随着计算机网络的迅猛发展,众多的企业、组织、政府部门与机构纷纷组建和发展自己的内部网络。为了保障内部网络安全,现有的做法是要么采用物理隔离的方式使内网与外网隔离,要么由内网通过有严格安检措施的统一出口与外网连接。然而,少数内部网络成员通过各种各样的途径非法连接到外部网络的情况时有发生,使在内部网络边界上采取的保护措施失去作用,严重地影响了内部网络的安全。在分析了当前双机架构模式和C/S模式的非法外联监控系统的基础上,本文设计和实现了一种基于NDIS协议驱动程序的C/S模式非法外联监控系统。本文的主要工作如下:　　设计了一种基于NDIS协议驱动程序的非法外联监控系统。在该系统中使用NDIS协议驱动程序监视受控主机的网卡状态;引入半开扫描技术,通过端口探测来判定活动的网卡是否非法外联。该系统克服了双机架构模式非法外联监控系统中诸如不能监控离线非法外联和漏报率高等缺点,也弥补了传统C/S模式非法外联监控系统只监控特定途径的非法外联和误报率高等缺陷。　　针对用户强行关闭监控代理后非法外联的情况,提出使用LSP截获用户的Winso-ck调用,这些调用在监控代理允许后方能放行,使用户关闭监控代理便立即处于断开网络连接的状态,迫使用户接受本系统的监控。LSP以动态连接库的方式运行,作为网络传输服务提供者存在系统中,不会被用户发现,也不会被杀毒软件查杀,系统的自我保护能力得以增强。　　针对存在未安装监控代理的主机非法接入内部网络的情况,设计LANM通信协议,提出一种基于该协议的竞选算法,使得子网中的合法主机能自主决定产生主监视代理,由它监视子网中的活动主机以及判定活动主机是否合法,提高了系统的可靠性。　　使用VC++6.0实现了基于NDIS协议驱动程序的非法外联监控系统。将该系统部署到校园网的实际运行环境中,并对其各功能模块进行测试,测试结果验证了系统的有效性。