本论文的目的在于扩展传统的防火墙技术，使之能够防范来自内部的攻击。传统防火墙之所以存在这种缺陷是因为它是对外防护，而对内部网络的主机认为都是可信的，缺乏对内部局域网主机的有效监控。据统计网络安全事故有70％都是由于内部安全隐患造成的。因此，如何对内部网络的主机进行有效的监控，防止恶意用户、恶意程序的破坏，对于保护用户网络的安全是至关重要的。本论文着重从如何防止非法用户、非法程序将数据带出局域网以及如何防止非法窃听网络数据包，避免数据泄密等方面着手，通过采用Winsock 2 SPI编程技术，在为上层应用程序提供的标准网络接口上对用户程序出网进行有效的控制。通过用户、应用程序和主机身份的鉴别，SPI程序对其所要传送的数据包进行识别，并按设定的策略执行控制。如果内部网络中某台主机要与其他主机进行通信，那么它必须向安装在其主机上的SPI网络过滤模块标明它的身份以及应用程序和用户的身份。由于采用主机ID、程序ID及用户ID相结合的身份认证方法，只有过滤模块明确允许的特定的主机、用户和应用程序可以发送数据包出主机和接收数据包，其他任何数据包不能进出主机，从而在危害源头对内部网络进行有效的保护。 本文具有三个方面的特色：一是提出了一种从危害源头预防危害的自律型内部网络保护机制；二是采用了Winsock2 SPI实现技术，不需要上层应用程序作任何改动；三是采用了进程防杀技术和扫描技术对监控模块自身的安全进行有效的保护，增强了过滤模块的健壮性。