計算機網絡及其安全組件綱要
Signed-off-by: Skiner
起草于:2025/04/13
完稿于:2025/05/07
Version: 0.1.2
簡介
本文件主要簡述了 計算機網絡及其常見組件 的一些常見概念,面向初學者,涉及領域較廣泛。
有任何問題、建議或意見請聯系作者。
本文不包括虛擬化部分,另見《云計算綱要》
(還沒寫出來呢,莫急)
正文
-
網卡 硬件設備,負責整個計算機的網絡操作,擁有唯一地址即 MAC。
-
端口 (port) 是設備與外界通訊交流的接口。
端口有著虛擬和物理之分- 虛擬端口即網絡端口,是面對網絡服務開放的。
- 物理端口,通俗的說就是插網線或光纜的地方,是可見端口。
-
MAC (Media Access Control) 是網絡接口控制器(一般指網卡)的唯一標識符,用于在硬件層面進行網絡交互時尋址。
它是網卡自身的一部分,即使脫離了網絡它依然存在。
每一個網卡都擁有一個 MAC,一個計算機可擁有多 MAC。
舉例:00:1A:2B:3C:4D:5E -
開放式系統互聯模型 (Open Systems Interconnection Model 簡稱 OSI模型) 是一種概念模型,旨在為世界提供一種可遵循的網絡規范,是互聯網的標準框架。
-
WAN (Wide Area Network) 即廣域網,一般指公網。
-
LAN (Local Area Network) 即局域網,一般指內網。
-
DMZ (Demilitarized Zone) 隔離層、緩沖層或稱中間層,一般是內網對外服務器所在的位置。它的設立解決了安裝防火墻后 WAN 不能訪問 LAN 服務器的問題。
-
WLAN (Wireless Local Area Network) 即無線局域網,是一種無線計算機網絡,使用無線信道代替有線傳輸介質連接兩個或多個設備形成一個 LAN,典型部署場景如家庭、學校、校園或企業辦公樓等。
* WLAN 是一個網絡系統,而我們常見的 Wi-Fi 是這個網絡系統中的一種技術。所以,WLAN和Wi-Fi之間是包含關系,WLAN包含了Wi-Fi。
-
IP 是計算機在網絡中的標識符,相當于數據庫索引,是從偌大的網絡環境中快速、分層、準確地查詢指定計算機設備的一種方法。
IP 包含位置信息,并使設備可進行通信。
它是網絡的一部分,是互聯網的基礎,并且因網絡環境而改變。
沒有了網絡,IP 也不會存在,除非是用戶自定義的 IP(常用于公司固定計算機)。
需要說明的是,不論是否聯網,只要知道目標 IP,攻擊者就可以發起攻擊。
一般來說一個計算機僅有兩個 IP 即 內網 IP 和 環路地址。DMZ中的計算機可擁有多 IP。
舉例:- 192.168.1.12 公網 IP
- 10.20.12.3 內網 IP
- 127.0.0.1 本機環路地址,僅本機可訪問,永不對外開放。注意區別于 localhost,詳見下文 “網絡域名” 項
- 1.1.1.1、0.0.0.0 特殊 IP 地址。
-
傳輸控制協議 (TransmissionControl Protocol 簡稱 TCP協議) 是一種應用廣泛的、可靠的、面向連接的協議。現絕大多數網絡應用程序均采用 TCP 通信。
TCP 協議包含著名的 “三次握手”。* 面向連接是指必須在雙方建立可靠連接后才可以進行通信。這樣的方式十分穩定。
同樣,面向報文則是指只要有數據需要傳輸就發起通信。很明顯,這是一種高速、開銷小但不可靠的方式。 -
TCP/IP 協議 指能夠在多個不同網絡間實現信息傳輸的協議簇。
其中包括:- FTP (文件傳輸協議,通常以 TCP 為基礎)、
- SMTP (簡單郵件傳輸協議)、
- UDP (用戶數據報協議,不可靠,面向報文)、
- TCP、IP 等,
而其中 TCP 和 IP 最具代表性,所以該簇被稱為TCP/IP協議。
-
路由器 (Router) 即 網關設備,硬件設備,用于連接多個網絡,如 WAN 和 LAN 。
它的尋址方式是 IP 尋址。
可以為網絡內設備自動分配 IP。
可以充當防火墻。 -
交換機 (Switch) 或稱 多端口網橋,硬件設備,存在于網絡內部,用于分配網絡數據。
它的尋址方式是 MAC 尋址。
可以擴大局域網的接入點,也就是讓更多計算機連接同一網絡。
可以為接入交換機的任意兩個網絡節點提供獨享的網絡通路,從而進行通信。
交換機無法跨網絡使用。*以太網交換機(也就是網絡交換機)的功能可以類比于電話交換機。
* 網絡節點的定義詳見下文。 -
堡壘機 (Bastionhost) 或稱 運維安全中心/系統,某些非官方情況下也稱 跳板機(歧義部分詳見《網絡安全——重定向和隧道技術》),存在于 LAN 內部,軟件設備,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用強制協議代理的方式,接管了終端計算機對網絡和服務器的訪問。
堡壘機綜合了 系統運維 和 安全審計管控 兩種功能。
堡壘機可以存在于不同網段之間,如 LAN1 和 LAN2,但一般不設在 WAN 和 LAN 之間。
堡壘機的功能:- 集中賬號管理 :進行用戶身份認證和細粒度、靈活的授權
- 運維事件事中控制 :包括實時監控、違規操作實時告警與阻斷等
- 運維事件事后審計 :堡壘機上存儲著終端計算機所有流量和會話的完整記錄
* 終端,亦稱客戶端,是請求發起和結果返回的地方。通常是由人操作的計算機。
* 實時監控包括了流量監控、事件監控、會話監控等各方面。 -
防火墻 (Firewall) ,存在于網關設備,軟件設備,用于隔離 WAN 和 LAN。
防火墻的功能同堡壘機,但不完善,如 防火墻無法進行會話記錄。
相比于開發成本高昂的堡壘機,防火墻技術應用更廣,類型更多。* 堡壘機是強制性代理,是軟件層面的代理,而防火墻存在于網關,從硬件層面確保了所有流量均會被審查。
* 防火墻一般位于網絡邊緣,保護整個企業網絡,而堡壘機則更靠近關鍵系統,專注于內部運維操作的安全性和合規性。
* 堡壘機和防火墻均可以結合 AI 使用,如進行智能監控之類的 -
Web 應用防火墻 (Web Application Firewall,簡稱 WAF) ,軟件設備,是集 Web 防護、網頁保護、負載均衡、應用交付于一體的 Web 整體安全防護設備的產品。
相比于著重保護用戶會話數據的堡壘機,WAF 主要著眼于保護網絡服務,如 Web 服務器。
可以把 WAF 看作是防火墻的一種功能模塊。 -
入侵檢測系統 (Intrusion Detection System,簡稱 IDS) ,軟件設備,是一種監控和分析網絡流量,以識別可能的惡意活動或攻擊的安全工具。它通過檢查網絡流量、系統日志和其他相關信息來尋找與已知攻擊模式相匹配的特征。
IDS主要通過以下方式工作:- 簽名檢測: IDS使用預定義的攻擊模式簽名進行匹配,類似于病毒掃描程序檢測病毒。當流量中包含與這些簽名匹配的特征時,IDS會發出警報。
- 異常檢測: IDS監控正常網絡活動的基線,并在檢測到與正常行為顯著不同的模式時發出警報。這有助于識別未知的或新型攻擊。
- 協議分析: IDS分析網絡協議的使用情況,檢測與標準協議不符的行為,從而識別可能的攻擊。
根據部署位置的不同,IDS可以分為兩大類型:
- 網絡IDS(NIDS): 部署在網絡中,監控流經網絡的所有流量。它可以檢測網絡層和傳輸層的攻擊。
- 主機IDS(HIDS): 部署在單個主機上,監控該主機的系統活動。它更專注于檢測主機層面的攻擊,如惡意軟件和異常用戶行為。
-
入侵防護系統 (Intrusion Prevention System,簡稱 IPS) ,軟件設備,是在檢測到潛在攻擊后采取主動措施來阻止或防御的安全工具。與IDS相比,IPS不僅僅是監控和報警的工具,更是能夠主動干預并防止潛在威脅的工具。
IPS 旨在通過主動阻斷流經網絡的惡意流量來保護系統。其主要工作原理包括:- 阻斷攻擊流量: 當IPS檢測到潛在的攻擊流量時,它可以立即采取措施,阻止這些流量進入網絡。這有助于防止攻擊的進一步傳播。
- 重置連接狀態: IPS可以重置與潛在攻擊相關的連接狀態,迫使攻擊者重新建立連接,從而中斷攻擊。
- 修改防火墻規則: IPS可以動態地修改防火墻規則,以阻止或允許特定類型的流量,以適應實時的威脅情況。
IPS 可以識別并阻斷潛在的威脅,如:
- 勒索病毒、
- 蠕蟲病毒、
- 特洛伊(木馬)病毒、
- 拒絕服務攻擊(DoS/DDoS)、
- 緩沖區溢出攻擊等。
IPS系統可以部署在網絡邊緣、內部網段或網絡關鍵位置(如數據中心),以提供全面的安全保護 。與IDS類似,IPS也可以分為兩大類型:
- 網絡 IPS(NIPS): 部署在網絡中,監控和防御整個網絡的攻擊。它可以防御網絡層和傳輸層的攻擊。
- 主機 IPS(HIPS): 部署在單個主機上,提供更精確的防御,主要用于防范主機層面的攻擊,如惡意軟件和漏洞利用。
* IDS是一種被動的監測系統,主要用于檢測和報警,在生產中應配合主動防御的 IPS 使用。
* 堡壘機:管理,IDS:監控,IPS:識別 -
網絡節點,指計算機網絡中的一個連接點或設備,用于發送、接收或轉發數據。它可以是硬件設備(如計算機、服務器、路由器、交換機)或軟件實體(如網絡應用程序、服務或進程)。
-
計算機網絡 ,簡稱 計網 ,指包含多臺具有獨立功能的計算機的計算機系統,該系統不受空間限制,可以進行資源共享和信息傳遞。
該系統還包括:- 計算機外部設備、
- 通信線路和通信設備、
- 網絡管理軟件及網絡通信協議
計算機集群或分布式系統請見《云計算綱要》文件
-
網域名稱 (Domain Name,簡稱 Domain),簡稱 域名,是 IP 地址的代理。
它的特點包括:- 方便記憶。
- 令網絡資源更加靈活,域名是唯一的,當資源 IP 地址變更時,僅需要將新的 IP 關聯到該域名,即可實現將資源移動到網絡地址拓撲中的不同位置。
值得注意的是,計算機本地域名 localhost 和環路地址 127.0.0.1 一樣,僅能本地訪問,用不對外開放。
其中,localhost 是 127.0.0.1 的域名,127.0.0.1 是 localhost 對應的 IP 地址。
localhost 一般用于本地網絡服務的開發和測試。 -
域名系統 (Domain Name System,簡稱 DNS) 用于轉換域名和 IP 地址,是一個分布式網絡服務。
-
超文本 (hypertext) 是指連接單個網站內或多個網站間的網頁的鏈接,如 www.google.com 。
鏈接是網絡的一個基本方面,它將不同空間的數據組織在一起,形成了網狀的文本。
超文本因網絡而生,和計算機網絡有著不可分割的關系。 -
超文本標記語言 (HyperText Markup Language, 簡稱 HTML) 是構成 Web 前端世界的一磚一瓦。它使用超文本定義了網頁內容的含義和結構。
您可以在瀏覽器上下載大多數網站的 HTML 資源,以 Edge 舉例:- 進入 www.google.com
- 右鍵 -> 點擊 另存為
- 您可以在彈窗中看到即將保存的文件類型為 網頁,全部 (*.htm; *.html)
- 選擇保存路徑,點擊 保存
- 您應該在保存路徑中找到一個 Google.html 文件和一個 Google_files 文件夾
在上述例子中,Google.html 文件是 Google 網站頁面的主文件,它涵蓋了我們看到的網頁的結構和內容,是一個 HTML 文件。
您也可以直接雙擊它,以便在您的瀏覽器上打開它。
您應該看到一個類似的頁面,或許有些不同,因為瀏覽器會阻止本地文件進入網絡環境——當然是為了安全。 -
超文本傳輸協議 (Hypertext Transfer Protocol,簡稱 HTTP) 是一種從網絡傳輸超文本到本地瀏覽器的傳輸協議。
它定義了客戶端與服務器之間請求和響應的格式。
HTTP 工作在 TCP/IP 模型之上,通常使用端口 80。 -
傳輸層安全性協議 (Transport Layer Security,簡稱 TLS),前身稱為 安全套接層 (Secure Sockets Layer,簡寫 SSL),是一種廣泛應用的安全協議,目的是為互聯網通信提供安全及數據完整性保障。
TLS 協議基于 RSA 算法,可以對傳輸數據進行加密。 -
超文本傳輸安全協議 (HyperText Transfer Protocol Secure,簡稱 HTTPS) 是一種通過計算機網絡進行安全通信的傳輸協議。
HTTPS經由 HTTP 協議進行通信,利用 TLS 加密數據包。 -
目錄服務 (Directory service) 是一個儲存、組織和提供信息訪問服務的軟件系統。
本項專指的是基于計算機網絡的目錄服務。
可以將其理解為一個 Key-Value 數據庫,其中 Key 是索引, Value 是其對應的值。在該數據庫中,一個 Key 可以對應多個 Value,就像字典,一個詞語也許會有多個詞義。
目錄服務是一種共享的基礎信息服務,可用來定位、管理和組織通用項目和網絡資源,包括:卷、文件夾、文件、打印機、用戶、組、設備、電話號碼和其它對象。
微軟的 Active Directory 是目錄服務的一個著名實現。 -
活動目錄 (Active Directory,簡稱 AD域) 是微軟 Windows Server 中,負責架構中大型網絡環境的集中式目錄服務。
需要注意的是,“活動目錄” 一詞源于中國大陸,港澳臺地區維持英文不變。 -
網絡拓撲 是指計算機網絡中節點(計算機、交換機、路由器等)之間物理或邏輯連接的結構。它定義了節點之間的布局、連接方式和數據傳輸路徑。
網絡拓撲可以是物理層面的,比如實際的電纜連接,也可以是邏輯層面的,比如網絡協議定義的通信規則。
可以將其理解為計算機網絡的設計藍圖,一個好的網絡拓撲圖會使網絡的性能、可靠性、安全性和可擴展性大幅提升。
結語
本文件是作者在查詢各種資料后綜合自身經驗做出的總結,難免有所紕漏,各位師傅見諒。
本文件原綜合了云計算和域滲透部分,現將其二劃分為兩個單獨的文件。
2025/08/01
浙公網安備 33010602011771號