计算机网络及其安全组件纲要
Signed-off-by: Skiner起草于:2025/04/13
完稿于:2025/05/07
Version: 0.1.2
简介
本文件主要简述了 计算机网络及其常见组件 的一些常见概念,面向初学者,涉及领域较广泛。
有任何问题、建议或意见请联系作者。
本文不包括虚拟化部分,另见《云计算纲要》
(还没写出来呢,莫急)
正文
[*]网卡 硬件设备,负责整个计算机的网络操作,拥有唯一地址即 MAC。
[*]端口 (port) 是设备与外界通讯交流的接口。
端口有着虚拟和物理之分
[*]虚拟端口即网络端口,是面对网络服务开放的。
[*]物理端口,通俗的说就是插网线或光缆的地方,是可见端口。
[*]MAC (Media Access Control) 是网络接口控制器(一般指网卡)的唯一标识符,用于在硬件层面进行网络交互时寻址。
它是网卡自身的一部分,即使脱离了网络它依然存在。
每一个网卡都拥有一个 MAC,一个计算机可拥有多 MAC。
举例:00:1A:2B:3C:4D:5E
[*]开放式系统互联模型 (Open Systems Interconnection Model 简称 OSI模型) 是一种概念模型,旨在为世界提供一种可遵循的网络规范,是互联网的标准框架。
[*]WAN (Wide Area Network) 即广域网,一般指公网。
[*]LAN (Local Area Network) 即局域网,一般指内网。
[*]DMZ (Demilitarized Zone) 隔离层、缓冲层或称中间层,一般是内网对外服务器所在的位置。它的设立解决了安装防火墙后 WAN 不能访问 LAN 服务器的问题。
[*]WLAN (Wireless Local Area Network) 即无线局域网,是一种无线计算机网络,使用无线信道代替有线传输介质连接两个或多个设备形成一个 LAN,典型部署场景如家庭、学校、校园或企业办公楼等。
* WLAN 是一个网络系统,而我们常见的 Wi-Fi 是这个网络系统中的一种技术。所以,WLAN和Wi-Fi之间是包含关系,WLAN包含了Wi-Fi。
[*]IP 是计算机在网络中的标识符,相当于数据库索引,是从偌大的网络环境中快速、分层、准确地查询指定计算机设备的一种方法。
IP 包含位置信息,并使设备可进行通信。
它是网络的一部分,是互联网的基础,并且因网络环境而改变。
没有了网络,IP 也不会存在,除非是用户自定义的 IP(常用于公司固定计算机)。
需要说明的是,不论是否联网,只要知道目标 IP,攻击者就可以发起攻击。
一般来说一个计算机仅有两个 IP 即 内网 IP 和 环路地址。DMZ中的计算机可拥有多 IP。
举例:
[*]192.168.1.12 公网 IP
[*]10.20.12.3 内网 IP
[*]127.0.0.1 本机环路地址,仅本机可访问,永不对外开放。注意区别于 localhost,详见下文 “网络域名” 项
[*]1.1.1.1、0.0.0.0 特殊 IP 地址。
[*]传输控制协议 (TransmissionControl Protocol 简称 TCP协议) 是一种应用广泛的、可靠的、面向连接的协议。现绝大多数网络应用程序均采用 TCP 通信。
TCP 协议包含著名的 “三次握手”。
* 面向连接是指必须在双方建立可靠连接后才可以进行通信。这样的方式十分稳定。
同样,面向报文则是指只要有数据需要传输就发起通信。很明显,这是一种高速、开销小但不可靠的方式。
[*]TCP/IP 协议 指能够在多个不同网络间实现信息传输的协议簇。
其中包括:
[*]FTP (文件传输协议,通常以 TCP 为基础)、
[*]SMTP (简单邮件传输协议)、
[*]UDP (用户数据报协议,不可靠,面向报文)、
[*]TCP、IP 等,
而其中 TCP 和 IP 最具代表性,所以该簇被称为TCP/IP协议。
[*]路由器 (Router) 即 网关设备,硬件设备,用于连接多个网络,如 WAN 和 LAN 。
它的寻址方式是 IP 寻址。
可以为网络内设备自动分配 IP。
可以充当防火墙。
[*]交换机 (Switch) 或称 多端口网桥,硬件设备,存在于网络内部,用于分配网络数据。
它的寻址方式是 MAC 寻址。
可以扩大局域网的接入点,也就是让更多计算机连接同一网络。
可以为接入交换机的任意两个网络节点提供独享的网络通路,从而进行通信。
交换机无法跨网络使用。
*以太网交换机(也就是网络交换机)的功能可以类比于电话交换机。
* 网络节点的定义详见下文。
[*]堡垒机 (Bastionhost) 或称 运维安全中心/系统,某些非官方情况下也称 跳板机(歧义部分详见《网络安全——重定向和隧道技术》),存在于 LAN 内部,软件设备,通过切断终端计算机对网络和服务器资源的直接访问,而采用强制协议代理的方式,接管了终端计算机对网络和服务器的访问。
堡垒机综合了 系统运维 和 安全审计管控 两种功能。
堡垒机可以存在于不同网段之间,如 LAN1 和 LAN2,但一般不设在 WAN 和 LAN 之间。
堡垒机的功能:
[*]集中账号管理 :进行用户身份认证和细粒度、灵活的授权
[*]运维事件事中控制 :包括实时监控、违规操作实时告警与阻断等
[*]运维事件事后审计 :堡垒机上存储着终端计算机所有流量和会话的完整记录
* 终端,亦称客户端,是请求发起和结果返回的地方。通常是由人操作的计算机。
* 实时监控包括了流量监控、事件监控、会话监控等各方面。
[*]防火墙 (Firewall) ,存在于网关设备,软件设备,用于隔离 WAN 和 LAN。
防火墙的功能同堡垒机,但不完善,如 防火墙无法进行会话记录。
相比于开发成本高昂的堡垒机,防火墙技术应用更广,类型更多。
* 堡垒机是强制性代理,是软件层面的代理,而防火墙存在于网关,从硬件层面确保了所有流量均会被审查。
* 防火墙一般位于网络边缘,保护整个企业网络,而堡垒机则更靠近关键系统,专注于内部运维操作的安全性和合规性。
* 堡垒机和防火墙均可以结合 AI 使用,如进行智能监控之类的
[*]Web 应用防火墙 (Web Application Firewall,简称 WAF) ,软件设备,是集 Web 防护、网页保护、负载均衡、应用交付于一体的 Web 整体安全防护设备的产品。
相比于着重保护用户会话数据的堡垒机,WAF 主要着眼于保护网络服务,如 Web 服务器。
可以把 WAF 看作是防火墙的一种功能模块。
[*]入侵检测系统 (Intrusion Detection System,简称 IDS) ,软件设备,是一种监控和分析网络流量,以识别可能的恶意活动或攻击的安全工具。它通过检查网络流量、系统日志和其他相关信息来寻找与已知攻击模式相匹配的特征。
IDS主要通过以下方式工作:
[*]签名检测: IDS使用预定义的攻击模式签名进行匹配,类似于病毒扫描程序检测病毒。当流量中包含与这些签名匹配的特征时,IDS会发出警报。
[*]异常检测: IDS监控正常网络活动的基线,并在检测到与正常行为显著不同的模式时发出警报。这有助于识别未知的或新型攻击。
[*]协议分析: IDS分析网络协议的使用情况,检测与标准协议不符的行为,从而识别可能的攻击。
根据部署位置的不同,IDS可以分为两大类型:
[*]网络IDS(NIDS): 部署在网络中,监控流经网络的所有流量。它可以检测网络层和传输层的攻击。
[*]主机IDS(HIDS): 部署在单个主机上,监控该主机的系统活动。它更专注于检测主机层面的攻击,如恶意软件和异常用户行为。
[*]入侵防护系统 (Intrusion Prevention System,简称 IPS) ,软件设备,是在检测到潜在攻击后采取主动措施来阻止或防御的安全工具。与IDS相比,IPS不仅仅是监控和报警的工具,更是能够主动干预并防止潜在威胁的工具。
IPS 旨在通过主动阻断流经网络的恶意流量来保护系统。其主要工作原理包括:
[*]阻断攻击流量: 当IPS检测到潜在的攻击流量时,它可以立即采取措施,阻止这些流量进入网络。这有助于防止攻击的进一步传播。
[*]重置连接状态: IPS可以重置与潜在攻击相关的连接状态,迫使攻击者重新建立连接,从而中断攻击。
[*]修改防火墙规则: IPS可以动态地修改防火墙规则,以阻止或允许特定类型的流量,以适应实时的威胁情况。
IPS 可以识别并阻断潜在的威胁,如:
[*]勒索病毒、
[*]蠕虫病毒、
[*]特洛伊(木马)病毒、
[*]拒绝服务攻击(DoS/DDoS)、
[*]缓冲区溢出攻击等。
IPS系统可以部署在网络边缘、内部网段或网络关键位置(如数据中心),以提供全面的安全保护 。与IDS类似,IPS也可以分为两大类型:
[*]网络 IPS(NIPS): 部署在网络中,监控和防御整个网络的攻击。它可以防御网络层和传输层的攻击。
[*]主机 IPS(HIPS): 部署在单个主机上,提供更精确的防御,主要用于防范主机层面的攻击,如恶意软件和漏洞利用。
* IDS是一种被动的监测系统,主要用于检测和报警,在生产中应配合主动防御的 IPS 使用。
* 堡垒机:管理,IDS:监控,IPS:识别
[*]网络节点,指计算机网络中的一个连接点或设备,用于发送、接收或转发数据。它可以是硬件设备(如计算机、服务器、路由器、交换机)或软件实体(如网络应用程序、服务或进程)。
[*]计算机网络 ,简称 计网 ,指包含多台具有独立功能的计算机的计算机系统,该系统不受空间限制,可以进行资源共享和信息传递。
该系统还包括:
[*]计算机外部设备、
[*]通信线路和通信设备、
[*]网络管理软件及网络通信协议
计算机集群或分布式系统请见《云计算纲要》文件
[*]网域名称 (Domain Name,简称 Domain),简称 域名,是 IP 地址的代理。
它的特点包括:
[*]方便记忆。
[*]令网络资源更加灵活,域名是唯一的,当资源 IP 地址变更时,仅需要将新的 IP 关联到该域名,即可实现将资源移动到网络地址拓扑中的不同位置。
值得注意的是,计算机本地域名 localhost 和环路地址 127.0.0.1 一样,仅能本地访问,用不对外开放。
其中,localhost 是 127.0.0.1 的域名,127.0.0.1 是 localhost 对应的 IP 地址。
localhost 一般用于本地网络服务的开发和测试。
[*]域名系统 (Domain Name System,简称 DNS) 用于转换域名和 IP 地址,是一个分布式网络服务。
[*]超文本 (hypertext) 是指连接单个网站内或多个网站间的网页的链接,如 www.google.com 。
链接是网络的一个基本方面,它将不同空间的数据组织在一起,形成了网状的文本。
超文本因网络而生,和计算机网络有着不可分割的关系。
[*]超文本标记语言 (HyperText Markup Language, 简称 HTML) 是构成 Web 前端世界的一砖一瓦。它使用超文本定义了网页内容的含义和结构。
您可以在浏览器上下载大多数网站的 HTML 资源,以 Edge 举例:
[*]进入 www.google.com
[*]右键 -> 点击 另存为
[*]您可以在弹窗中看到即将保存的文件类型为 网页,全部 (*.htm; *.html)
[*]选择保存路径,点击 保存
[*]您应该在保存路径中找到一个 Google.html 文件和一个 Google_files 文件夹
在上述例子中,Google.html 文件是 Google 网站页面的主文件,它涵盖了我们看到的网页的结构和内容,是一个 HTML 文件。
您也可以直接双击它,以便在您的浏览器上打开它。
您应该看到一个类似的页面,或许有些不同,因为浏览器会阻止本地文件进入网络环境——当然是为了安全。
[*]超文本传输协议 (Hypertext Transfer Protocol,简称 HTTP) 是一种从网络传输超文本到本地浏览器的传输协议。
它定义了客户端与服务器之间请求和响应的格式。
HTTP 工作在 TCP/IP 模型之上,通常使用端口 80。
[*]传输层安全性协议 (Transport Layer Security,简称 TLS),前身称为 安全套接层 (Secure Sockets Layer,简写 SSL),是一种广泛应用的安全协议,目的是为互联网通信提供安全及数据完整性保障。
TLS 协议基于 RSA 算法,可以对传输数据进行加密。
[*]超文本传输安全协议 (HyperText Transfer Protocol Secure,简称 HTTPS) 是一种通过计算机网络进行安全通信的传输协议。
HTTPS经由 HTTP 协议进行通信,利用 TLS 加密数据包。
[*]目录服务 (Directory service) 是一个储存、组织和提供信息访问服务的软件系统。
本项专指的是基于计算机网络的目录服务。
可以将其理解为一个 Key-Value 数据库,其中 Key 是索引, Value 是其对应的值。在该数据库中,一个 Key 可以对应多个 Value,就像字典,一个词语也许会有多个词义。
目录服务是一种共享的基础信息服务,可用来定位、管理和组织通用项目和网络资源,包括:卷、文件夹、文件、打印机、用户、组、设备、电话号码和其它对象。
微软的 Active Directory 是目录服务的一个著名实现。
[*]活动目录 (Active Directory,简称 AD域) 是微软 Windows Server 中,负责架构中大型网络环境的集中式目录服务。
需要注意的是,“活动目录” 一词源于中国大陆,港澳台地区维持英文不变。
[*]网络拓扑 是指计算机网络中节点(计算机、交换机、路由器等)之间物理或逻辑连接的结构。它定义了节点之间的布局、连接方式和数据传输路径。
网络拓扑可以是物理层面的,比如实际的电缆连接,也可以是逻辑层面的,比如网络协议定义的通信规则。
可以将其理解为计算机网络的设计蓝图,一个好的网络拓扑图会使网络的性能、可靠性、安全性和可扩展性大幅提升。
结语
本文件是作者在查询各种资料后综合自身经验做出的总结,难免有所纰漏,各位师傅见谅。
本文件原综合了云计算和域渗透部分,现将其二划分为两个单独的文件。
2025/08/01
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]