说明:《Linux网络安全技术与实现》
以下内容均来自此书第1章,因好奇,故摘取一部分,如果有需要,均可直接参阅此书,无需读以下内容。
TCP/IP的基本概念:
http://zh.wikipedia.org/wiki/TCP/IP%E5%8D%8F%E8%AE%AE%E6%97%8F(可直接参考这个)
- 应用层(Application Layer)
- 传输层(Transport Layer)
传输层用于定义数据传输方法,传输层主要定义了两种通信协议,分别是TCP协议和UDP协议
- 网络层(Network Layer)
使用IP(Internet Protocol)地址来定位网络上的每一台计算机,并采用路由(Routing)方法决定数据传输路径,将数据传输到正确的目的端
- 链路层(Link Layer)
链路层又称数据链路层(Data Link)或网络接入层(Network Interface),也就是网络的基础设施,它可能是以太网(Ethernet)/光纤(Fiber)/无线网络(Wireless)/帧中继(Frame Relay)或者点对点(PPP)等实体网络。
TCP/IP/Socket之间的关系
Socket是指一个上面有很多“洞”的东西,而Socket上面的这些洞,则称为端口。在OS的网络系统中会有两个Socket,分别是TCP Socket及UDP Socket,Socket上各有65536个洞,由0开始算起,
其范围是065535,称之为Port 0 ~ Port 65535.1023
公认的端口:0
注册的端口:10244915165535
动态端口:49152
注册的端口
可以到IANA的网站上,选用一个没有其他应用程序在使用的端口,并将其注册下来。
动态端口
通常供临时使用,例如:几乎所有客户端应用程序都会使用动态端口,当客户端应用程序启动时,系统就会分配一个“动态端口”给该应用程序来使用,当应用程序结束时,即会把占用的端口归还给系统。
防火墙:
http://zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E5%A2%99(可直接参考这个)
规则(rule):转发或者不转发,过滤或者不过滤
数据包过滤(Packet Level Filter)防火墙
应用层(Application Level Filter)防火墙
常见的防火墙结构:
单机防火墙:
ADSL–>NAT–>内部网络
–>开放的环境(公网IP主机)
如如果企业选择ADSL上网,第一个公网IP通常会分配给网络地址转换器(Network Address Translation,NAT)来使用,而整个企业的内部网络就隐藏在NAT之后,另外的公网IP就直接给企业的服务主机使用。由于公网的主机没有架设防火墙,使其直接暴露在因特网上,任何来自互联网的攻击行为,均有其自己承担。所以这种方式相当不安全。网关式防火墙1:
ADSL–>防火墙–>企业内部网络
由于所有主机(包括对外提供的主机和内部主机)均在防火墙后,也许会好奇因特网上的用户怎么访问内网的主机,这个叫做一对一NAT:即在防火墙主机上设置3(两台对外主机)个ISP所分配的IP,而内部之使用192.168.1.0/24这个私有IP段,并且设置Mail和web主机上设置192.168.1.1和192.168.1.2两个私有IP,然后在防火墙主机上设置如果访问mail就直接转到1.1主机上,>如果访问web,就转到1.2主机上。
由于均在内网,当用户访问web服务器即在内网,就会造成私有主机有很大的安全性,这种方式不会使用。网关式防火墙2:
多加一块网卡,使网关式防火墙1的对外主机和私有内部主机不在同一IP段内。网关式防火墙3:
ADSL–>防火墙1–>对外服务器
–>防火墙2–>内部主机
这种方式由于采用两台防火墙,安全性也就相对提升,不过,务必选用两家不同的产品。透明防火墙:
由于在网关式防火墙中,不管哪一种类型,防火墙本身就是一个路由器,因此在部署防火墙时,必须考虑路由问题。
透明防火墙就是一个网桥设备,并且在网桥设备上赋予了过滤器(Filter)功能,因为网桥是工作在OSI第二层的网络设备,因此不存在任何路由设备,并且网桥上可以不需要设置任何IP,如此就没有路由的问题,又因为防火墙主机本身无需设置IP,所以透明防火墙的部署能力相当强,隐蔽性相当高,即便黑客要攻击这个防火墙,也可能会因为没有目的段IP而无功而返。
