寬帶接入網(wǎng)是目前最為常見的一種接入方式，于是我研究了一下寬帶接入網(wǎng)的設(shè)計(jì)理念和標(biāo)準(zhǔn)，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。寬帶接入網(wǎng)是一種傳輸媒介，它通過(guò)不同的頻道，在一根同軸電纜或光纖電纜上建立起多個(gè)獨(dú)立的網(wǎng)絡(luò)載體信號(hào)。一般意義上的寬帶接入網(wǎng)還指高速網(wǎng)絡(luò)連接，例如，寬帶Internet連接通常就是指使用電纜調(diào)制解調(diào)器（cable modem）或DSL（數(shù)字用戶線路）的Internet連接。被稱為寬帶接入網(wǎng)的連接，其速率一般都超過(guò)1Mbps（每秒1 兆比特）。

電纜調(diào)制解調(diào)器允許一個(gè)計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)通過(guò)有線電視網(wǎng)絡(luò)連接到Internet。電纜調(diào)制解調(diào)器通常有一個(gè)以太網(wǎng)接口連接到計(jì)算機(jī)，速率可達(dá)5 Mbps以上。DSL使用的是電話的常規(guī)銅線。與電纜調(diào)制解調(diào)器相比，DSL可為用戶提供專用帶寬，但其最大帶寬一般要低于最大的電纜調(diào)制解調(diào)器。DSL有很多種，下面分別做一簡(jiǎn)介：
◆ADSL：即非對(duì)稱數(shù)字用戶線路，這是一種新技術(shù)，在標(biāo)準(zhǔn)電話銅線上允許非常高的帶寬。當(dāng)安裝DSL時(shí)，本地電話公司會(huì)給你的電話線上增加一個(gè)網(wǎng)絡(luò)電纜雙絞線。DSL線路可以同步傳輸聲音和數(shù)字信息。根據(jù)線路的長(zhǎng)度和環(huán)數(shù)以及線路質(zhì)量狀況，ADSL可以提供高達(dá)8 Mbps的下行速率 和1 Mbps的上行速率。
◆SDSL：即對(duì)稱數(shù)字用戶線路，可在上行和下行兩個(gè)方向上提供相同的速率。
◆VDSL：通過(guò)光纖傳輸?shù)腄SL，就是ADSL的快速版本，短距離內(nèi)的最大下行速率可達(dá)55Mbps，上行速率可達(dá)2.3Mbps。
◆RADSL：即速率自適應(yīng)DSL，就是指線路速度可以根據(jù)線路質(zhì)量狀況的改變而改變。
◆IDSL：即ISDN DSL，就是基于ISDN技術(shù)的DSL。

永久連接的安全弊端

寬帶接入網(wǎng)Internet正在蓬勃發(fā)展，蒸蒸日上。有報(bào)道說(shuō)，近5年內(nèi)，中國(guó)要成為世界上寬帶接入網(wǎng)最廉價(jià)的地方。因此，實(shí)現(xiàn)永久連接、隨時(shí)在線不再是遙遠(yuǎn)的夢(mèng)。同時(shí)，我們必須明白，永久連入Internet同樣意味著永遠(yuǎn)連接上了侵入威脅。總體上說(shuō)，寬帶引進(jìn)了2個(gè)方面的安全挑戰(zhàn)：

1、黑客攻擊的程度大大增加
永久連接就意味著黑客可以在沒(méi)人注意的時(shí)間嘗試沖破安全保衛(wèi)。另外，永久連接經(jīng)常使用固定IP地址，這樣黑客就可以不時(shí)回來(lái)繼續(xù)他們的工作。

2、通過(guò)公網(wǎng)連接到其他網(wǎng)絡(luò)要求更高的安全性
黑客有很好用的工具可對(duì)Internet進(jìn)行掃描以尋找不安全的計(jì)算機(jī)。事實(shí)上，寬帶接入網(wǎng)用戶的計(jì)算機(jī)每天被黑客掃描2至3次一點(diǎn)都不足為奇。寬帶接入網(wǎng)用戶最常見的錯(cuò)誤是打開了Windows文件和打印機(jī)共享：這就使攻擊者能夠訪問(wèn)并進(jìn)入計(jì)算機(jī)。一旦黑客控制了系統(tǒng)，他們就可以盜走敏感信息、蓄意破壞文件，甚至使用這個(gè)計(jì)算機(jī)對(duì)其它站點(diǎn)發(fā)動(dòng)攻擊，例如前段時(shí)間在對(duì)Yahoo、eBay等站點(diǎn)發(fā)動(dòng)的DoS、DDoS攻擊中，有一個(gè)最初未受懷疑的寬帶用戶被權(quán)威部門抓獲，他的PC被指控是用來(lái)發(fā)動(dòng)這次攻擊的一個(gè)罪魁。多么可怕啊！如果你已經(jīng)是寬帶了，千萬(wàn)要未雨綢繆，事先做好安全工作啊，別冤枉成替罪羊。

SOHO的安全問(wèn)題

SOHO即Small Office Home Office。連接寬帶Internet的SOHO應(yīng)該設(shè)有防火墻，既允許用戶訪問(wèn)Internet，又能防止外界對(duì)內(nèi)部的未經(jīng)授權(quán)的訪問(wèn)。如果要運(yùn)行一個(gè)Web服務(wù)器，還需要增加更復(fù)雜的安全策略以允許外部只訪問(wèn)那個(gè)Web服務(wù)器，而不能訪問(wèn)網(wǎng)絡(luò)的其它部分。其他的安全功能還有：阻止對(duì)網(wǎng)絡(luò)發(fā)動(dòng)DoS、DDos攻擊，防止從網(wǎng)絡(luò)內(nèi)部發(fā)動(dòng)DoS攻擊(即防止IP欺騙)，設(shè)置URL過(guò)濾規(guī)則阻止雇員訪問(wèn)一些不適宜的Web站點(diǎn)。其實(shí)，安全的問(wèn)題根本在于人和宣傳。以前，大多數(shù)企業(yè)都對(duì)其公司連接Internet所帶來(lái)的安全問(wèn)題滿不在乎，但隨著黑客對(duì)公司發(fā)動(dòng)攻擊或黑客控制公司PC的事件不斷曝光，人們的安全意識(shí)顯然大大增強(qiáng)。例如，我們單位的同事在重新安裝系統(tǒng)后，第一個(gè)要安裝的應(yīng)用軟件就會(huì)是反病毒軟件。否則，他們的心里會(huì)沒(méi)有底。

現(xiàn)在，企業(yè)已經(jīng)改變了自己購(gòu)買并管理安全產(chǎn)品的方式，更愿意接受讓中間商安裝并管理安全方案的工作方式，也就是所謂的服務(wù)外包。這會(huì)從很大程度上使用戶集中于管理層面上，而不是瑣碎的技術(shù)細(xì)節(jié)中。

將企業(yè)安全界限擴(kuò)展到分支機(jī)構(gòu)和網(wǎng)上獨(dú)立工作者

寬帶連接最引人注目的用途就是允許分支機(jī)構(gòu)和網(wǎng)上獨(dú)立工作者（Telecommuters）用高速遠(yuǎn)程訪問(wèn)連接到公司的網(wǎng)絡(luò)中。寬帶連接與低速撥號(hào)線路相比可以顯著降低訪問(wèn)的收費(fèi)，因?yàn)楹笳咭�想連接到中心站點(diǎn)經(jīng)常需要打長(zhǎng)途電話。

使用IPSec加密技術(shù)的VPN（虛擬專用網(wǎng)絡(luò)）是企業(yè)將其網(wǎng)絡(luò)擴(kuò)展到分支機(jī)構(gòu)和網(wǎng)上獨(dú)立工作者的重要方式。VPN使用公網(wǎng)如Internet作為網(wǎng)絡(luò)傳輸途徑，將公司站點(diǎn)、變動(dòng)的工作人員和網(wǎng)上獨(dú)立工作者安全地互相連接在一起。根據(jù)專家分析，VPN的費(fèi)用大約相當(dāng)于專用網(wǎng)絡(luò)的一半，比幀中繼便宜四分之一，將VPN用于遠(yuǎn)程訪問(wèn)連接可以節(jié)約企業(yè)開支30％到70％。網(wǎng)上獨(dú)立工作者在他們的PC上安裝VPN客戶軟件，由它創(chuàng)建一個(gè)從PC到中心站點(diǎn)VPN網(wǎng)關(guān)的加密通道，從而實(shí)現(xiàn)連回公司網(wǎng)絡(luò)的目的。但是，VPN客戶軟件現(xiàn)在也存在許多問(wèn)題，這些問(wèn)題包括：

◆難于實(shí)現(xiàn)在大量遠(yuǎn)程PC上安裝和更新網(wǎng)絡(luò)軟件。
◆除了Windows以外，許多操作系統(tǒng)都缺乏VPN客戶軟件，例如Linux、Mac、Solaris、BSDI
◆被用來(lái)做保密工作的遠(yuǎn)程PC缺乏安全性
◆帶來(lái)了新的安全突破口，黑客可通過(guò)對(duì)遠(yuǎn)程PC進(jìn)行U-turn攻擊從而破壞公司網(wǎng)絡(luò)的安全。在一個(gè)U-turn攻擊中，黑客獲取了網(wǎng)上獨(dú)立工作者的不安全PC的訪問(wèn)權(quán)，利用那個(gè)PC通過(guò)VPN通道連接到公司網(wǎng)絡(luò)內(nèi)部，從而使黑客能夠充分利用公司網(wǎng)絡(luò)并威脅企業(yè)的安全基礎(chǔ)架構(gòu)。

寬帶網(wǎng)絡(luò)安全方案設(shè)計(jì)技巧

如果你或你的單位已經(jīng)實(shí)現(xiàn)了寬帶Internet，強(qiáng)烈建議考慮并采用以下安全方案：
◆防火墻：防火墻在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行一個(gè)訪問(wèn)控制策略。防火墻可以是軟件，如Checkpoint、Symantec、CA ，也可以是硬件設(shè)備，如NetScreen、Watchguard、Sonicwall、 Nokia等。家庭用戶可以使用個(gè)人防火墻，如Network ICE、Symantec等。

◆反病毒軟件：現(xiàn)在，一天沒(méi)有反病毒軟件，一天就不會(huì)踏實(shí)。強(qiáng)烈建議在寬帶接入網(wǎng)連接上使用反病毒軟件，如Norton、 McAfee、TrendMicro、CA、瑞星、金山毒霸、北信源VRV 等。

◆加密：對(duì)于特別敏感的通信，要考慮對(duì)PC上的通信進(jìn)行加密。帶有VPN保護(hù)的防火墻可以保護(hù)遠(yuǎn)程站點(diǎn)的敏感數(shù)據(jù)，并防止來(lái)自這些計(jì)算機(jī)的拒絕服務(wù)攻擊。VPN、SSL提供了電子商務(wù)交易的安全方法。根據(jù)業(yè)務(wù)需要，可以采用PGP、PKI這樣的產(chǎn)品。

◆調(diào)制解調(diào)器安全：有時(shí)候，調(diào)制解調(diào)器的配置和驗(yàn)證信息會(huì)存儲(chǔ)在它上面，有些會(huì)存儲(chǔ)在計(jì)算機(jī)上。因此，最好咨詢廠商以確定并保護(hù)這些信息。

◆共享的電纜調(diào)制解調(diào)器連接：電纜網(wǎng)絡(luò)經(jīng)常由多個(gè)用戶共享使用，這使得黑客可以使用嗅探器對(duì)信息傳輸進(jìn)行監(jiān)控。因此，要確定服務(wù)供應(yīng)商是否將網(wǎng)絡(luò)和設(shè)備升級(jí)到了DOCSIS (基于線纜數(shù)據(jù)傳輸服務(wù)接口標(biāo)準(zhǔn))。

◆內(nèi)容檢查：Java、JavaScript、ActiveX 等互動(dòng)技術(shù)是寬帶接入網(wǎng)內(nèi)容站點(diǎn)和Email的重要組成部分，同時(shí)也是黑客攻擊的潛在媒體。建議在瀏覽器中和Email客戶軟件中禁止這些功能。

◆系統(tǒng)安全：這方面的因素有許多，在此列舉一些。