第一章 寬帶網安全規範設計

一、寬帶的概念

寬帶是一種傳輸媒介，它通過不同的頻道，在一根同軸電纜或光纖電纜上建立起多個獨立的網絡載體信號。一般意義上的寬帶還指高速網絡連接，例如，寬帶Internet連接通常就是指使用電纜調製解調器（cablemodem）或DSL（數字用戶線路）的Internet連接。被稱為寬帶的連接，其速率一般都超過1Mbps（每秒1兆比特）。

電纜調製解調器允許一個計算機或計算機網絡通過有線電視網絡連接到Internet。電纜調製解調器通常有一個以太網接口連接到計算機，速率可達5Mbps以上。

DSL使用的是電話的常規銅線。與電纜調製解調器相比，DSL可為用戶提供專用帶寬，但其最大帶寬一般要低於最大的電纜調製解調器。DSL有很多種，下麵分別做一簡介：

·ADSL：即非對稱數字用戶線路，這是一種新技術，在標準電話銅線上允許非常高的帶寬。當安裝DSL時，本地電話公司會給你的電話線上增加一個網絡電纜雙絞線。DSL線路可以同步傳輸聲音和數字信息。根據線路的長度和環數以及線路質量狀況，ADSL可以提供高達8Mbps的下行速率和1Mbps的上行速率。

·SDSL：即對稱數字用戶線路，可在上行和下行兩個方向上提供相同的速率。

·VDSL：通過光纖傳輸的DSL，就是ADSL的快速版本，短距離內的最大下行速率可達55Mbps，上行速率可達2.3Mbps。

·RADSL：即速率自適應DSL，就是指線路速度可以根據線路質量狀況的改變而改變。

·IDSL：即ISDNDSL，就是基於ISDN技術的DSL。

二、永久連接的安全弊端

寬帶Internet正在蓬勃發展，蒸蒸日上。有報道說，近5年內，中國要成為世界上寬帶接入最廉價的地方。因此，實現永久連接、隨時在線不再是遙遠的夢。同時，我們必須明白，永久連入Internet同樣意味著永遠連接上了侵入威脅。

總體上說，寬帶引進了2個方麵的安全挑戰：

1、黑客攻擊的程度大大增加

永久連接就意味著黑客可以在沒人注意的時間嚐試衝破安全保衛。另外，永久連接經常使用固定IP地址，這樣黑客就可以不時回來繼續他們的工作。

2、通過公網連接到其他網絡要求更高的安全性

黑客有很好用的工具可對Internet進行掃描以尋找不安全的計算機。事實上，寬帶用戶的計算機每天被黑客掃描2至3次一點都不足為奇。寬帶用戶最常見的錯誤是打開了Windows文件和打印機共享：

這就使攻擊者能夠訪問並進入計算機。一旦黑客控製了係統，他們就可以盜走敏感信息、蓄意破壞文件，甚至使用這個計算機對其它站點發動攻擊，例如前段時間在對Yahoo、eBay等站點發動的DoS、DDoS攻擊中，有一個最初未受懷疑的寬帶用戶被權威部門抓獲，他的PC被指控是用來發動這次攻擊的一個罪魁。多麼可怕啊！如果你已經是寬帶了，千萬要未雨綢繆，事先做好安全工作啊，別冤枉成替罪羊。

三、SOHO的安全問題

SOHO即SmallOfficeHomeOffice。連接寬帶Internet的SOHO應該設有防火牆，既允許用戶訪問Internet，又能防止外界對內部的未經授權的訪問。如果要運行一個Web服務器，還需要增加更複雜的安全策略以允許外部隻訪問那個Web服務器，而不能訪問網絡的其它部分。其他的安全功能還有：阻止對網絡發動DoS、DDos攻擊，防止從網絡內部發動DoS攻擊(即防止IP欺騙)，設置URL過濾規則阻止雇員訪問一些不適宜的Web站點。

其實，安全的問題根本在於人和宣傳。以前，大多數企業都對其公司連接Internet所帶來的安全問題滿不在乎，但隨著黑客對公司發動攻擊或黑客控製公司PC的事件不斷曝光，人們的安全意識顯然大大增強。例如，我們單位的同事在重新安裝係統後，第一個要安裝的應用軟件就會是反病毒軟件。否則，他們的心裏會沒有底。

現在，企業已經改變了自己購買並管理安全產品的方式，更願意接受讓中間商安裝並管理安全方案的工作方式，也就是所謂的服務外包。這會從很大程度上使用戶集中於管理層麵上，而不是瑣碎的技術細節中。