随着宽带网络的迅速发展,网络规模的快速膨胀,宽带进入了千万寻常家庭。与此同时网络的安全问题日益显现,引起了人们的关注。在诸多网络安全防护措施中,如何抵制和预防针对种种漏洞的恶意攻击尤为重要。以最近爆发的几次网络危机来看,既有利用windows操作系统漏洞制作的冲击波病毒和蠕虫病毒以及它们的变种,也有利用TCP/IP协议本身漏洞制作的DoS(拒绝服务)攻击。另外,用户随时都有可能受到一些有着不良目的的木马攻击,导致信息被窃、数据丢失等问题。
目前用户的安全意识已大大提高,为保护数据安全,人们及时安装系统的补丁程序,积极安装防毒程序并定时升级病毒库,或利用网上各种防火墙资源保护电脑的安全使用,例如WINXP自带的防火墙,Norton的个人防火墙等等。但这种安全保护措施却无法保护工作在路由方式下的ADSL设备。当ADSL设备工作在路由方式的时候,PPPoE获得的公网IP将直接绑定在ADSL设备上,这使得ADSL设备位于用户电脑安装的防火墙之前,赤裸裸的暴露在公网中而没有任何保护。
最近在全国发生了大范围的病毒攻击ADSL终端事件,广东、广西、上海、福建、天津、江苏、黑龙江等地都出现了这种情况,不少ADSL终端都遭遇了断流及死机的问题,许多品牌的ADSL终端用户上网都遇到了障碍,给运营商、用户带来了损失。据专家分析,ADSL终端作为路由器使用时,IP地址没有得到防火墙的保护是此次大量ADSL终端遭受病毒攻击的根本原因。ADSL终端的安全问题再次为我们敲响了警钟。
避免ADSL设备遭受网络攻击一种方法是将ADSL设备改成桥接工作方式而不是路由方式,或者是在ADSL设备之前放置一台额外的硬件防火墙设备,该防火墙不仅能拦截入侵的企图和堵住系统漏洞,还可以防止木马的侵害。
笔者最近了解到,有少数具有硬件防火墙功能的ADSL终端在此次冲击中安然无恙,比如上海贝尔阿尔卡特的ST515、ST511、ST511E等ADSL产品,其原因在于一种基于硬件的包过滤方式的防火墙机制,ADSL终端以路由方式工作,获得的公网IP地址受到防火墙的防护,外界无法对终端发起攻击从而有效地保护了终端以及局域网内的机器的安全。同时由于是硬件防火墙,相对与以软件方式实现的防火墙受到攻击的机会大大降低。
此次遍及全国的病毒攻击事件让人们认识到,在选择运行于电信网络中、关系到业务是否正常提供的ADSL终端时,应该多从长远运营、长期成本的角度考虑决策,尤其不能忽视网络安全等关键因素。