🐓 计算机网络的发展
计算机网络是计算机技术和通信技术日益发展和密切结合的产物。
1.诞辰阶段:计算机网络最先被使用是在20世纪60年代中期,第一台计算机诞生,这也标志着人类正式踏入计算机时代。但这种计算机时代仅仅体现在当时的通讯系统中,当时的一台计算机并没有现代计算机中的CPU和内存等核心部件,通过一台计算机为核心,其他通过网络连接到其他终端构成简单的信息传输。同时,为以后的计算机网络的发展奠定了一定的基础。
2.形成阶段:到20世纪60年代中期,出现第二代计算机,第二代计算机相比第一代计算机有着较大的性能提升。首先,它不再仅仅通过一台计算机而是多台计算机来实现信息的传输,并且,各计算机直接可以进行资源共享。资源共享是第二代计算机的一大突破和创新,它体现了计算机网络最为核心的思想作用,第二代计算机已基本具有计算机网络的基本功能,形成了最早的计算机网络系统。
3.互联互通阶段:随着计算机网络的发展,人们开始意识到将计算机网络连接在一起的需求,于是开始出现了一些网络协议和标准,以便在不同的计算机网络之间进行通信。在这个阶段,出现了许多计算机网络协议和标准,如TCP/IP协议、HTTP协议等,这些协议和标准的出现使得不同的计算机网络可以互联互通,进一步推动了计算机网络的发展。
4.高速网络技术阶段:进入20世纪90年代以后,随着局域网技术发展成熟和光纤及高速网络技术的出现,整个网络就像一个对用户透明的大的计算机系统,发展为以因特网(Internet)为代表的互联网。目前,已经有了许多管理信息系统、办公自动化系统等,通过这些系统可以实现日常工作的集中管理,提高工作效率,增加经济效益。同时,网络技术的发展也使得分布式计算成为可能。
🐓 计算机网络的功能
1.数据通信:计算机网络提供了各种数据通信服务,如传真、电子邮件、电子数据交换(EDI)、电子公告牌(BBS)、远程登录和浏览等。
2.资源共享:计算机网络中的用户可以共享网络中的各种资源,如硬件资源(各种类型的计算机、大容量存储设备、计算机外部设备等)、软件资源(各种应用软件、工具软件、系统开发所用的支撑软件等)、数据资源(数据库文件、数据库、办公文档资料、企业生产报表等)和信道资源(通信信道)。
3.提高计算机的可靠性和可用性:网络中的每台计算机都可以作为其他计算机的后备机,当某台计算机出现故障时,它的任务可以由其他计算机代为完成,从而避免单机情况下一台计算机故障导致整个系统瘫痪的现象,提高系统的可靠性。同时,当网络中的某台计算机负担过重时,网络可以将新的任务交给较空闲的计算机完成,均衡负载,从而提高每台计算机的可用性。
4.分布式处理:计算机网络可以通过算法将大型的综合性问题交给不同的计算机同时进行处理,用户可以根据需要合理选择网络资源,就近快速地进行处理。
5.集中管理:计算机网络技术的发展和应用已经使得现代办公、经营管理等发生了很大的变化。通过这些系统可以实现日常工作的集中管理,提高工作效率,增加经济效益。
计算机网络按照数据通信和数据处理的功能可分为两层:内层通信子网和外层资源子网。
通信子网的节点计算机和高速通信通信线路组成独立的数据系统,承担全网的数据传输,交换,加工和交换等通信处理工作,将一台计算机的输出信息传送给另一台计算机。
资源子网包括计算机,终端,通信子网接口设备,外部设备以及各种软件资源,负责全网的数据处理和向网络用户提供网络资源和网络服务。
🐓 计算机网络的分类
1.按覆盖范围分类:
局域网(LAN):局域网是一种在小区域内使用的网络,覆盖范围通常局限在10千米范围之内,属于一个单位或部门组建的小范围网。
城域网(MAN):城域网是作用范围在广域网与局域网之间的网络,其网络覆盖范围通常可以延伸到整个城市。
广域网(WAN):广域网是一种远程网,涉及长距离的通信,覆盖范围可以是个国家或多个国家,甚至整个世界。
2.按拓扑结构分类:
总线型:多台机器共用一条传输信道,信道利用率较高。
环型:实时性较好(信息在网中传输的最大时间固定)。
星型:结构简单、控制简单、建网容易、方便布线。
树型:易于扩展、维护和管理。
网状型:可靠性高、稳定性好、传输速率高。
3.按传输介质分类:
有线网:采用同轴电缆或双绞线来连接的计算机网络。
光纤网:采用光导纤维做传输介质,光纤传输距离长,传输率高,可达数千兆bps,抗干扰能力强,不会受到电子监听设备的监听,是高安全性网络的理想选择。
无线网:采用空气做传输介质,用电磁波作为载体来传输数据,联网方式灵活方便。
4.按应用范围分类:
公用网:向全社会开放的网络,可供各行各业和不同地域的用户使用。
专用网:由某个部门或某个团体自己建设和使用的专用网络,一般不与外部网络互联,也很少向社会公众开放。
5.按是否遵循国际标准分类:
开放式系统互联模型(OSI)网络:遵循国际标准化协议的网络。
非OSI网络:不遵循国际标准化协议的网络。
🐓 网络拓扑结构
网络拓扑结构是指网络中通信线路和设备的分布情况以及连接状态所形成的物理布局。常见的网络拓扑结构包括总线型、星型、环型、树型、网状型和混合型等。
总线型拓扑结构采用一条主干电缆对周围节点进行连接,各节点通过串联的方式连接在总线上。这种结构简单,易于扩展和维护,但可靠性较低,且信息传输速率较慢。
星型拓扑结构将各个节点以星型方式连接成网,中央节点执行集中式通信控制策略。这种结构通信简单方便,控制较为集中,便于管理维护,但中央节点是网络的瓶颈,一旦出现故障会导致整个网络的瘫痪。
环型拓扑结构由各节点首尾相连形成一个闭合的环路,数据在环路中沿着一个方向在各个节点间传输。这种结构简单,信息传输效率较高,但扩展和维护较为困难。
树型拓扑结构可以理解为总线型或星型拓扑结构的扩展形式,适用于大规模网络的连接和管理。这种结构层次分明,易于扩展和维护,但通信线路利用率较低。
网状型拓扑结构将节点之间的线路进行网状连接,有效提高了线路之间信息传递的可靠性。但这种结构较为复杂,维护和管理难度较大,需要高度的技术水平和管理能力。
混合型拓扑结构则是由以上几种拓扑结构混合而成,兼具各种拓扑结构的优点和缺点。
🐓 OSI七层参考模型
OSI(Open System Interconnect),即开放式系统互连,是ISO组织在1985年研究的网络互连模型。该体系结构标准定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层),即OSI开放系统互连参考模型。
这七层模型由高到低依次为:
1.Application(应用层):为用户提供应用程序,处理用户请求,实现网络提供的各种服务。
2.Presentation(表示层):用于数据格式化和数据加密,确保不同系统之间的可靠通信。
3.Session(会话层):负责建立、管理和终止会话,以及同步不同系统之间的数据。
4.Transport(传输层):提供端到端的数据传输服务,确保数据的完整性和可靠性。
5.Network(网络层):负责数据的路由和转发,确保数据能够到达目标地址。
6.DataLink(数据链路层):负责将数据划分为若干个数据帧,并在发送端和接收端之间进行错误检测和流量控制。
7.Physical(物理层):定义了电气、机械、过程和功能标准,规定了物理连接的接口规范。
🐓 网络互连设备
网络互连设备是指在网络中用于连接不同设备或网络的设备。根据不同的层次,网络互连设备可以分为传输介质互连设备、物理层互连设备、数据链路层互连设备、网络层互连设备和应用层互连设备等五类。
1.传输介质互连设备:包括T型连接器、收发器、屏蔽或非屏蔽双绞线连接器等,用于连接传输介质,实现信号的传输。
2.物理层互连设备:如中继器,工作在物理层,用于接收并识别网络信号,再生和转发信号,扩展网络的覆盖范围。
3.数据链路层互连设备:如网桥,工作在数据链路层(MAC子层),用于连接不同传输介质的网段,实现数据链路层的互联。
4.网络层互连设备:如路由器,工作在网络层,用于连接不同网络协议的网络,实现协议的转换和数据的转发。
5.应用层互连设备:如网关,用于连接不同应用层的网络,实现不同应用协议的转换和数据的传输。
🐓 网络传输介质
网络传输介质是指在网络中发送方与接收方之间的物理通路,是网络中数据传输的载体。
有线传输介质是指在两个通信设备之间实现的物理连接部分,能将信号从一方传输到另一方,常见的有线传输介质包括双绞线、同轴电缆和光纤等。其中,双绞线和同轴电缆传输电信号,光纤传输光信号。
无线传输介质则是指我们周围的自由空间,利用无线电波在自由空间的传播可以实现多种无线通信。在自由空间传输的电磁波根据频谱可将其分为无线电波、微波、红外线、激光等,信息被加载在电磁波上进行传输。
🐓 局域网组成部件
1.传输介质:局域网中常用的传输介质有双绞线、同轴电缆、光纤等。这些传输介质负责将数据从一个设备传输到另一个设备。
2.网卡:网卡也称为网络适配器或网络接口卡,它是计算机连接到局域网的必备设备,用于实现数据信号的转换和传输。
3.网络互联设备:常见的网络互联设备包括中继器、集线器、交换机和路由器等。这些设备用于连接不同的计算机和工作站,实现数据的交换和传输。
4.服务器:服务器是局域网的核心设备,负责提供各种网络服务和管理功能,如文件共享、打印服务、数据库管理等。
5.工作站:工作站是连接到局域网的计算机,用户可以通过工作站访问网络资源、与其他设备通信等。
6.网络操作系统:网络操作系统是控制和管理局域网资源的软件,提供了诸如文件和打印服务、电子邮件、数据库访问等功能。
🐓 协议
协议是网络中(包括互联网)传递、管理信息的一些规范,如同人与人之间相互交流需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。常见的协议包括TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
🐓 网络的标准
局域网的标准是由IEEE(美国电器电子工程师协会)制定的IEEE 802标准系列。该系列标准详细规定了局域网的物理层和数据链路层的介质访问控制协议,以及其他与局域网有关的管理和维护标准。
IEEE 802.1标准定义了局域网体系结构、网络互连以及网络管理与性能测试等内容;IEEE 802.2标准定义了逻辑链路控制子功能与服务;IEEE 802.3标准定义了CSMA/CD总线介质访问控制子层和物理层规范,并定义了四种不同介质的10mb/s的以太网技术规范。
🐓 决定局域网特性的主要技术
决定局域网特性的主要技术要素包括网络拓扑结构、传输介质与介质访问控制方法。其中,网络拓扑结构决定了网络的物理布局和通信方式,传输介质决定了数据传输的速度和可靠性,而介质访问控制方法则涉及到网络中的设备如何共享资源和管理冲突。
在局域网中,常见的网络拓扑结构有总线型、星型、环型和树型等,这些拓扑结构各有优缺点,适用于不同的应用场景。传输介质则包括同轴电缆、双绞线、光纤等,不同的传输介质具有不同的传输速度和传输距离。介质访问控制方法则是控制网络中设备如何访问和传输数据的重要技术,常见的介质访问控制方法包括CSMA/CD和Token Ring等。
🐓 局域网协议
局域网协议是网络中(包括互联网)传递、管理信息的一些规范,如同人与人之间相互交流需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。局域网协议主要解决局域网下面的三层功能,包括IEEE 802.1标准、IEEE 802.2标准和IEEE 802.3标准等。常见的局域网协议包括TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
局域网协议的主要功能是在多种局域网介质上的通信,它定义了在局域网体系结构网络互连以及网络管理与性能测试等方面的规则。其中,IEEE 802.1标准定义了局域网体系结构网络互连以及网络管理与性能测试;IEEE 802.2标准定义了逻辑链路控制子功能与服务;IEEE 802.3标准定义了CSMA/CD总线介质访问控制子层和物理层规范,并定义了四种不同介质的10mb/s的以太网技术规范。
🐓 广域网协议
广域网协议主要用于不同地区的局域网或城域网的计算机通信,通常覆盖较大的物理范围,能够连接多个地区、城市和国家,甚至横跨几个洲,形成国际性的远程网络。广域网协议包括高级数据链路控制协议、点到点协议、数字数据网、综合业务数字网、数字用户线、X·25协议等。其中,点到点协议是一种简单的连接形式,每个连接设备独占连接线路,线路利用率较低,但稳定性较好。X·25协议是一种分组交换方式,多个网络设备共享一条点到点的连接,通过虚电路提供端到端的连接,通常经过分组交换网络进行传输。
HDLC协议是一种高级数据链路控制协议,是Cisco路由器默认的封装协议,主要用于同步网上传输数据、面向比特的数据链路层协议。它采用全双工通信,所有帧采用CRC检测,对信息帧进行顺序编号,可以防止漏收或重份,传输可靠性高。
PPP协议是一种点对点协议,是华为路由器上的缺省封装,主要用于解决动态IP和差错检验问题,只支持全双工链路。它使用帧格式,并且可支持多种网络层协议,每个不同的网络层协议都要有一个相应的NCP来配置,为网络层协议建立和配置逻辑连接。
帧中继交换网是一种分组交换方式,是X.25分组交换网的改进,以虚电路的方式工作。它通常经过分组交换网络,由电信运营商提供。这种交换方式可以实现动态分配带宽,提高网络性能和可靠性。
异步传输模式是一种广域网协议,用于在不同的局域网或城域网之间进行通信。它采用四层模型,包括物理层、数据链路层、网络层和应用层,其中数据链路层分为介质访问控制(MAC)子层和逻辑链路控制(LLC)子层。异步传输模式使用53字节的信元作为基本交换单元,每个信元由5个字节的信元头和48个字节的数据部分组成。在通信过程中,每个信元不需要同步,起始位和停止位用于标识每个字节的开始和结束,使用额外的起始位和停止位会导致通信效率降低。
🐓 TCP/IP协议族特性
TCP/IP协议族是一组协议的代名词,包括许多别的协议,组成了TCP/IP协议簇。
1.标准化和开放性:TCP/IP协议是一个被广泛使用和开放的网络协议,其标准化和开放性使其得到了全球普遍应用的推广。
2.分层结构:TCP/IP协议是一个分层协议,由四个层次组成,每个层次都有不同的功能和任务。
3.可靠性和性能:TCP/IP协议的传输层TCP协议,提供了高可靠的数据传输服务,保证数据的完整性和顺序性,并且具有流量控制和拥塞控制等机制。同时,它的UDP协议执行速度更快,适用于一些速度较快、但数据不需要得到保证的情况。
4.路由功能:TCP/IP协议的网络层采用IP协议,具有路由功能,它能够识别不同的网络和主机,并且为数据包选择路由和路径。路由算法可以根据不同的负载和网络拓扑结构,使网络具有较好的可扩展性和适应性。
5.灵活性和可扩展性:TCP/IP协议具有较强的灵活性和可扩展性,它可以方便地适应不同的开发需求和网络应用环境。
6.松散耦合:TCP/IP协议族的各个协议相互独立,可以根据需求选择不同的协议。
7.可靠性:TCP/IP协议提供可靠的数据传输机制,通过确认和重传等机制保证数据的可靠性。
🐓 TCP/IP模型
1.链路层:负责封装和解封装IP报文,发送和接受ARP/RARP报文等。
2.网络层:负责路由以及把分组报文发送给目标网络或主机。
3.传输层:负责对报文进行分组和重组,并以TCP或UDP协议格式封装报文。
4.应用层:负责向用户提供应用程序,比如HTTP、FTP、Telnet、DNS、SMTP等。
🐓 Internet地址格式
Internet地址格式是指用于标识互联网中计算机或设备的数字标识符。在TCP/IP协议族中,IP地址是用于标识网络中计算机或设备的唯一地址。根据IP地址的长度和表示方法,IP地址可以分为IPv4和IPv6两种格式。
IPv4地址采用32位二进制数表示,由四个0到255的十进制数组成,并且以点分隔开,例如:192.168.1.1。IPv4地址空间被划分为不同的类别,包括A、B、C、D和E五类。其中,私有IP地址是指在局域网内部使用的非注册地址,这些地址范围分别在10.0.0.0到10.255.255.255、172.16.0.0到172.31.255.255和192.168.0.0到192.168.255.255之间。
IPv6地址采用128位二进制数表示,由八个由冒号分隔的十六进制数组成,例如:2001:0db8:85a3:0000:0000:8a2e:0370:7334。IPv6地址可以分为单播地址、多播地址和任播地址等类型。与IPv4不同,IPv6地址通常以冒号分隔的八组四个十六进制数表示,而不是点分隔的十进制数表示。
🐓 解决IP地址短缺问题
1.DHCP:动态主机配置协议。通过动态分配IP地址,只给接入网络的设备分配IP地址,可以有效地利用空闲的IP地址,缓解IP地址不足的问题。
2.CIDR:无类别域间路由。通过消除传统的A类、B类、C类地址以及划分子网的概念,更加有效地分配IPv4的地址空间,但无法从根本上解决地址耗尽问题。
3.NAT:网络地址转换协议。NAT可以有效解决IP地址不足的问题,通过将多个私有IP地址映射到一个或多个公共IP地址,实现私有网络中的设备能够访问互联网。
4.IPv6:作为接替IPv4的下一代互联网协议,IPv6可以实现2的128次方个地址,从根本上解决IPv4地址不够用的问题。
5.改子网掩码:通过修改子网掩码,可以相对独立地分配IP地址,以满足局域网中不断增加的设备需求。
6.增加路由器:通过增加路由器或者使用软路由,可以扩大IP地址的扩容范围,解决硬件瓶颈问题。
🐓 Ipv6
IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是用于代替IPv4的下一代IP协议,其地址数量号称可以为全世界的每一粒沙子编上一个地址。
1.更大的地址空间:IPv6使用128位地址长度,可以提供大约3.4×10^38个地址,远远超过IPv4的42.9亿个地址。这使得IPv6几乎可以做到在地球的任何角落都能找到一个唯一的IP地址。
2.更好的安全性:IPv6在设计时考虑了安全问题,包括对IPSec(Internet Protocol Security)的支持,从而提高了网络的整体安全性。
3.更简单的头部结构:IPv6的头部结构较为简单,只有固定的基本头部,这有利于路由器快速处理数据包,提高了网络的效率。
4.更好的QoS:IPv6提供了更多的服务质量控制和服务级别选择,使得网络服务更加智能化和个性化。
5.移动性:IPv6为移动设备提供了更好的支持,可以方便地接入互联网,实现无缝切换。
🐓 服务端口
服务端口是指在网络中提供特定服务的IP地址和端口号。常见的服务端口包括HTTP、HTTPS、FTP、SSH、SMTP等。这些端口在不同的应用场景中都有其特定的用途和作用。
HTTP服务通常使用80端口,HTTPS服务使用443端口,FTP服务使用21端口,SSH服务使用22端口,SMTP服务使用25端口等。这些端口号的分配和选择是根据不同的协议和应用需求来确定的,以确保网络通信的安全、高效和可靠。
🐓 Internet高层协议
域名服务(UDP 端口,53,通过 DNS 服务器将域名变换为 IP 地址);
远程登录服务(TCP 端口,23,将用户计算机与远程主机连接起来);
电子邮件服务(TCP端口,25:SMTP and 110:POP3,发送:SMTP,接收SMTP+POP3);
WWW 服务(TCP端口,80,基于客户端/服务器模式的信息发送技术和超文本技术的综合);
文件传输服务(TCP 端口,20:数据连接 and 21:控制连接)
🐓 网络安全
网络安全的威胁
1.计算机病毒:计算机病毒是一种恶意软件,通过复制自身来传播,影响电脑的正常运作。
2.蠕虫:蠕虫通过USB设备或电子邮件附件等进行传播,会影响邮件收发。
3.木马:木马不会自我繁殖,也并不刻意“感染”其他文件,但会使电脑失去防护,易于被黑客控制。
4.间谍软件:间谍软件通常在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
5.广告软件:广告软件通常以弹窗形式出现,不会对电脑产生直接伤害,但可能会成为间谍软件的载体。
6.垃圾邮件:垃圾邮件可以被用来发送不同类型的恶意软件,也可能对邮件服务器造成不良影响。
7.网络钓鱼:网络钓鱼通过假冒的电子邮件和伪造的web站点来进行诈骗活动,受骗者往往会泄露重要的私人信息和资料。
8.键盘记录器:键盘记录器可以记录用户在键盘上的操作,黑客可以搜寻特定信息,比如账号密码等。
9.假的安全软件:假的安全软件伪装成安全软件,虚假报警,诱导用户卸载真正的安防软件,以便盗取网络支付等信息。
10.非人为因素:包括自然灾害、设备老化、断电、电磁泄露、硬盘等存储介质破损、静电效应等。
11.人为因素:包括无意失误(网络配置不当、误操作、口令丢失、管理过于简单等)和恶意攻击(来自企业之间的网络间谍和网上黑客等)。
信息系统的需求
信息系统的需求是指用户对于信息系统所提出的期望和要求。
1.功能性需求:用户对信息系统的基本功能会有一定的期望,如数据的输入、查询、更新、维护等。
2.性能需求:用户希望信息系统能够快速、准确地处理数据,并且能够提供实时的服务。
3.安全性需求:用户希望信息系统具有一定的安全性和保密性,能够防止数据被非法获取或篡改。
4.可用性需求:用户希望信息系统的操作简单易懂,易于使用和维护。
5.可维护性需求:用户希望信息系统能够进行定期的维护和升级,以保证系统的稳定性和持久性。
6.可扩展性需求:用户希望信息系统具有一定的扩展性,能够随着业务的发展而进行相应的调整和改进。
7.可靠性需求:用户希望信息系统具有较高的可靠性,能够在出现故障时快速恢复数据和系统。
8.可定制性需求:用户希望信息系统可以根据自己的需求进行定制,以满足特定的业务需求。
9.实时性需求:用户希望信息系统能够及时地处理和反馈数据,以满足业务流程的需求。
10.可集成性需求:用户希望信息系统可以与其他系统进行集成,以实现数据的共享和交换。
网络的安全威胁
1.硬件安全威胁:包括网络中的各种设备及其元配件、接插件及电缆等可能出现的安全问题,如设备老化、断电、电磁泄露等。
2.软件安全威胁:包括网络操作系统、各种驱动程序、通信软件及其他配件等可能存在的安全问题,如计算机病毒、蠕虫、木马、间谍软件、广告软件等恶意软件的威胁。
3.数据安全威胁:包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及其网络上两台机器之间的通信内容等机密信息可能面临的安全问题,如非人为因素和人为因素导致的威胁。非人为因素包括自然灾害,如地震、雷电、洪水等;设备老化、断电、电磁泄露;硬盘等存储介质破损、静电效应等。人为因素包括无意失误和恶意攻击,恶意攻击可能来自企业之间的网络间谍和网上黑客等。
网络的信息安全
网络的信息安全是指在网络环境中,信息的完整性、机密性、可用性和可控性得到保护,防止未经授权的访问、泄露、破坏、修改或摧毁。网络信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
1.物理安全:保证硬件设施的安全,包括机房、线路、路由器等网络设备的安全。
2.访问控制:通过身份认证和权限控制,防止未经授权的访问和操作。
3.数据加密:对数据进行加密处理,保护数据的机密性和完整性。
4.备份与恢复:定期备份数据,并制定相应的恢复计划,以应对数据丢失或系统崩溃等突发情况。
5.安全审计:对网络进行安全审计,发现潜在的安全威胁和漏洞,并及时采取相应的措施进行修复。
6.病毒防范:安装杀毒软件,定期更新病毒库,及时查杀病毒和恶意软件。
7.防火墙设置:合理配置防火墙,限制非法访问和恶意攻击的入侵。
8.应用安全:加强应用软件的安全性,避免应用漏洞和恶意软件的存在。
9.人员管理:加强对网络信息安全人员的培训和管理,提高员工的安全意识和技能。
10.法律与制度:制定并执行相关的网络安全法律法规和规章制度,加强对网络信息安全的监管和管理。
🐓 防火墙
防火墙的分类
1.软件防火墙和硬件防火墙:根据构成防火墙的物质形态,可以分为软件防火墙和硬件防火墙。软件防火墙直接安装在主机设备上,需要占用系统资源。硬件防火墙是一个独立的硬件设备,具有自己的资源,不占用主机设备的任何CPU或RAM等资源。
2.个人防火墙和企业级防火墙:根据保护的对象和范围,可以分为个人防火墙和企业级防火墙。个人防火墙主要用于保护单个计算机的网络安全,而企业级防火墙主要用于保护整个企业网络的安全。
3.包过滤型防火墙和应用代理型防火墙:根据对数据包的处理方式,可以分为包过滤型防火墙和应用代理型防火墙。包过滤型防火墙根据数据包头的信息允许或拒绝数据包通过,通常基于IP地址和端口号进行过滤。应用代理型防火墙通过代理服务器来连接内部网络和外部网络,对应用层的数据进行安全控制。
4.有线路由和分组过滤:根据防火墙在网络中的位置和作用,可以分为有线路由和分组过滤。有线路由是在网络层进行路由选择的设备,而分组过滤是在数据链路层对数据包进行过滤的设备。
5.基于云和虚拟专用网络(VPN)的防火墙:根据所采用的技术和部署方式,可以分为基于云和虚拟专用网络(VPN)的防火墙。基于云的防火墙通过Internet按需提供服务,而虚拟专用网络(VPN)的防火墙则通过加密技术来保护远程用户访问公司内部网络时的数据安全。
典型防火墙的体系结构
1.包过滤型防火墙:这种防火墙通过查看数据包的包头信息来决定是否允许或拒绝数据包的通过。它可以决定丢弃(DROP)这个包,或者接受(ACCEPT)这个包。这种防火墙一般部署在网络入口处,以防止外部攻击。
2.双宿/多宿主机防火墙:这种防火墙由堡垒主机充当网关,并在其上运行防火墙软件。内外网之间的通信必须经过堡垒主机,因此安全性较高。
3.被屏蔽主机防火墙:这种防火墙由包过滤路由器和堡垒主机构成,实现了网络层安全(包过滤)和应用层安全(代理服务)。
4.被屏蔽子网防火墙:这种防火墙在屏蔽主机防火墙的基础上添加了额外的安全层,通过添加网络进一步地把内部网络与外网隔离,增加了安全层次。