NAP架构下利用DHCP实现计算机接入的安全控制

摘要

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件、病毒和其他攻击，所以如何保障网络中计算机的安全，进一步扩展到保障整个网络的安全就变得至关重要。 微软开发出了NetworkAccessProtection(网络访问保护技术NAP)来确保有系统没有打补丁、没有升级杀毒软件或者没有杀毒软件或网络防火墙情况的计算机无法访问既定网络，通过杀毒软件下载升级和及时更新操作系统来阻止网络恶意代码传播。微软NAP不是用来保护网络不受恶意侵犯的，它是用来帮助管理员维护网络内的机器的安全，并帮助逐步实现整个网络的完整、安全。但是微软NAP不会阻止已授权机器上传有恶意的程序或者从事其他不当行为。 类似的，2003年11月，思科在全球发布了网络准入控制(NetworkAdmissionControl，NAC)计划，该计划是思科自防御网络计划(Self-DefendingNetwork，SDN)的重要组成部分，思科网络准入控制的宗旨是防止病毒和蠕虫及新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的端点设备接入网络，而不允许其它设备接入。 本文论述了NAP和NAC两种相关的网络安全解决方案，并对NAP和NAC加以分析研究，仔细研究了其中使用到的相关技术，如DHCP协议，并研究了在Linux平台下如何实现基于微软NAP原理的计算机接入的安全控制，及如何实现微软NAP的功能。 本论文主要要设计实现NAP架构下如何实现计算机接入的安全控制，需要实现的功能有：在Liunx下实现基本DHCP功能；NAP的客户端能获取并分析客户机的操作系统版本高低，比较客户机的系统版本和病毒防火墙状态是否符合分配IP的原则，如果符合则分配正常IP，如果不符合则分配可以提供系统升级区域的IP或者不分配可用IP；NAP的服务器端负责接收客户端的结果，并向DHCP服务器转发，进行IP地址最终的分配。因此，本DHCP服务器主要要实现三个功能，即基本DHCP功能，NAP客户端捕捉客户机系统信息功能，NAP服务器端接收客户端信息并分析决定使用哪种分配策略，决定具体分配网段，然后向DHCP服务器转发的功能。 本系统分为四个主要组成部分，一个是Windows操作系统的客户端自带的DHCP客户端程序，一个是预先在客户机上安装的NAP客户端服务程序，一个是在NAP服务器端运行的服务程序，另一个为DHCP服务器；通过他们的通信来确定分配什么网段的IP地址给客户机，NAP服务器端与客户机之间使用广播的方式发送和接收系统信息。 为了兼顾Linux和Windows操作系统的兼容性，所有模块均使用C/C++语言实现，是网络安全和网络管理系统的一个重要组成部分，可以方便网络管理员对局域网的管理，排除可能存在的网络隐患，保护网络用户尽量少地受到网络上的各种威胁。

目录

文摘

英文文摘

独创性声明和关于学位论文使用授权的说明

第1章绪论

1.1论文背景

1.2国内外现状

1.3本论文主要的研究内容

1.4论文结构

1.5本章小结

第2章相关技术及其原理

2.1微软NAP技术

2.1.1 NAP要解决的问题

2.1.2采用的解决方案

2.1.3 NAP系统的结构与组成

2.1.4 NAP的优点

2.1.5 NAP的不足

2.2思科相关技术

2.2.1要解决的问题

2.2.2 SDN采用的相关技术

2.2.3思科NAC采用的技术

2.2.4使用思科NAC的优点

2.2.5 NAC的缺点

2.2.6两种技术的相似与差异

2.3 DHCP协议

2.3.1 DHCP协议简介

2.3.2 DHCP的数据格式

2.3.3 Option选项

2.3.4 Linux下的DHCP服务器dhcpd.conf概述

2.3.5 DHCP分配IP地址的过程

2.4本章小结

第3章基于NAP的DHCP服务器的设计

3.1 NAP架构的设计

3.1.1 NAP系统组成及各部分的功能

3.1.2各模块之间的关系及通信使用的协议

3.2 NAP客户端的设计

3.3 NAP服务器端的设计

3.4实验环境

3.5本章小结

第4章基于NAP的DHCP服务器的实现

4.1 NAP客户端的实现

4.2 NAP服务器端的实现

4.3 DHCP服务的配置

4.3.1 dhcpd.conf语句参考

4.3.2注意事项

4.4 DHCPD的设置

4.5 DHCP服务器的实验测试

4.6本章小结

总结

参考文献

致谢