导图社区 TCPIP模型网络互联设备通信网络安全思维导图

TCPIP模型网络互联设备通信网络安全思维导图

TCPIP模型网络互联设备通信网络安全思维导图，包括开放系统互联，TCP/IP模型，传输类型，LAN网络互联，路由协议，网络互联设备，内联网与外联网的内容梳理。

编辑于2023-02-21 22:50:57 广东

通信网络安全
网络互联设备
TCPIP模型

凝

他的近期作品查看更多>>

TCPIP模型网络互联设备通信网络安全思维导图

社区模板帮助中心，点此进入>>

凝

他的近期作品查看更多>>

相似推荐
大纲

论语孔子简单思维导图
- 75.0k
- 831
- 1.0k
- 424
MindMaster
《傅雷家书》思维导图
- 122.7k
- 1.6k
- 2.7k
- 1.2k
MindMaster
《童年》读书笔记
- 41.9k
- 462
- 960
- 331
MindMaster
《茶馆》思维导图
- 10.2k
- 171
- 182
- 40
MindMaster
《朝花夕拾》篇目思维导图
- 22.9k
- 491
- 1.1k
- 291
MindMaster
《昆虫记》思维导图
- 28.0k
- 255
- 771
- 271
MindMaster
《安徒生童话》思维导图
- 15.2k
- 262
- 261
- 65
MindMaster
《鲁滨逊漂流记》读书笔记
- 19.0k
- 290
- 545
- 164
MindMaster
《这样读书就够了》读书笔记
- 93.3k
- 12.3k
- 8.9k
- 2.2k
Ethan
妈妈必读：一张0-1岁孩子认知发展的精确时间表
- 7.7k
- 1.6k
- 396
- 42
Ethan

TCP/IP模型网络互联设备通信网络安全思维导图

开放系统互联（OSI)

OSI

应用层

提供文件传输、消息交换、终端会话及更多功能

HTTP

FTP

SMTP

TFTP

表示层

正确处理数据的表示方式，格式

会话层

作用

负责建立连接、数据传输和连接释放

协议

NFS

SQL

NETBIOS

RPC(remote procedure call远程过程调用）

模式

单工模式

单方向发生通信

半双工模式

两个方向进行通信，一次只有一个应用程序能发送

全双工模式

两个方向通行，两个应用程序同事发送信息

传输层

TCP

面向连接

UDP

无连接协议

SSL

TLS

SPX序列包交换

网络层

路由

ICMP

RIP

OSPF

EIGRP

BGP

IGMP

数据链路层

ARP

RARP

PPP

SLIP(串行线路Internet 协议

物理层

高速串行口（High-Speed Serial Interface，HSSI)

X.21

EIA/TIA-232和EIA/TIA-449

TCP/IP模型

总结

TCP

TCP握手

SYN包

SYN/ACK

ACK

UDP

通用端口

Telnet 23

SMTP 25

HTTP 80

SNMP 161 162

FTP 20 21

SSH 22

IP寻址

总结

网络上每个节点都必须有一个唯一的IP地址

IPv4

使用32位地址

IP提供寻址、包拆分和包超时

IPv6

使用128位地址

子网

在IP地址主机部分，指派一个子网络

子网划分允许将大范围的IP地址分为若干较小的、逻辑的和更易于使用的网段

IPv6

128位地址，范围更大

通过为多播地址添加一个作用域，提供多播路由的可扩展性，定义任播地址，可向节点组中任一节点发送数据包

限制IPv6首部的成本

改变了IP首部选项的编码方式，实现有效转发

对属于用户请求特殊处理（非默认的QOS或实时服务）的具体流量“流”的数据包进行标记

IPv6指定了支持身份验证、数据完整性以及（可选择）支持数据机密性的扩充部分

应用层

传输层

网络层

数据链路层

传输类型

模拟和数字

模拟传输信号

连续变化的电磁波，能在空气、水、双绞线、同轴电缆或光纤线路上传输

数字信号

代码1或0

更安全

异步和同步

异步

不同时进行通信

同步

同时进行通信

宽带和基带

基带

使用整个通信通道进行传输

宽带

将一个通信通道分为若干不同且独立的通道，从而能够同时传输不同类型的数据

LAN网络互联

网络建立的原因

允许计算机之间通信

共享信息

共享资源

提供集中管理

网络拓扑

环形拓扑

单向传输链路链接一系列设备

总线型拓扑

定义

一根线缆跨越整个网络

类型

一根线链接所有节点

树状

具有从一根线缆分出的若干分支，每个分支可以包含许多节点

缺点

单一故障点

星形拓扑

所有节点连接到一个集中式设备

网状拓扑

是由路由器和交换机相互连接的网络，从而为网络上的所有节点提供多重路径

LAN介质访问技术

以太网

共享介质（所有设备都必须轮流使用相同的介质，从而会发生冲突）

使用广播和冲突域

使用带冲突检测的载波坚挺多路访问（CSMA/CD)方法

在双绞线实现上支持全双工

嫩更实用同轴电缆或双绞线介质

由IEEE802.3标准定义

令牌环

由IEEE802.5标准定义

FDDI光纤分布数据接口

高速令牌传递介质访问技术

布线

同轴电缆

双绞线

光缆

布线问题

噪声

衰减

串扰

线缆的阻燃率

Subtopic

传输方法

数字信号

将二进制数字表示为离散的电脉冲

模拟信号

幅度和频率连续变化的信号

异步通信

串行传输数据，使用开始为和结束位，并且要求通信设备以相同的速度通信

同步通信

由电子时钟定时信号控制的高速传输

一个通道使用整个带宽，数据传输速率低

宽带传输

将带宽分为许多通道，支持传输不同类型的数据，提供的数据传输速率高

单播传输

数据包从一台源计算机送至一台目标计算机

多播传输

数据包从一台源计算机发送至若干特定计算机

广播传输

数据包从一台原计算机发送至一个特定王端上的所有计算机

介质访问技术

令牌传递

CSMA

冲突域

隔离冲突域，减少网络发生冲突数量，增加网络的整体性能

轮询

监视多个设备和控制网络访问传输的方法

LAN协议

地址解析协议（ARP)

把IP地址解析为MAC地址

动态主机配置协议（DHCP)

是一种UDP协议

允许服务器向客户端实时分配IP地址

4个包

discover

offer

request

ACK

Boot Protocol,BOOTP 启动协议

RARP 方向地址解析协议

把MAC地址解析为IP地址

Internet 控制信息协议

ICMP

ping实用程序

路由协议

协议类型

RIP

概述路由器如何交换路由表数据的标准

距离矢量路由协议

OSPF

使用链路状态算法发送路由表信息

IGRP内联网关路由协议

思科私有的距离矢量路由协议

BGP

组合使用距离矢量和链路状态算法

威胁

虫洞攻击

在网络中某个位置捕获数据包，将其通过隧道传到另一个位置

防御

使用约束，约束只是存放在不同数据包首部中的一些数据

DOS攻击

防洪攻击路由器端口

缓冲区溢出

SYN泛洪

防御

应用共享密钥

IPsec对进出路由数据进行身份验证和加密

网络互联设备

中继器

提供最简单类型的连通性

工作在物理层

集线器等

网桥

概念

链接不同LAN网段的设备

工作在数据链路层

类型

本地

在一个局部区域内连接两个或两个以上网段

远程

使用通信链路链接一个MAN上的两个或多个LAN网段

翻译

连接两个不同类型，使用不同标准和协议的LAN

路由器

网络层设备

隔离不同的冲突域和广播域

两个两个相似或不同的网络设备

交换机

功能

组合了中继器和网桥的功能

类型

2层交换

工作在数据链路层

基于MAC地址转发流量

多层交换机

既有交换功能又有路由功能

工作在网络层

MPLS多协议标签转换

VLAN

虚拟局域网

增加安全性

网关

用于在连接两个不同环境的设备上运行的软件，充当了这些环境的翻译器

电子邮件网关

X.400

专用交换分机PBX

用户公司所有的专用电机交换机

可以和几种设备接口，提供多种电话服务

能够控制模拟和数字的数字交换设备

防火墙

定义

限制从另一个网络对特定网络的访问

类型

包过滤防火墙

作用

一种控制哪些数据可以流进或流出网络的安全方法

通过ACL实现

优点

它们可升级，不依赖应用程序

由于不对数据包进行大量的处理，具有较高的性能

缺点

不能防止攻击利用针对应用程序的脆弱性或功能

日志功能有限

不支持高级的用户身份验证方案

无法检测OSI第3层寻址信息被修改（伪造）的网络数据包

容易遭受配置不当引起的安全威胁

状态检查防火墙

特征

维护一个状态表，以跟踪记录每个通信通道

提供高度的安全性，而且不会像代理防火墙那样引入性能问题

可升级，对用户透明

为跟踪廉洁协议（UDP或ICMP）提供数据

存储和更新包内数据的状态和上下文

被视为第三代防火墙

DOS攻击

伪造信息造成状态表泛洪

代理防火墙

优点

检查数据包中的信息，甚至可能到达应用层的信息

提供更好地安全性比包过滤

切断可信任系统和不可信任系统之间的连接

缺点

某些代理防火墙只支持有限的应用

降低网络流量性能

基于应用的代理服务器可能存在可扩展性和性能问题

打破客户端/服务器模式，虽然有利安全，但有时会对功能造成影响

类型

应用级代理

定义

为一种服务或协议工作

特征

每个服务需要一个不同的代理

比电路级提供更细致的控制

对每个包都要处理，速度比电路级防火墙要慢

优点

检查整个数据包，拥有强大的日志记录功能

应用级代理网关能够直接对用户进行身份验证

应用级代理网关防火墙不仅仅是第3层设备，能够抵御欺骗性攻击和其他复杂的攻击

缺点

不适合高带宽或实时应用

支持的网络应用和协议能力有限

电路级代理

定义

创建客户端计算机和服务器之间的一个电路

特征

不需要每个服务一个代理

不提供详细的访问控制

为更广范围的协议提供安全性

SOCKS防火墙

定义

能够屏蔽、过滤、审计、记录与控制流进和流出受保护网络的数据流

特征

是一种电路级代理防火墙

要求客户端安装SOCKS客户端软件，以实现SOCKS化

可以是资源密集型的

提供与VPN协议类似的身份验证和加密特性，但不被认为是传统的VPN协议

动态包包过滤防火墙

基于端口限制

优点

是第四代防火墙

可以允许任何类型的流量流出，并且只允许响应流量流入

内核代理防火墙

是第五代防火墙

在内核中处理数据，速度更快

为每个包都创建一个网络栈

防火墙体系架构

堡垒主机

锁定（或强化）系统

双宿/多宿防火墙

一个设备具有两个或多个接口，内网、外网和DMZ区域

被屏蔽主机

在流量到达防火墙之前，路由器对其进行过滤（屏蔽）

被屏蔽子网

在被屏蔽主机体系机构的基础上又添加一层安全性

在流量进入子网之前，外部路由对其金小平过滤（屏蔽），随后，前往内联网络的会经过两个防火墙

特征

一台计算机使用不同的NIC连接每个网络

用于划分内部可新人网络与外部不可信网络

必须禁用计算机的转发和路由功能，以真正隔离两个网络

防火墙须知

任何防火墙的默认动作都是隐式拒绝

防火墙的不足

大多数时候，需要使用分布式方法来控制网络接入点，这是仅使用防火墙无法完成的工作

是潜在流量瓶颈

可能限制用户期望访问的服务（对用户来说是缺点，对安全专家来说是优点）

无法阻止病毒的下载或通过电子邮件传播，需要与相关病毒检测技术结合

边界防火墙对内部攻击的保护很少

不能阻止采用侦听模式的恶意调制解调器

恶意的无线接入点

蜜罐

蜜罐系统一般是指位于屏蔽子网或DMZ中的计算机

网络分割与隔离

网络和子网彼此分割开来

网络互联服务与协议

域名服务

DNS域名解析系统

.com商业

.EDU教育

.MIL美国军事组织

.INT国际公约组织

.gov政府

.org组织

.net 网络

DNS威胁

DNS中毒

对策

使用强度更高的身份验证机制

目录服务

具有一个分层的数据库，涉及用户、计算机、打印机、资源以及他们的属性

轻量级目录访问协议（LDAP)

一种用于访问网络目录的客户端/服务器协议

遵循X.500标准

网络地址转换nat

静态映射

动态映射

端口地址转换（PAT)

内联网与外联网

内联网

是一个使用Internet技术的私有网络

外联网

扩展公司网络的边界，使得两个或更多公司能共享通用的信息和资源

EDI电子数据交换，嵌入基于web的技术

城域网MAN

定义

通常是将LAN连接到LAN，将LAN连接到WAN、Internet和其他电信电缆网

SONET

是一种用于光缆上通信传输的标准

广域网WAN

专用链路

点到点链路Point to Point）

T载波

能在干线上运载语音和数据信息

通过时分多路复用（Time-Division Multiplexing，TDM)来执行多路复用功能

WAN技术

CUS/DSU

通道服务单元/数据服务单元

DSU

DSU设备将来自路由器、网桥和多路复用器的数字信号转换为能在电话公司的数字线路上传输的信号

确保转换过程中电压的正确性以及信息部丢失

CSU

将网络直接连接到电话公司的线缆上

DTE（Data Terminal Equipment）数据终端设备

DCE(Data Circuit-Terminating Equipment）数据电路终端设备

交换

类型

电路交换

建立一个虚连接，在两个系统之间如同专用链路那样工作

数据包交换

并不建立专用虚拟链路，从一个连接传来的数据包会通过许多不同的独立设备，而不是所有的包相继通过相同的设备

差异

电路交换

面向连接的虚拟链路

流量按可预测的、恒定的方式流动

固定的延迟

通常运载面向语音的数据

数据包交换

数据包可沿许多不同的动态路径到达统一目的地

支持爆发式数据流量

可变的延迟

通常运载面向连接的数据

帧中继

是一种在数据链路层工作的WAN协议

它是WAN使用数据包交换技术的解决方案

使得多个公司和网络共享相同的WAN介质

通过虚电路转发数据帧

虚电路

PVC永久虚电路

事先设定好的

保证带宽级别

（Swithched Virtual Circuit，SVC）交换式虚电路

需要与拨号和连接相似的步骤

X.25

第一个开发出来的再公共网络上工作的数据包交换技术

公司之间共享介质

由于存在额外的开销，速度比帧中继慢

国际标准，在美国之外的国家使用更广泛

使用SVC和PVC

异步传输模式ATM

只有很小延迟的高带宽交换和多路复用技术

使用大小固定53字节的信元

由于开销低，速度很快

服务质量（QOS)

ATM QOS服务

固定位率（Constant Bit Rate，CBR)

一种面向连接通道，可为时效性应用提供一致的数据处理能力

需要制定必要的带宽要求

可变位率（Viariable Bit Rate，VBR)

面向连接通道，最是用于对延迟不敏感的应用

数据流量不平衡

客户指定所需的高峰和持续的数据传输率

末指定位率UBR

无连接通道

ABR可用位率

面向连接通道

基本级别

尽力服务

不保证处理能力、延迟或传输

差分服务

与尽力服务相比，被指派这种级别的流量拥有更大的带宽、更短的延迟，并且丢失的帧也更少

保证服务

以有保证的速度确保制定的数据吞吐量，时效性流量用这个级别

SMDC交换式多兆位数据服务

是一种高速数据包交换技术

用于是用户能够将他们的LAN扩展到MAN和WAN

SDLC（Synchronous Data Link Control）同步数据链路控制

使用大型机能与远程办公室通信

提供轮询机制，是主站和从站能够通信

HDLC(High-level Data Link Control)高级数据链路控制协议

数据链路层协议

用于同步线路上的一种数据封装方法

改进的SDLC

点到点通信和多点同学

HSSI（High-Speed Serial Interface）高级串行接口

是一种将多路复用器和路由器联系至高速通信服务的接口（DTE/DCE接口）

多服务访问技术（multiservice access technology）

定义

将若干种通信类别（数据、语音和视频）合并到一条传输线上

提供了更高的性能

降低成本

Voip ip语音组件

ip电话设备

呼叫处理管理器

语音邮件系统

语音网关

H.323网关

连接不同的系统和设备，并且提供必要的转换功能

H.323终端连接到网关，网关连接到PSDN

SIP(Session Initiation Protocol)会话发起协议

定义

广泛应用与VoIP通信会话的信令协议

组件

用户代理客户端(UAC)

是一种应用程序，创建启动通信会话SIP请求

用户代理服务器（UAS)

IP电话问题

威胁

SYN泛洪攻击

垃圾网络电话

安全措施

对网络设备随时应用最新的补丁程序

呼叫管理服务器

语音邮件服务器

网关服务器

标识尚未标识的或欺诈的电话设备

实现身份验证，是网络上只有被授权的电话设备在工作

安装与维护

状态检查防火墙

用于敏感语音数据的VPN

入侵检测

在路由器、交换机、PC和IP电话上过滤不必要的端口

利用IDS/IPS查找攻击、隧道传输和攻击性呼叫模式的实时监控

利用内容监控

当数据（M语音、传真、视频）通过不可信网络时使用加密

使用双因素身份验证要求’

限制通过介质网关的呼叫数量

完毕后关闭介质通话