基于VN的网络准入控制系统

摘要

随着计算机网络的迅速发展,网络安全问题日益引起人们的关注,传统的防火墙、入侵防护系统通常部署在网络边界,能够有效地防御来自外部网络的攻击,但不能抵抗来自内部网络的安全威胁。网络准入控制通过用户身份认证和终端合规检查,能够有效抵御来自内部网络的安全威胁,成为保护内部网络安全的重要手段之一。
　　本文介绍网络准入控制技术的发展与研究现状,阐述网络准入控制基本概念、运行机制和基本流程,探讨基于DHCP+、802.1x、ARP等协议的网络准入控制技术,分析几种典型的网络准入控制方案。
　　以某公司内网安全产品开发为背景,设计了一种基于虚拟网络(VN)的网络准入控制系统,该系统由准入控制器和准入服务器组成。准入控制器完成数据包捕获和终端合规检查,实施允许、阻断和隔离等准入控制操作;准入服务器完成准入策略配置和用户/终端管理等功能。本系统具有如下特点:
　　(1)基于虚拟网络(VN)技术,利用交换机端口 VLAN切换命令,通过交换机端口操作,实施准入控制。交换机的高可靠性保证了准入控制的可靠性。
　　(2)用户访问网络时,系统通过重定向技术向用户推送友好的登录认证页面,实现无客户端、透明准入。
　　(3)系统具有高可靠和稳定性。基于高性能工控机,支持双机热备,具有故障恢复和逃生功能。
　　(4)系统部署灵活方便。准入控制器以旁路方式接入网络,不改变网络拓扑结构,可根据控制范围和力度,并联接入任何一级交换机,不影响网络运行。
　　基于Linux内核和C语言以及MYSQL数据库,完成准入控制器开发,设计了准入控制器和准入服务器之间的通信协议,实现了基于VN的网络准入控制系统。该系统已投入试运行,并对系统功能和性能进行了测试,测试结果表明:系统功能完善,性能稳定,操作方便,能够满足用户的需求。

目录

封面

声明

特别声明

致谢

中文摘要

英文摘要

目录

插图清单

表格清单

第一章 绪论

1.1 研究背景与意义

1.2 网络准入控制技术的发展与研究现状

1.3 论文的研究内容，解决的关键问题

1.4 论文的组织安排

第二章 网络准入控制技术

2.1 网络准入控制基本概念

2.2 网络准入控制运行机制

2.3 网络准入控制系统逻辑结构

2.4 网络准入控制基本流程

2.5 网络准入控制技术

2.6 网络准入控制方案

2.7 网络准入控制方案对比

2.8 本章小结

第三章 网络准入控制系统总体设计

3.1 开发需求

3.2 设计目标

3.3 系统架构

3.4 准入控制方案

3.5 网络准入控制系统流程

3.6 系统部署

3.7 本章小结

第四章 准入控制器的设计与实现

4.1准入控制器功能模块设计

4.2 准入控制器工作流程

4.3 终端合规检查

4.4 准入控制器关键技术

4.5 本章小结

第五章 系统测试

5.1 运行环境

5.2 运行结果

5.3 本章小结

第六章 总结与展望

6.1 总结

6.2 展望

参考文献

攻读硕士学位期间的学术活动及成果情况