屠焘
2025-8-1 20:20:34
Signed-off-by: Skiner Version: 0.1.2简介 计算机网络及其常见组件 的一些常见概念,面向初学者,涉及领域较广泛。本文不包括虚拟化部分,另见《云计算纲要》 正文 网卡 硬件设备,负责整个计算机的网络操作,拥有唯一地址即 MAC。端口 (port) 是设备与外界通讯交流的接口。虚拟端口即网络端口,是面对网络服务开放的。 物理端口,通俗的说就是插网线或光缆的地方,是可见端口。 MAC (Media Access Control) 是网络接口控制器(一般指网卡)的唯一标识符,用于在硬件层面进行网络交互时寻址。开放式系统互联模型 (Open Systems Interconnection Model 简称 OSI模型) 是一种概念模型,旨在为世界提供一种可遵循的网络规范,是互联网的标准框架。WAN (Wide Area Network) 即广域网,一般指公网。LAN (Local Area Network) 即局域网,一般指内网。DMZ (Demilitarized Zone) 隔离层、缓冲层或称中间层,一般是内网对外服务器所在的位置。它的设立解决了安装防火墙后 WAN 不能访问 LAN 服务器的问题。WLAN (Wireless Local Area Network) 即无线局域网,是一种无线计算机网络,使用无线信道代替有线传输介质连接两个或多个设备形成一个 LAN,典型部署场景如家庭、学校、校园或企业办公楼等。IP 是计算机在网络中的标识符,相当于数据库索引,是从偌大的网络环境中快速、分层、准确地查询指定计算机设备的一种方法。需要说明的是,不论是否联网,只要知道目标 IP,攻击者就可以发起攻击。 内网 IP 和 环路地址 。DMZ中的计算机可拥有多 IP。192.168.1.12 公网 IP 10.20.12.3 内网 IP 127.0.0.1 本机环路地址,仅本机可访问,永不对外开放。注意区别于 localhost,详见下文 “网络域名 ” 项 1.1.1.1、0.0.0.0 特殊 IP 地址。 传输控制协议 (TransmissionControl Protocol 简称 TCP协议) 是一种应用广泛的、可靠的、面向连接的协议。现绝大多数网络应用程序均采用 TCP 通信。面向连接是指必须在双方建立可靠连接后才可以进行通信。这样的方式十分稳定。 同样,面向报文则是指只要有数据需要传输就发起通信。很明显,这是一种高速、开销小但不可靠的方式。 TCP/IP 协议 指能够在多个不同网络间实现信息传输的协议簇。FTP (文件传输协议,通常以 TCP 为基础 )、 SMTP (简单邮件传输协议 )、 UDP (用户数据报协议,不可靠,面向报文 )、 TCP、IP 等, 路由器 (Router) 即 网关设备 ,硬件设备,用于连接多个网络,如 WAN 和 LAN 。交换机 (Switch) 或称 多端口网桥 ,硬件设备,存在于网络内部,用于分配网络数据。以太网交换机(也就是网络交换机)的功能可以类比于电话交换机。 网络节点的定义详见下文。 堡垒机 (Bastionhost) 或称 运维安全中心/系统 ,某些非官方情况下也称 跳板机 (歧义部分详见《网络安全——重定向和隧道技术》),存在于 LAN 内部,软件设备,通过切断终端计算机对网络和服务器资源的直接访问,而采用强制协议代理的方式,接管了终端计算机对网络和服务器的访问。系统运维 和 安全审计管控 两种功能。集中账号管理 :进行用户身份认证和细粒度、灵活的授权运维事件事中控制 :包括实时监控、违规操作实时告警与阻断等运维事件事后审计 :堡垒机上存储着终端计算机所有流量和会话的完整记录终端,亦称客户端,是请求发起和结果返回的地方。通常是由人操作的计算机。 实时监控包括了流量监控、事件监控、会话监控等各方面。 防火墙 (Firewall) ,存在于网关设备,软件设备,用于隔离 WAN 和 LAN。堡垒机是强制性代理,是软件层面的代理,而防火墙存在于网关,从硬件层面确保了所有流量均会被审查。 防火墙一般位于网络边缘,保护整个企业网络,而堡垒机则更靠近关键系统,专注于内部运维操作的安全性和合规性。 堡垒机和防火墙均可以结合 AI 使用,如进行智能监控之类的 Web 应用防火墙 (Web Application Firewall,简称 WAF) ,软件设备,是集 Web 防护、网页保护、负载均衡、应用交付于一体的 Web 整体安全防护设备的产品。入侵检测系统 (Intrusion Detection System,简称 IDS) ,软件设备,是一种监控和分析网络流量,以识别可能的恶意活动或攻击的安全工具。它通过检查网络流量、系统日志和其他相关信息来寻找与已知攻击模式相匹配的特征。签名检测: IDS使用预定义的攻击模式签名进行匹配,类似于病毒扫描程序检测病毒。当流量中包含与这些签名匹配的特征时,IDS会发出警报。异常检测: IDS监控正常网络活动的基线,并在检测到与正常行为显著不同的模式时发出警报。这有助于识别未知的或新型攻击。协议分析: IDS分析网络协议的使用情况,检测与标准协议不符的行为,从而识别可能的攻击。网络IDS(NIDS): 部署在网络中,监控流经网络的所有流量。它可以检测网络层和传输层的攻击。主机IDS(HIDS): 部署在单个主机上,监控该主机的系统活动。它更专注于检测主机层面的攻击,如恶意软件和异常用户行为。入侵防护系统 (Intrusion Prevention System,简称 IPS) ,软件设备,是在检测到潜在攻击后采取主动措施来阻止或防御的安全工具。与IDS相比,IPS不仅仅是监控和报警的工具,更是能够主动干预并防止潜在威胁的工具。阻断攻击流量: 当IPS检测到潜在的攻击流量时,它可以立即采取措施,阻止这些流量进入网络。这有助于防止攻击的进一步传播。重置连接状态: IPS可以重置与潜在攻击相关的连接状态,迫使攻击者重新建立连接,从而中断攻击。修改防火墙规则: IPS可以动态地修改防火墙规则,以阻止或允许特定类型的流量,以适应实时的威胁情况。勒索病毒、 蠕虫病毒、 特洛伊(木马)病毒、 拒绝服务攻击(DoS/DDoS)、 缓冲区溢出攻击等。 网络 IPS(NIPS): 部署在网络中,监控和防御整个网络的攻击。它可以防御网络层和传输层的攻击。主机 IPS(HIPS): 部署在单个主机上,提供更精确的防御,主要用于防范主机层面的攻击,如恶意软件和漏洞利用。网络节点 ,指计算机网络中的一个连接点或设备,用于发送、接收或转发数据。它可以是硬件设备(如计算机、服务器、路由器、交换机)或软件实体(如网络应用程序、服务或进程)。计算机网络 ,简称 计网 ,指包含多台具有独立功能的计算机的计算机系统,该系统不受空间限制,可以进行资源共享和信息传递。计算机外部设备、 通信线路和通信设备、 网络管理软件及网络通信协议 计算机集群 或分布式系统 请见《云计算纲要》文件网域名称 (Domain Name,简称 Domain) ,简称 域名 ,是 IP 地址的代理。方便记忆。 令网络资源更加灵活,域名是唯一的,当资源 IP 地址变更时,仅需要将新的 IP 关联到该域名,即可实现将资源移动到网络地址拓扑中的不同位置。 localhost 和环路地址 127.0.0.1 一样,仅能本地访问,用不对外开放。域名系统 (Domain Name System,简称 DNS) 用于转换域名和 IP 地址,是一个分布式网络服务。超文本 (hypertext) 是指连接单个网站内或多个网站间的网页的链接,如 www.google.com 。超文本标记语言 (HyperText Markup Language, 简称 HTML) 是构成 Web 前端世界的一砖一瓦。它使用超文本定义了网页内容的含义和结构。进入 www.google.com 右键 -> 点击 另存为 您可以在弹窗中看到即将保存的文件类型为 网页,全部 (*.htm; *.html) 选择保存路径,点击 保存 您应该在保存路径中找到一个 Google.html 文件和一个 Google_files 文件夹 超文本传输协议 (Hypertext Transfer Protocol,简称 HTTP) 是一种从网络传输超文本到本地浏览器的传输协议。传输层安全性协议 (Transport Layer Security,简称 TLS) ,前身称为 安全套接层 (Secure Sockets Layer,简写 SSL) ,是一种广泛应用的安全协议,目的是为互联网通信提供安全及数据完整性保障。超文本传输安全协议 (HyperText Transfer Protocol Secure,简称 HTTPS) 是一种通过计算机网络进行安全通信的传输协议。目录服务 (Directory service) 是一个储存、组织和提供信息访问服务的软件系统。Key-Value 数据库 ,其中 Key 是索引, Value 是其对应的值。在该数据库中,一个 Key 可以对应多个 Value,就像字典,一个词语也许会有多个词义。Active Directory 是目录服务的一个著名实现。活动目录 (Active Directory,简称 AD域) 是微软 Windows Server 中,负责架构中大型网络环境的集中式目录服务。活动目录 ” 一词源于中国大陆,港澳台地区维持英文不变。网络拓扑 是指计算机网络中节点(计算机、交换机、路由器等)之间物理或逻辑连接的结构。它定义了节点之间的布局、连接方式和数据传输路径。结语
相关推荐
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
