了重点分析。基于对路由技术和操作系统的研究,结合对系统需求的充分调研,分析设计了IELDS系统的技术方案,本方案采用在内网路由器(或3层交换机)上增加伪路由,扫描报文不需伪造源地址,从而避免了被路由器配置的ACL过滤,克服了现有方法的缺点。针对不同的内部网络结构,本文设计了不同的部署方案,包括复杂内部网络的分布式实施。在技术方面,本文实现了IELDS系统的探测、数据包分析、日志处理、告警、日志数据库维护和ARP阻断六个功能模块。最后,本文对系统的整个开发测试以及性能分析过程进行了总结,展望了基于路由欺骗的非法外联监控系统的发展趋势。本系统采用路由欺骗技术,实现了非法外联监控的系统功能,尤其基于Web页面的实现解决了C／S结构客户端升级维护麻烦的问题,加之数据库模块对日志的管理为安全审计工作提供了很好的支持,使系统具有良好的可扩展性、可复用性和可维护性。经反复测试,系统运行稳定、效果良好。