在了解LAN,WAN,MAN在此之前,首先了解相互通信设备的应用
0x01 网络互联设备
中继器
中继器是一种再生和还原信号的网络设备:OSI物理层设备的模型
,中继器对在线路上的信号具有放大再生的功能,用于扩展局域网网段的长度
图片地址:https://prggear.com/wp-content/uploads/2017/02/41HeE7SpUiL.jpg
集线器
集线器的主要功能是再生和放大接收到的信号,以扩大网络的传输距离,并将所有节点集中在以其为中心的节点上
图片地址https://tse3-mm.cn.bing.net/th/id/OIP-C.1jy9ndGMmDADgYkn0bbOnwHaEA?pid=ImgDet&rs=1
它工作于OSI(开放系统互联网参考模型)参考模型的第一层,即物理层CSMA/CD(即带冲突检测的载波监控多路访问技术)介质访问控制机制 集线器每个接口的收发比特简单,收到1就转发1,收到0就转发0,不进行碰撞检测
中继器
,中继器是一种再生和还原信号的网络设备:OSI物理层设备的模型
在局域网环境下,中继器用于延长网络距离,但它属于网络互联设备,在操作中OSI在物理层中,中继器具有放大和再生线上信号的功能,用于扩展局域网段的长度(仅用于连接相同的局域网段)
网桥
网桥的两个端口有一个独立的交换通道,不共享背板总线,可以隔离冲突域。网桥比集线器好(Hub)性能更好,集线器上的每个端口共享相同的背板总线
图片地址:https://tse2-mm.cn.bing.net/th/id/OIP-C.zmlKyRspO95FxmrKBSaJvwHaEK?pid=ImgDet&rs=1
。相比之下,网桥对从关卡上传下来的信息更为敏锐。网桥是一种转发帧的技术,根据MAC分区块,可隔离碰撞。网桥在数据链路层连接网络的同一网段,只能连接同构网络(同一网段),不能连接异构网络(不同网段)
网桥又称桥接器,是一种连接两个局域网的存储/转发设备。它可以使一个大的LAN分割为多个网段,或将两个以上的LAN互联网是一种逻辑LAN,使LAN所有用户都可以访问服务器
网桥优点:
- 利用网桥互连克服物理限制意味着构成LAN 数据站总数和网段数容易扩展
- 纳入存储和转发功能的网桥适用于不同的连接使用MAC 协议的两个LAN,因此构成不同LAN 混合网络环境
- 网桥的中继功能仅依赖于MAC 帧的地址对高层协议完全透明
- 网桥将一个较大的LAN 有利于提高可靠性、可用性和安全性
网桥缺点:
- 与中继器相比,由于网桥在执行转发前接收帧并进行缓冲,会引入更多的延迟
- 由于网桥不提供流控功能,流量大时可能会过载,导致帧丢失
路由器
,读取每个数据包中的地址,然后决定如何传输特殊的智能网络设备
图片地址:https://tse1-mm.cn.bing.net/th/id/R-C.24f329d7a5803e9e1661c1939586652b
它可以理解不同的协议,如局域网使用的以太网协议,因特网使用TCP/IP协议,路由器可以分析来自不同类型网络的数据包的目的地地址TCP/IP网络地址转换为TCP/IP地址,或相反 然后根据选定的路由算法将每个数据包按最佳路线传输到指定位置,因此路由器可以将非路由器传输到指定位置TCP/IP网络连接到因特网
交换机
它可以为接入交换机的任何两个网络节点提供独家的电信号通道,最常见的交换机是,其他常见的有电话语音交换机、光纤交换机等
图片地址:https://tse4-mm.cn.bing.net/th/id/OIP-C.QE5hlrrpjVBQ-_nIZFgg6wHaEL
网络交换机是一种扩展网络的设备,可以为子网络提供更多的连接端口,以连接更多的计算机。随着通信产业的发展和国民经济信息化的发展,网络交换机市场呈稳步上升趋势
从广义上讲,网络交换机有两种:
- 主要用于电信领域,提供通信基础平台
- 用于连接终端设备,如PC机器和网络打印机等
分类传输介质和传输速度:
- 以太网交换机 以太网的核心部件是以太网交换机
- 快速以太网交换机
- 千兆以太网交换机
- FDDI交换机
- ATM交换机
- 令牌环交换机等
规模应用分类:
- 企业级交换机
- 部门级交换机
- 工作组交换机等
网关
网关在网络层以上实现网络连接,是一种复杂的网络连接设备,仅用于两种不同高层协议的网络连接。网关可用于广域网连接或于局域网互连
网关是一种充当转换重任的计算机系统或设备,使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求
图片地址:https://www.allo.com/shop/337-thickbox/gsm-gateway.jpg
网关种类:
- 传输网关用于在2个网络间建立传输连接。利用传输网关,不同网络上的主机间可以建立起跨越多个网络的、级联的、点对点的传输连接
- 主要完成7号信令网与IP网之间信令消息的中继,在3G初期,对于完成接入侧到核心网交换之间的消息的转接
- 又叫IP网关,同时满足电信运营商和企业需求的VoIP设备 中继网关(IP网关)由基于中继板和媒体网关板建构,单板最多可以提供128路媒体转换,两个以太网口 机框采用业界领先的CPCI标准,扩容方便具有高稳定性、高可靠性、高密度、容量大等特点
- 是基于IP的语音/传真业务的媒体接入网关,提供高效、高质量的话音服务,为运营商、企业、小区、住宅用户等提供VoIP解决方案
公司内部使用的电话业务网络
图片地址:https://tse1-mm.cn.bing.net/th/id/OIP-C.Lx_oWE7GxpRYJO17Cl6PHQAAAA
- 按照特定的预编程时间表管理和完成呼叫,可以选择“分支”的方向,并在 PBX 网络树中设置自己的规则,运营商可以根据需要限制或允许国际拨号以避免高成本
- 轻松在用户和部门之间转移呼叫。在不掉线的情况下建立和保持连接,可以通过热转或冷转有效地转移呼叫,无论哪种方式,您都可以可靠地转移呼叫
- 使用录制的消息自定义问候语,包括为企业选择音乐,此功能是提醒客户有关销售或服务问题的绝佳方式
- 运营呼叫中心以帮助您管理销售团队或客户支持部门,虽然成本很高,但 PBX 可以根据其物理限制在队列中保留呼入和呼出呼叫,基于云的 PBX 可以处理更多的呼叫并将其分配给所需的人员或团队
- 使用同一个电话系统连接多个办公地点,以便员工可以相互交谈,您可以使用 PBX 来处理此呼叫路由,而不是管理单独的电话系统
防火墙
图片地址:https://tse4-mm.cn.bing.net/th/id/OIP-C.wuyPCZJmHBaDP_whF0XUVgHaEA?pid=ImgDet&rs=1
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验
防火墙功能
。防火墙还可以关闭不使用的端口
- 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险
- 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上
- 当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息
- 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响
- 进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息
防火墙类型
- 过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过
- 应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上,其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制
- 综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制
防火墙关键技术
- 防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中,其能够完成对防火墙的状态检测,从而预先可以把逻辑策略进行确定
- 计算机信息传输的过程中,借助防火墙还能够有效的实现信息的加密,通过这种加密技术,相关人员就能够对传输的信息进行有效的加密,其中信息密码是信息交流的双方进行掌握,对信息进行接受的人员需要对加密的信息实施解密处理后,才能获取所传输的信息数据
- 防火墙具有着防病毒的功能,在防病毒技术的应用中,其主要包括病毒的预防、清除和检测等方面 防火墙的防病毒预防功能来说,在网络的建设过程中,通过安装相应的防火墙来对计算机和互联网间的信息数据进行严格的控制,从而形成一种安全的屏障来对计算机外网以及内网数据实施保护
- 代理服务器是防火墙技术引用比较广泛的功能,根据其计算机的网络运行方法可以通过防火墙技术设置相应的代理服务器,从而借助代理服务器来进行信息的交互
蜜罐
先看一下百科对蜜罐的定义
“蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。”
图片地址:https://blog.smarthoneypot.com/wp-content/uploads/2015/04/Honeypot_system.jpg
那么我们自己来分析一下什么是蜜罐呢?
图片地址:https://image2.slideserve.com/4171790/screened-subnet-l.jpg
通常位于屏蔽子网或者是DMZ中,引诱攻击者主动攻击
在子网内构成一个,也称为隔离区,在这个区域内可放置一些公开的服务器设施,如企业Web服务器、FTP服务器和论坛等
在只有被屏蔽主机的环境中,攻击者突破防火墙就会出现很大的安全问题,在屏蔽子网中,攻击者需要攻破另一个路由器或防火墙才能获得进一步的访问权限
统一威胁管理
图片地址:https://adventusasia.com/resources/front/template/adventusasia/images/unified_threatcc59.png?bx=unifiedThreat
UTM功能
- 数据丢失防护(DLP)技术主要用于检测和阻止攻击者试图将敏感数据从企业内部渗出到外部位置的行为 DLP可以保护的敏感数据包括社会安全号码、信用卡号码、医疗记录和知识产品 虽然很多人认为DLP是基于文本的技术,专注于电子邮件和文字处理文档,但事实上,它也能够分析音频、视频和其他非文本形式的文件
- 某些供应商的统一威胁管理产品可以配合基于云的沙盒服务 如果企业的统一威胁管理设备看到一个试图通过它的可执行文件,并且觉得该文件非常可疑,那么统一威胁管理可以暂停该可执行文件的传输,并转发副本到基于云的沙盒以进行进一步评估
- 一些统一威胁管理产品还提供的另一个功能是服务质量(QoS)执行 这允许通过统一威胁管理的部分或全部的网络服务管理自己的带宽,这样就没有服务会使用太多统一威胁管理的带宽
0x02 内联网 & 外联网
内联网
,通常采用一定的安全措施与企业外部的因特网用户相隔离,对内部用户在信息使用的权限上也有严格的规定
图片地址:https://tse1-mm.cn.bing.net/th/id/R-C.05bb153073b4f0893cf8b9d26e3ca7c0?rik=0yNx%2FCyL2YenDA&riu=http%3A%2F%2Fxenlife.com.au%2Fwp-content%2Fuploads%2Fintranet1.jpg&ehk=IFRKm%2BIm5hqiW2H4Lyzu%2B6TlCOhMV70NTrX6bFf83ko%3D&risl=&pid=ImgRaw&r=0
内联网功能
- 经济全球化、市场一体化是21世纪社会发展的一大趋势,它把传统的社会化大分工大协作的理论推向了现实极致:企业强强联合,跨国企业、连锁企业大量涌现,企业的组织机构呈倒树状发展,越来越庞大
- 培训部门最棘手的问题是需要不断更换教材,使培训内容能及时适应产品、销售与市场的变化,内部网上的内部互联网服务器妥善地解决了这个问题,它可为员工提供包括声音与影视信息的最新教材,而且职工可根据本人条件掌握培训进度
- 市场部门必须为销售部门提供各种资料,包括产品演示节目、定价单、目录、产品说明、销售指南、竞争对手、订单格式等等
- 内部网中的电子邮件为单位内部的通信提供了一种极其方便的手段。目前互联网上的电子邮件虽然用得很普遍,但使用起来仍然不很方便
- 单位内的管理部门可用内部网向内部网络的用户发布软件,并按需要及时改进。尤其是像Java这类新技术的应用不断扩大,这种分布方式更能带来极大效益
外联网
,而且需要能够对通过外联VPN通道的相互访问进行严格的访问控制
构建外联网,不仅要求能够实现外联单位间迅捷、安全的数据传输,而且需要能够对通过外联VPN通道的相互访问进行严格的访问控制
0x03 城域网
(Metropolitan Area Network)
由于采用具有有源交换元件的局域网技术,网中传输时延较小,它的传输媒介主要采用光缆,传输速率在100兆比特/秒以上
图片地址:https://static.javatpoint.com/tutorial/computer-network/images/metropolitan-area-network.png
MAN的一个重要用途是用作骨干网,通过它将位于同一城市内不同地点的主机、数据库,以及LAN等互相联接起来,这与WAN的作用有相似之处,但两者在实现方法与性能上有很大差别 基于一种大型的LAN,通常使用与LAN相似的技术。MAN单独的列出的一个主要原因是已经有了一个标准:分布式队列双总线DQDB(Distributed Queue Dual Bus),即IEEE802.6
城域网络分为3个层次
- ,完成和已有网络(如ATM、FR、DDN、IP网络)的互联互通,其特征为宽带传输和高速调度
- ,同时要实现业务的服务等级分类
- ,接入节点设备完成多业务的复用和传输
城域网用途
高速上网、视频点播、网络电视、远程医疗、远程教育等
0x04 广域网
(Wide Area Network,WAN),又称外网、公网,它能连接多个地区、城市和国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络,广域网并不等同于互联网
图片地址:https://tse1-mm.cn.bing.net/th/id/R-C.1b90752ee241722187b56dca25b7a8a0
广域网的发送介质主要是利用电话线或光纤,由ISP业者将企业间做连线,这些线是ISP业者预先埋在马路下的线路,因为工程浩大,维修不易,而且带宽是可以被保证的,所以在成本上就会比较为昂贵
数据交换
(Data Switching) 电路交换原理与电话交换原理基本相同,电路交换的缺点是电路的利用率低,双方在通信过程中的空闲时间,电路不能得到充分利用
图片地址:https://www.ictshore.com/wp-content/uploads/2016/11/1012-16-Broadcast_domains_vlan.png
电路交换
(circuit switching)
图片地址:https://image3.slideserve.com/6760426/switching-networks-l.jpg
电话通信的过程是:首先摘机,听到拨号音后拨号,交换机找寻被叫,向被叫振铃同时向主叫送回铃音,此时表明在电话网的主被叫之间已经建立起双向的话音传送通路;
当被叫摘机应答,即可进入通话阶段;在通话过程中,任何一方挂机,交换机会拆除已建立的通话通路,并向另一方送忙音提示挂机,从而结束通话
特点
- 信息传送的最小单位是时隙
- 面向连接
- 同步时分复用
- 信息传送无差错控制
- 基于呼叫损失的流量控制
- 信息具有透明性
报文交换
发信端用户首先把要发送的数据编成电文,连同收信地址等辅助数据一起发往本地交换中心,在那里把它们完整地存储起来并作适当处理,当本地交换中心的输出口有空时,就将电文转发到下一个交换中心,最后由收信端的交换中心将电文传递到用户
异步传输模式
(Asynchronous Transfer Mode) 信头中有信元去向的逻辑地址、优先级、信头差错控制、流量控制等信息。数据段中装入被分解成数据块的各种不同业务的用户信息或其他管理信息,并透明地穿过网络
图片地址:https://ecomputernotes.com/images/ATM-Network.jpg
在数据传输中,来自不同业务和不同源端发送的信息统一以固定字节的信元汇集在一起,在ATM交换机的缓冲区排队,然后传送到线路上,由信息头中的地址来确定信元的去向。使用这种方法可使任何业务按实际需要占用资源,保证网络资源得到合理利用,ATM技术被广泛应用于银行等金融机构中
服务质量
(Quality of Service)
图片地址:https://tse1-mm.cn.bing.net/th/id/R-C.a7013273b97658161bf2c7cc009bd414
QoS的保证对于容量有限的网络来说是十分重要的,特别是对于流多媒体应用,例如VoIP和IPTV等,因为这些应用常常需要固定的传输率,对延时也比较敏感
会话初始协议
(Session initialization Protocol)
图片地址:https://www.researchgate.net/profile/Ahmadreza_Montazerolghaem/publication/301577956/figure/fig25/AS:668647928381461@1536429497815/Elements-of-session-initiation-protocol-network.ppm
它是一个基于文本的应用层控制协议,用于创建、修改和释放一个或多个参与者的会话,SIP 是一种源于互联网的IP 语音会话控制协议,具有灵活、易于实现、便于扩展等特点
SIP与负责语音质量的资源预留协议(RSVP)互操作。它还与若干个其他协议进行协作,包括负责定位的轻型目录访问协议(LDAP)、负责身份验证的远程身份验证拨入用户服务 (RADIUS) 以及负责实时传输的 RTP 等多个协议
0x05 远程连接
。当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都像是直接在该计算机上操作一样
拨号连接
这包括使用标准电话线的调制解调器、使用高速 ISDN 线路的 ISDN 卡,或 X.25 网络
,例如,与 Internet 的连接或与公司网络的连接。在较复杂的服务器情况下,多个网络调制解调器连接可能被用于实现高级路由
综合业务数字网
(Integrated Services Digital Network,ISDN) 在ITU的建议中,ISDN是一种在数字电话网IDN的基础上发展起来的通信网络,ISDN能够支持多种业务,包括电话业务和非电话业务
图片地址:https://th.bing.com/th/id/R.16ff198f16d9aa4a105f6f23a22c6942
在ITU的建议中,ISDN是一种在数字电话网IDN(该网能够提供端到端的的数字连接)的基础上发展起来的通信网络,ISDN能够支持多种业务(包括电话业务以及非电话业务)
数字用户线路
(Digital Subscriber Line),DSL包括ADSL(Asymmetric Digital Subscriber Line,非对称数字用户线)、RADSL、HDSL和VDSL等等
图片地址:https://i.pinimg.com/originals/9c/41/9e/9c419e097ecbef3c92c21022b84c01d8.jpg
DSL技术在传递公用电话网络的用户环路上支持对称和非对称传输模式,解决了经常发生在网络服务供应商和最终用户间的“最后一公里”传输瓶颈问题。由于DSL 接入方案无需对电话线路进行改造,可以充分利用已经被大量铺设的电话用户环路,所以可以大大降低额外的开销 利用铜缆电话线提供更高速率的因特网接入更受用户的欢迎,在一些国家和地区得到大量应用
虚拟专用网络
。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问
VPN可通过服务器、硬件、软件等多种方式实现
图片地址:https://articleify.com/wp-content/uploads/2019/10/vpn-4364739_960_720.jpg
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患
IPsec
(Internet Protocol Security) 是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)
IPsec组成
- ,为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
- ,提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性
- ,提供算法和数据包,提供AH、ESP操作所需的参数
- ,提供对称密码的钥匙的生存和交换
安全传输层协议
(TLS) 该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)
图片地址:https://help.globalpaymentsintegrated.com/wp-content/uploads/2020/09/Privacy_POS-using-TLS.png
传输层安全性协议(英语:Transport Layer Security,缩写作TLS),及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是
TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连接,防止在交换数据时受到窃听及篡改
密码认证协议
密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的
完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止