传统的网络安全管理主要考虑网络的外部攻击,即外网安全,而对于用户每天都在使用的客户端监管相对薄弱。随着互联网的不断发展和越来越多新技术的应用,发生自内网计算机的安全事件逐渐增多,传统的安全管理系统对此的防范已捉襟见肘。一些政府部门、军队等涉密部门根据安全需要虽然已经对内网采取了隔离措施,如禁止涉密计算机接入互联网,严禁USB移动存储设备在涉密计算机上使用。但某些用户可能会违反规定使用拨号、ADSL、双网卡等方式将涉密计算机接入互联网；或者为了拷贝数据的方便,将在涉密计算机上使用过的移动存储设备又在接入互联网的计算机上使用；或者未经允许私自将笔记本电脑非法接入涉密内网等等。以上这些行为都给内网安全带来了极大的隐患,很容易造成涉密信息的外漏或者给黑客攻击提供可乘之机。本文深入分析了传统非法外联监控手段,尤其是基于双机模式的非法外联监控解决方案和基于代理模式的非法外联监控解决方案。研究中发现,针对双机模式的非法外联解决方案在实际应用中存在以下四个问题：1)最近几年发展起来并获得广泛应用的状态检测防火墙会过滤掉非法外联的告警包,内网安全管理员也就无法得知内网发生的非法外联安全事件；2)用户可以使用桌面防火墙先阻止非法外联的探测包再外联；3)用户先从物理上断掉与涉密内网的连接再外联；4)该方案只能发现非法外联,但无法阻断该行为,如果非法外联行为未被及时阻止,内网安全将无法保证。此外,代理模式的解决方案中存在与双机模式共同的问题：即用户先从物理上断掉与涉密内网的连接后再外联,而且还无法对新式的非法外联行为进行有效监控,如在涉密主机上使用移动存储设备拷贝文件等,所以这些解决方案将不能实时的为内网安全管理员提供告警信息和有效监控。针对这些问题,本文使用Windows路由表监控、Windows IP安全策略控制、NDIS中间层驱动、802.1x局域网接入认证以及三种告警技术结合等技术,提出了改进的内网非法外联安全监控解决方案,该解决方案能够实现对内网终端非法上网、非法使用USB移动存储设备、外部计算机非法接入到内网等安全隐患的全面监控,并产生实时的告警信息及时通知内网安全管理员。