Day9 – TCP/IP 與OSI 架構的比較(下)

我們接續昨天的主題，今天我們要先來聊的是Layer 4 階層(transport)以上的階層

Layer 4 (Transport) 可以看到圖上面有寫到TCP / UDP
顧名思義，這邊就是能夠了解這兩個protocol的地方，
那這兩個協定的詳細介紹我就不在多說明了。

我們要來聊聊的是最上面的application階層，
顧名思義這個階層就是談論到我們一般在使用的service部分，
我們可以看到階層架構圖的最上面，
一些平常會使用的service都會在這邊，硬體裝置包括Firewall / IPS / IDS / Proxy在這。

這邊要先開始講解一下這些層及架構服務的運作方法，
我們可以看到他是透過一個 U型的型態就行遶送，
假設我們要存取WEB服務，
在架構裡面，他就會被拆解成這樣去看:

Application :WEB (HTTP / HTTPS)
Transport: TCP – 80
Internet : IP位置多少
Network Access: 封包要如何傳送

當我們要連結一個網站，後面的架構就是如此。
那我們知道其大概的運作架構後來簡單看一下他的裝置有哪些，
Firewall 是最明顯的，
現在市面上防火牆有許多不同的廠牌，但以階層來看就會發現大多分為兩種。

一、Layer 4 防火牆 (Transport)

二、Layer 7 防火牆 (Applicatio)

後面我們會介紹一些防火牆操作時，會看到他的內部結構，
這邊先了解一下，這兩個東西到底有甚麼差別?

第一個差異，
就我們上面提到的Transport ，一般我們設定防火牆部分，
我們都是設定針對來源或目的端的IP位置進行限制，
限制可以存取哪個port number (EX: TCP-80)，

IP限制的判斷是在Layer3階層的進行，
Port number 的判斷限制就是在我們上面說的Layer 4(Transport)進行。
因為只有在Layer 4的地方才能夠判斷TCP / UDP 。

這時候就會有人發現，Layer 4就可以針對服務去進行是否封鎖判斷了，
那我們要Layer 7防火牆幹嘛?

Layer 7防火牆當然有它存在的必要!!所以才會出現啊~
像是現在最有名的遠端軟體Teamviewer ，他就非常的麻煩，
也是諸多網管人員的噩夢，因為你再怎麼鎖，都很難鎖到他，
(雖然他在很多時候也是網管的好幫手)
因為他是透過類似瀏覽網頁的方式進行連線，映像中好像是443 port。

像這一類的服務就沒有辦法透過Layer 4防火牆去對他進行封鎖，
因為你一但封鎖了443 port 相對的就是封鎖掉了連結網際網路的服務。
這一類的特殊軟體都只能靠Layer 7的防火牆去進行封鎖。
在那一類防火牆當中，都已經有註冊了這些軟體的一些資訊，
所以更能夠針對特定的應用軟體進行阻擋。

或者就要用其發方式進行阻擋，方法在網路上倒是有蠻多的。

IPS / IDS 一類入侵偵測硬體設備，因為他們也要判別一些服務類型，所以同屬這一階層。
之後會介紹Opensource的套件 snort 的簡易介紹。

Proxy 設備以也是一樣，他大多運用在WEB的網頁上，用途在快取。
今天以整個公司架構運用proxy上網的情形下，若公司內部有人連到過yahoo伺服器
去查看新聞內容，那後面的人若是要連到相同新聞內容就不會在連到yahoo伺服器去，
而是直接看proxy上快取回來的資料。
這部分後面會介紹proxy的Opensource 套件 squid 讓大家認識一下。

那關於TCP/IP 與OSI 的架構大至上介紹到這邊，
明天開始我們要來討論公司網路架構的部分，
接著會公司網路架構去探討各種設備的網路設定方式。