- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
宽带网安全规范设计
录入:edatop.com 点击:
一、宽带的概念
宽带是一种传输媒介,它通过不同的频道,在一根同轴电缆或光纤电缆上建立起多个独立的网络载体信号。一般意义上的宽带还指高速网络连接,例如,宽带Internet连接通常就是指使用电缆调制解调器(cable modem)或DSL(数字用户线路)的Internet连接。被称为宽带的连接,其速率一般都超过1Mbps(每秒1 兆比特)。
电缆调制解调器允许一个计算机或计算机网络通过有线电视网络连接到Internet。电缆调制解调器通常有一个以太网接口连接到计算机,速率可达5 Mbps以上。
DSL使用的是电话的常规铜线。与电缆调制解调器相比,DSL可为用户提供专用带宽,但其最大带宽一般要低于最大的电缆调制解调器。DSL有很多种,下面分别做一简介:
·ADSL:即非对称数字用户线路,这是一种新技术,在标准电话铜线上允许非常高的带宽。当安装DSL时,本地电话公司会给你的电话线上增加一个网络电缆双绞线。DSL线路可以同步传输声音和数字信息。根据线路的长度和环数以及线路质量状况,ADSL可以提供高达8 Mbps的下行速率 和1 Mbps的上行速率。
·SDSL:即对称数字用户线路,可在上行和下行两个方向上提供相同的速率。
·VDSL:通过光纤传输的DSL,就是ADSL的快速版本,短距离内的最大下行速率可达55Mbps,上行速率可达2.3Mbps。
·RADSL:即速率自适应DSL,就是指线路速度可以根据线路质量状况的改变而改变。
·IDSL:即ISDN DSL,就是基于ISDN技术的DSL。
二、永久连接的安全弊端
宽带Internet正在蓬勃发展,蒸蒸日上。有报道说,近5年内,中国要成为世界上宽带接入最廉价的地方。因此,实现永久连接、随时在线不再是遥远的梦。同时,我们必须明白,永久连入Internet同样意味着永远连接上了侵入威胁。
总体上说,宽带引进了2个方面的安全挑战:
1、黑客攻击的程度大大增加
永久连接就意味着黑客可以在没人注意的时间尝试冲破安全保卫。另外,永久连接经常使用固定IP地址,这样黑客就可以不时回来继续他们的工作。
2、通过公网连接到其他网络要求更高的安全性
黑客有很好用的工具可对Internet进行扫描以寻找不安全的计算机。事实上,宽带用户的计算机每天被黑客扫描2至3次一点都不足为奇。宽带用户最常见的错误是打开了Windows文件和打印机共享:
这就使攻击者能够访问并进入计算机。一旦黑客控制了系统,他们就可以盗走敏感信息、蓄意破坏文件,甚至使用这个计算机对其它站点发动攻击,例如前段时间在对Yahoo、eBay等站点发动的DoS、DDoS攻击中,有一个最初未受怀疑的宽带用户被权威部门抓获,他的PC被指控是用来发动这次攻击的一个罪魁。多么可怕啊!如果你已经是宽带了,千万要未雨绸缪,事先做好安全工作啊,别冤枉成替罪羊。
三、SOHO的安全问题
SOHO即Small Office Home Office。连接宽带Internet的SOHO应该设有防火墙,既允许用户访问Internet,又能防止外界对内部的未经授权的访问。如果要运行一个Web服务器,还需要增加更复杂的安全策略以允许外部只访问那个Web服务器,而不能访问网络的其它部分。其他的安全功能还有:阻止对网络发动DoS、DDos攻击,防止从网络内部发动DoS攻击(即防止IP欺骗),设置URL过滤规则阻止雇员访问一些不适宜的Web站点。
其实,安全的问题根本在于人和宣传。以前,大多数企业都对其公司连接Internet所带来的安全问题满不在乎,但随着黑客对公司发动攻击或黑客控制公司PC的事件不断曝光,人们的安全意识显然大大增强。例如,我们单位的同事在重新安装系统后,第一个要安装的应用软件就会是反病毒软件。否则,他们的心里会没有底。
现在,企业已经改变了自己购买并管理安全产品的方式,更愿意接受让中间商安装并管理安全方案的工作方式,也就是所谓的服务外包。这会从很大程度上使用户集中于管理层面上,而不是琐碎的技术细节中。
四、将企业安全界限扩展到分支机构和网上独立工作者
宽带连接最引人注目的用途就是允许分支机构和网上独立工作者(Telecommuters)用高速远程访问连接到公司的网络中。宽带连接与低速拨号线路相比可以显著降低访问的收费,因为后者要想连接到中心站点经常需要打长途电话。
使用IPSec加密技术的VPN(虚拟专用网络)是企业将其网络扩展到分支机构和网上独立工作者的重要方式。VPN使用公网如Internet作为网络传输途径,将公司站点、变动的工作人员和网上独立工作者安全地互相连接在一起。根据专家分析,VPN的费用大约相当于专用网络的一半,比帧中继便宜四分之一,将VPN用于远程访问连接可以节约企业开支30%到70%。
网上独立工作者在他们的PC上安装VPN客户软件,由它创建一个从PC到中心站点VPN网关的加密通道,从而实现连回公司网络的目的。但是,VPN客户软件现在也存在许多问题,这些问题包括:
·难于实现在大量远程PC上安装和更新网络软件。
·除了Windows以外,许多操作系统都缺乏VPN客户软件,例如Linux、Mac、Solaris、BSDI
·被用来做保密工作的远程PC缺乏安全性
·带来了新的安全突破口,黑客可通过对远程PC进行U-turn攻击从而破坏公司网络的安全。在一个U-turn攻击中,黑客获取了网上独立工作者的不安全PC的访问权,利用那个PC通过VPN通道连接到公司网络内部,从而使黑客能够充分利用公司网络并威胁企业的安全基础架构。
五、宽带网络安全方案设计技巧
如果你或你的单位已经实现了宽带Internet,强烈建议考虑并采用以下安全方案:
·防火墙:防火墙在两个网络之间执行一个访问控制策略。防火墙可以是软件,如Checkpoint、Symantec、CA ,也可以是硬件设备,如NetScreen、Watchguard、Sonicwall、 Nokia等。家庭用户可以使用个人防火墙,如Network ICE、Symantec等。
·反病毒软件:现在,一天没有反病毒软件,一天就不会踏实。强烈建议在宽带连接上使用反病毒软件,如Norton、 McAfee、TrendMicro、CA、瑞星、金山毒霸、北信源VRV 等。
·加密:对于特别敏感的通信,要考虑对PC上的通信进行加密。带有VPN保护的防火墙可以保护远程站点的敏感数据,并防止来自这些计算机的拒绝服务攻击。VPN、SSL提供了电子商务交易的安全方法。根据业务需要,可以采用PGP、PKI这样的产品。
·调制解调器安全:有时候,调制解调器的配置和验证信息会存储在它上面,有些会存储在计算机上。因此,最好咨询厂商以确定并保护这些信息。
·共享的电缆调制解调器连接:电缆网络经常由多个用户共享使用,这使得黑客可以使用嗅探器对信息传输进行监控。因此,要确定服务供应商是否将网络和设备升级到了DOCSIS (基于线缆数据传输服务接口标准)。
·内容检查:Java、JavaScript、ActiveX 等互动技术是宽带内容站点和Email的重要组成部分,同时也是黑客攻击的潜在媒体。建议在浏览器中和Email客户软件中禁止这些功能。
·系统安全:这方面的因素有许多,在此列举一些。
1、在不使用连接时应该退出网络并关掉PC电源。
2、许多聊天室客户软件都允许交换可执行文件,它们所带来的风险与Email客户软件是相同的,因此要尽量避免使用聊天室。
3、做好常规的系统备份,并保存一份启动盘。
4、为所有应用程序和OS及时安装补丁程序。
5、不要运行来历不明的程序,不要打开未知Email的附件。
6、除非完全必要,请关闭文件和打印共享。
7、登录id 和口令要8个字符以上,最好是文字和数字的组合。
六、结论
总而言之,一旦你宽带了,就必须清醒地意识到你是7天24小时地连接在网上了。只有将宽带访问技术与整体安全方案综合考虑,我们才可能安全地、放心地在高速网络上畅通行驶。
宽带是一种传输媒介,它通过不同的频道,在一根同轴电缆或光纤电缆上建立起多个独立的网络载体信号。一般意义上的宽带还指高速网络连接,例如,宽带Internet连接通常就是指使用电缆调制解调器(cable modem)或DSL(数字用户线路)的Internet连接。被称为宽带的连接,其速率一般都超过1Mbps(每秒1 兆比特)。
电缆调制解调器允许一个计算机或计算机网络通过有线电视网络连接到Internet。电缆调制解调器通常有一个以太网接口连接到计算机,速率可达5 Mbps以上。
DSL使用的是电话的常规铜线。与电缆调制解调器相比,DSL可为用户提供专用带宽,但其最大带宽一般要低于最大的电缆调制解调器。DSL有很多种,下面分别做一简介:
·ADSL:即非对称数字用户线路,这是一种新技术,在标准电话铜线上允许非常高的带宽。当安装DSL时,本地电话公司会给你的电话线上增加一个网络电缆双绞线。DSL线路可以同步传输声音和数字信息。根据线路的长度和环数以及线路质量状况,ADSL可以提供高达8 Mbps的下行速率 和1 Mbps的上行速率。
·SDSL:即对称数字用户线路,可在上行和下行两个方向上提供相同的速率。
·VDSL:通过光纤传输的DSL,就是ADSL的快速版本,短距离内的最大下行速率可达55Mbps,上行速率可达2.3Mbps。
·RADSL:即速率自适应DSL,就是指线路速度可以根据线路质量状况的改变而改变。
·IDSL:即ISDN DSL,就是基于ISDN技术的DSL。
二、永久连接的安全弊端
宽带Internet正在蓬勃发展,蒸蒸日上。有报道说,近5年内,中国要成为世界上宽带接入最廉价的地方。因此,实现永久连接、随时在线不再是遥远的梦。同时,我们必须明白,永久连入Internet同样意味着永远连接上了侵入威胁。
总体上说,宽带引进了2个方面的安全挑战:
1、黑客攻击的程度大大增加
永久连接就意味着黑客可以在没人注意的时间尝试冲破安全保卫。另外,永久连接经常使用固定IP地址,这样黑客就可以不时回来继续他们的工作。
2、通过公网连接到其他网络要求更高的安全性
黑客有很好用的工具可对Internet进行扫描以寻找不安全的计算机。事实上,宽带用户的计算机每天被黑客扫描2至3次一点都不足为奇。宽带用户最常见的错误是打开了Windows文件和打印机共享:
这就使攻击者能够访问并进入计算机。一旦黑客控制了系统,他们就可以盗走敏感信息、蓄意破坏文件,甚至使用这个计算机对其它站点发动攻击,例如前段时间在对Yahoo、eBay等站点发动的DoS、DDoS攻击中,有一个最初未受怀疑的宽带用户被权威部门抓获,他的PC被指控是用来发动这次攻击的一个罪魁。多么可怕啊!如果你已经是宽带了,千万要未雨绸缪,事先做好安全工作啊,别冤枉成替罪羊。
三、SOHO的安全问题
SOHO即Small Office Home Office。连接宽带Internet的SOHO应该设有防火墙,既允许用户访问Internet,又能防止外界对内部的未经授权的访问。如果要运行一个Web服务器,还需要增加更复杂的安全策略以允许外部只访问那个Web服务器,而不能访问网络的其它部分。其他的安全功能还有:阻止对网络发动DoS、DDos攻击,防止从网络内部发动DoS攻击(即防止IP欺骗),设置URL过滤规则阻止雇员访问一些不适宜的Web站点。
其实,安全的问题根本在于人和宣传。以前,大多数企业都对其公司连接Internet所带来的安全问题满不在乎,但随着黑客对公司发动攻击或黑客控制公司PC的事件不断曝光,人们的安全意识显然大大增强。例如,我们单位的同事在重新安装系统后,第一个要安装的应用软件就会是反病毒软件。否则,他们的心里会没有底。
现在,企业已经改变了自己购买并管理安全产品的方式,更愿意接受让中间商安装并管理安全方案的工作方式,也就是所谓的服务外包。这会从很大程度上使用户集中于管理层面上,而不是琐碎的技术细节中。
四、将企业安全界限扩展到分支机构和网上独立工作者
宽带连接最引人注目的用途就是允许分支机构和网上独立工作者(Telecommuters)用高速远程访问连接到公司的网络中。宽带连接与低速拨号线路相比可以显著降低访问的收费,因为后者要想连接到中心站点经常需要打长途电话。
使用IPSec加密技术的VPN(虚拟专用网络)是企业将其网络扩展到分支机构和网上独立工作者的重要方式。VPN使用公网如Internet作为网络传输途径,将公司站点、变动的工作人员和网上独立工作者安全地互相连接在一起。根据专家分析,VPN的费用大约相当于专用网络的一半,比帧中继便宜四分之一,将VPN用于远程访问连接可以节约企业开支30%到70%。
网上独立工作者在他们的PC上安装VPN客户软件,由它创建一个从PC到中心站点VPN网关的加密通道,从而实现连回公司网络的目的。但是,VPN客户软件现在也存在许多问题,这些问题包括:
·难于实现在大量远程PC上安装和更新网络软件。
·除了Windows以外,许多操作系统都缺乏VPN客户软件,例如Linux、Mac、Solaris、BSDI
·被用来做保密工作的远程PC缺乏安全性
·带来了新的安全突破口,黑客可通过对远程PC进行U-turn攻击从而破坏公司网络的安全。在一个U-turn攻击中,黑客获取了网上独立工作者的不安全PC的访问权,利用那个PC通过VPN通道连接到公司网络内部,从而使黑客能够充分利用公司网络并威胁企业的安全基础架构。
五、宽带网络安全方案设计技巧
如果你或你的单位已经实现了宽带Internet,强烈建议考虑并采用以下安全方案:
·防火墙:防火墙在两个网络之间执行一个访问控制策略。防火墙可以是软件,如Checkpoint、Symantec、CA ,也可以是硬件设备,如NetScreen、Watchguard、Sonicwall、 Nokia等。家庭用户可以使用个人防火墙,如Network ICE、Symantec等。
·反病毒软件:现在,一天没有反病毒软件,一天就不会踏实。强烈建议在宽带连接上使用反病毒软件,如Norton、 McAfee、TrendMicro、CA、瑞星、金山毒霸、北信源VRV 等。
·加密:对于特别敏感的通信,要考虑对PC上的通信进行加密。带有VPN保护的防火墙可以保护远程站点的敏感数据,并防止来自这些计算机的拒绝服务攻击。VPN、SSL提供了电子商务交易的安全方法。根据业务需要,可以采用PGP、PKI这样的产品。
·调制解调器安全:有时候,调制解调器的配置和验证信息会存储在它上面,有些会存储在计算机上。因此,最好咨询厂商以确定并保护这些信息。
·共享的电缆调制解调器连接:电缆网络经常由多个用户共享使用,这使得黑客可以使用嗅探器对信息传输进行监控。因此,要确定服务供应商是否将网络和设备升级到了DOCSIS (基于线缆数据传输服务接口标准)。
·内容检查:Java、JavaScript、ActiveX 等互动技术是宽带内容站点和Email的重要组成部分,同时也是黑客攻击的潜在媒体。建议在浏览器中和Email客户软件中禁止这些功能。
·系统安全:这方面的因素有许多,在此列举一些。
1、在不使用连接时应该退出网络并关掉PC电源。
2、许多聊天室客户软件都允许交换可执行文件,它们所带来的风险与Email客户软件是相同的,因此要尽量避免使用聊天室。
3、做好常规的系统备份,并保存一份启动盘。
4、为所有应用程序和OS及时安装补丁程序。
5、不要运行来历不明的程序,不要打开未知Email的附件。
6、除非完全必要,请关闭文件和打印共享。
7、登录id 和口令要8个字符以上,最好是文字和数字的组合。
六、结论
总而言之,一旦你宽带了,就必须清醒地意识到你是7天24小时地连接在网上了。只有将宽带访问技术与整体安全方案综合考虑,我们才可能安全地、放心地在高速网络上畅通行驶。