1. 安全网络架构和组件
1.1 OSI模型
OSI模型的历史
OSI模型的开发旨在给所有计算机系统建立通用的通信结构或标准
OSI功能
OSI模型将网络任务分为七层。
7 应用层 PDU
6 表示层 PDU
5 会话层 PDU
4 传输层 段(TCP)或数据报(UDP)
3 网络层 数据包
2 数据链路层 帧
1 物理层 比特
封装/解封
封装:指再将每层从上面的层接收到的数据传递到下面的层之前,为其添加头部,也可能添加尾部
解封:数据从物理层到应用层向上移动时的逆操作称为解封
OSI模型层次
应用层
应用层负责将用户应用程序、网络服务或操作系统与协议栈相连接
表示层
负责将数据转换为遵循OSI模型的任何系统都能理解的格式,将通用或标准化的结构和格式规则强加在数据之上
表示层还负责加密和压缩
会话层
负责建立、维护和终止两台计算机之间的通信会话
管理对话规则或对话控制(单工、半双工、全双工)
单工:单向通信
半双工:双向通信,但一次只能向一个方向发送数据
全双工:双向通信,可以同时向两个方向发送数据
建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的PUU
在TCP/IP网络上,没有实际的会话层,会话层功能由TCP在传输层处理,或者UDP根本不处理
传输层
负责管理连接的完整性并控制会话
传输层在节点之间建立通信连接并定义会话规则
会话规则指定每个段可包含多少数据,如何验证消息的完整性,以及如何确定数据是否已丢失
会话过程是通过握手过程建立的
TCP、UDP、TLS协议在传输层运行
网络层
负责逻辑寻址和执行路由
数据包的包头包括源和目标IP地址
网络层负责提供路由或传递导航信息,但不负责验证信息是否传递成功
网络层还管理错误检测和节点数据流量(流量控制)
路由器是在网络层运行的基本网络硬件设备
数据链路层
负责将数据包格式转化为传输格式
ARP协议运行于此层
在数据链路层运行的网络硬件设备是交换机和网桥,这些设备支持基于MAC的流量路由
物理层
将帧转换为比特,通过物理连接介质进行传输
在磁层运行的网络硬件设备有NIC、集线器、中继器、集中器和放大器
1.4 通用应用层协议
Telnet TCP23端口 是一个终端仿真网络应用程序,支持远程连接以执行命令和运行应用程序,但不支持文件传输。不应使用telnet,应用ssh替代
FTP TCP20端口(活动数据连接)/短暂(被动数据连接)和21(控制连接)端口。支持需要匿名或特定身份认证的文件传输,不应使用FTP,应用SFTP或FTPS
TFTP UDP69端口,是一个支持不需要身份认证的文件传输的网络应用程序,用于承载网络设备配置文件,支持多播,不应使用TFTP
SMTP TCP25端口,是一种用于将电子邮件从客户端传输到电子邮件服务器以及从一个电子邮件服务器传输到另一个电子邮件服务器的协议,仅在使用TLS加密创建SMTPS时使用
POP3 TCP110端口,是一种用于将电子邮件从电子邮件服务器上的收件箱中拉到电子邮件客户端的协议,仅在使用TLS加密创建POPS时使用
IMAP TCP143端口
DHCP UDP67端口
HTTP TCP80端口
HTTPS TCP443端口
LPD TCP515端口 ,是一种网络服务,用于将假脱机打印作业以及将打印作业发送到打印机
SNMP UDP161端口,用于从中央监控服务器收集网络运行状况和状态信息,仅SNMP v3是安全的
NFS TCP2049端口,是一种网络服务,用于支持不用系统之间的文件共享
X WINDOW TCP6000-6063 ,是用于命令行操作系统的GUI API
1.5 传输层协议
TCP/IP的两个主要传输层协议是TCP和UDP
TCP是一种面向连接的全双工协议
通过三次握手建立可靠的会话
客户端将SYN(同步)标记的数据包发送到服务器
服务器以SYN/ACK(同步和确认)标记的数据包响应客户端
客户端以ACK(确认)标记的数据包响应服务器
UDP是一种无连接单工协议
无连接的“尽力而为”的通信协议,不提供错误检测或纠正,不使用排序,不使用流量控制机制,不使用预先建立的会话,被认为是不可靠的
UDP具有非常低的开销,因此可以快速的传输数据
只有在传输不重要的数据时才使用UDP
UDP通常用于音视频的实时或流通信
1.7 互联网协议网络
IP 为数据包提供路由寻址,提供一种身份识别手段并规定了传输路径
与UDP类似,IP是无连接的,是一种不可靠的通信服务,不保证数据包一定能被传送或数据包以正确顺序传送,也不保证数据包只被传送一次
必须在IP上使用TCP来建立可靠和受控的通信会话
IPv4--使用32位寻址方案和IPv6--使用128位寻址方案
IP分类
A类:1-126 为环回地址留出整个A类网络的127个地址
子网掩码:255.0.0.0 /8
B类:128-191
子网掩码:255.255.0.0 /16
C类:192-223
子网掩码:255.255.255.0 /24
D类:224-239 用于多播
E类:240-255 供将来使用
ICMP
用于确定网络或特定链路的运行状况,可用于ping、traceroute、pathping等网络管理工具
IGMP
允许系统支持多播,多播将数据传输到多个特定接收者
IGMP用于管理主机的动态多播组成员资格
1.8 ARP关注点
ARP用于将IP地址(用于逻辑寻址的32位二进制数)解析为MAC地址(用于物理寻址的48位二进制数)
ARP承载以太网的有效载荷,是一个从属的第2层协议
ARP使用缓存和广播来执行其操作,第一步检查本地ARP缓存,如果所需信息存在于ARP缓存中,则使用它;如果ARP缓存不包含必要信息,则发送广播形式的ARP请求
1.11 微分网络
网络被分割或细分为更小的组织单元网络,而不是被配置为单个大型系统集合,这些较小的单元、分组、段或子网可用于改善网络的各个方面
提高性能
减少通信问题
提供安全
1.12 无线网络
802.11是用于无线网络通信的IEEE标准
802.11x有时用于将所有这些特定实现统称为一个组
为无线网络分配SSID以将一个无线网络与另外一个无线网络区分开
无线信道
无线安全
WEP
WPA
WPA2
WPA3
802.1X/EAP
LEAP
PEAP
