zhaol's blog

摘要：这篇文章写于2002年，宽带接入是当时电信运营商提升ARPU的重要手段，ADSL扩容如火如荼。当时提出的宽带安全接入的安全需求目前体现在了多种电信接入设备上。文章见： “安全的宽带接入” 赵粮，裘晓峰，《信息安全与通信保密》2002年第11期，总23期，p41－p42

1 安全的宽带接入

宽带小区迅速出现，已经成为大中城市居民接入互联网的一种重要形式。例如，当前北京、深圳、广州、杭州、成都等城市都已经出现多家运营公司争抢建设 宽带小区的现象。网络化社区也正在成为房地产商一个重要的宣传提升点。可以预见，随着大量新的居民小区的建设并投入使用，以宽带形式接入城域网的用户会大 量增加。并且，该类网络用户普遍受教育文化程度偏高，网络消费较高，对网络服务质量也要求较高。“安全”就是网络服务中的一个重要卖点。

[separator]

宽带接入有多种形式，例如ADSL、ISDN、Cable Modem、以太网等。其中，ISDN出现最早，但是由于电信市场策略的问题，迟迟没有启动，到现在已经错过了时机，并且ISDN的接入设备较为繁杂，也为用户的选用增添了困难。ADSL、Cable Modem形式上最为抢眼，媒体上也出现大量的讨论文章。由于体制和历史原因，技术和运营商出现了紧密地联系。一般说，电信公司推广ADSL，广电公司推广CableModem，新型的宽带公司推广以太接入的格局。

当前值得注意的是随着宽带城域网（MAN）的出现，越来越多的居民小区选择以太网布线来作为宽带接入手段。由于以太网设备的技术成熟和价格优势，使得这种方案在成本上面、用户的易用度等方面都占据了上风，尤其是在统一规划的、较为规范的新型居民小区中。

2 网络安全问题

宽带接入为互联网带来的影响是深远的。更多的用户可以更为快捷地使用互联网，可以开展更为广泛的网络业务，例如视频点播（VOD）、远程教育、远程医疗等。宽带接入的出现也直接催生了SOHO的相关需求。但是，宽带接入也使得互联网更加脆弱。

原本温柔的小溪都变得汹涌的时候，我们需要更为坚固的堤岸

去年广泛的DDOS攻击为互联网的安全问题敲响了警钟。大家都明确地体验了这种“流量聚集”的威力。笔者呼吁所有的领导层和系统管理员都重视网络安 全问题，保护自己就是保护互联网；笔者四处鼓吹“整体安全”的概念。当前各个电信公司、银行、证券公司、专业网络等都开始意识到了安全的意义，应该说这是 整个业界努力推动的成果。

但是，笔者非常忧虑的看到商业网络安全水平的提升带来的整体安全进步很有可能会被迅速出现的、更加脆弱的宽带接入网络所抵消，甚至变得更为脆弱。

现在，笔者发现另外一个市场已经悄悄的出现了。那就是宽带小区的网络安全市场。

从去年开始，SonicWall[1], Cisco, 3Com[2], D-Link[3]等大小公司都开始推出面向宽带接入的网络安全产品。到现在为止短短一年左右的时间里，SOHO一词响遍互联网，SOHO网络安全产品竟变得琳琅满目。这些产品的特点是功能全面（路由器、Modem、集线器、防火墙、入侵检测）、外观小巧等，价格在100 ~ 600$之间。

    宽带小区网络安全需求的特点是：不具备统一的安全策略，使用者网络技术水平不一，非常关心价格因素，URL过滤、反病毒等内容安全要求较为强烈。。。

但是，国内的产品研发相对来说滞后了产不多一年的时间。虽然年前有关嵌入式系统的讨论日炽，但至今尚未见国产SOHO的安全产品出现。但很明确的是这个市场已经在快速的孕育中了。

这个出现的市场应该引起国内安全界的注意。它具有自己的特点，我们不能仅仅使用原来的产品和解决方案就能来满足它的需求。

图1：单用户方案

3 解决方案

可以看到，当前的面向接入用户的网络安全产品集中在ADSL上面，并且主导思想是每个用户使用自己的接入安全设备（一户一机）。安全产品按照小家电模式销 售，产品直接卖到最终用户手中。应该说，这是一种较为灵活的解决方案。可以几乎无限制的扩大规模。但是面临的问题是较高的造价成本和较为复杂的售后服务问 题。

注意，另外的一种解决方案就是软件个人防火墙方案。这种方案布署灵活，成本较低，例如安氏新近推出的PCDefender就集成了个人防火墙和个人IDS 两种最主要的安全功能。但是个人防火墙方案也存在不足，例如对使用者的技术水平要求较高，占用系统资源，可能引起与其它应用程序的冲突而导致系统不稳定。

图2：集中式设备、个性化策略方案

另外的一种思路是集中安装、管理的安全解决方案。每个家庭中没有独立的安全设备，安全设备安装在小区的网络中心，有管理员统一管理。但是，每个用户可以自 主控制自己的网络访问策略，小区为用户提供较为直观的模版和缺省安全策略服务。特别是在综合布线的以太网小区这种方式具有成本和管理方面的优势。

但是，值得注意的是当前的主流防火墙设备几乎全部没有类似的功能设计：每个用户（端口）可以按照自己的愿望设置安全策略。

这里，考虑到小区用户之间可能存在的攻击等安全威胁，需要做到所有端口之间的访问在缺省方式下是被禁止的（端口之间的隔离可以依靠布线系统的交换机的 VLAN功能来实现），而用户可以自己定义允许访问自己的用户（地址）、允许进出的信息内容等。这为我们的安全设备提出了新的挑战。

--------------------------------------------------------------------------------

• [1] http://www.amazon.com/exec/obidos/ASIN/B000040P1X/ref=pd_sbs_e_2/104-8228550-4651126
• [2] http://www.amazon.com/exec/obidos/ASIN/B00004Z9PO/qid=985071929/sr=1-2/ref=sc_e_3/104-8228550-4651126
• [3] http://www.amazon.com/exec/obidos/ASIN/B0000504DH/qid=985071929/sr=1-1/ref=sc_e_2/104-8228550-4651126