今天剛好中秋放假花了一點時間把 Moudle 01的內容更詳細的看了一遍,並且整理了一下~
電腦網絡(Computer Network)按其覆蓋範圍和應用場景可分為局域網(Local Area Network, LAN)、廣域網(Wide Area Network, WAN)、都會區域網(Metropolitan Area Network, MAN)等。
局域網(LAN) :通常應用於單個建築或有限的地理範圍內,例如公司內部網絡,使用以太網(Ethernet)或無線網絡(Wi-Fi)技術來提供快速且安全的本地通信。
廣域網(WAN):覆蓋更大範圍,連接不同地理位置的局域網,通常使用租用的電信線路來實現廣泛的互聯,需要專門的管理和運營來維護。
都會區域網(MAN):介於LAN和WAN之間,通常覆蓋一個城市,用於連接城市中的多個局域網,常使用光纖電纜來提供高帶寬的資料傳輸。
個人區域網(PAN):用於個人設備之間的連接,通常通過無線技術(如藍牙Bluetooth)實現。
校園網(CAN):涵蓋大學校園或企業內部的多個建築物,提供高速連接,通常使用光纖網絡。
全球網(GAN):由多個互聯的電腦網絡組成,覆蓋全球,例如互聯網。
這些網絡依據 OSI模型(Open Systems Interconnection Model, OSI) 或 TCP/IP模型(Transmission Control Protocol/Internet Protocol Model, TCP/IP) 進行通信。
網絡模型通過分層協議(Layered Protocols)來標準化通信,確保數據能夠準確有效地傳輸。最常見的網絡模型有 OSI模型(Open Systems Interconnection Model, OSI) 和 TCP/IP模型(Transmission Control Protocol/Internet Protocol Model, TCP/IP)。
應用層(Application Layer):負責為用戶和應用程序提供網絡服務,如HTTP、FTP、SMTP等協議,處理應用層之間的通信需求。
表現層(Presentation Layer):負責數據的格式轉換、加密和解密,支持SSL/TLS(安全套接層/傳輸層安全協議)和JPEG(圖像壓縮協議)等,確保數據能夠被應用層理解。
會議層(Session Layer):管理應用程序間的溝通,負責建立、管理和終止溝通,包括音視頻會議中數據流的同步。
傳輸層(Transport Layer):確保數據的可靠傳輸,使用TCP(傳輸控制協議)和UDP(用戶數據報協議)來管理端到端的數據傳輸,進行數據分段和重組,確保準確到達。
網路層(Network Layer):負責路由選擇和數據包的傳輸,使用IP協議來確定數據的最佳路徑,並在不同網絡間進行數據傳輸。
資料連結層(Data Link Layer):確保同一網絡中的設備之間進行錯誤自由的資料傳輸,管理局域網的通信。
實體層(Physical Layer):處理數據的物理傳輸,包括電纜、無線信號等硬體介質。
應用層(Application Layer):提供與用戶直接交互的網絡服務,如電子郵件、文件傳輸和網頁瀏覽。
傳輸層(Transport Layer):管理數據的可靠傳輸,提供端到端的通信控制,使用TCP和UDP協議。
網路互連層(Internet Layer):處理數據包的路由和傳輸,確保數據跨網絡傳輸,使用IP協議。
網路存取(連結)層(Network Access Layer):定義如何在網絡內部的設備之間傳輸數據,涉及數據鏈路層和物理層的功能。
網絡拓撲(Network Topology)定義了網絡中設備之間的物理或邏輯連接方式:
星型拓撲(Star Topology):所有設備通過一個中心節點(如集線器或交換機)連接。這種結構易於安裝和管理,但如果中心節點故障,整個網絡將受到影響。
匯流排拓撲(Bus Topology):所有設備共享一條主線纜進行數據傳輸。這種結構簡單且成本低,但如果主線纜出現故障,整個網絡將中斷。
環狀拓撲(Ring Topology):設備以環形連接,數據在環內單向傳輸。這種結構避免了數據碰撞,但單一節點故障會中斷網絡。
網狀拓撲(Mesh Topology):每個節點直接連接到其他節點,提供高冗餘性和網絡穩定性。
混合式拓撲(Hybrid Topology):結合多種拓撲結構,以滿足不同網絡需求。
在電腦網絡中,許多硬體設備共同工作以確保數據通信的安全性和可靠性:
網絡卡(Network Interface Card, NIC):用於連接電腦到網絡的硬體,負責數據的發送和接收。
中繼器(Repeater):用於增強信號和延長傳輸距離的設備,通常在長距離通信中使用。
集線器(Hub) 和 交換機(Switch):連接多個網絡設備的設備,用於數據傳輸和網絡管理。
路由器(Router):負責不同網絡之間的數據包傳輸和路由選擇。
橋接器(Bridge):管理網絡流量,防止擁塞,連接不同的網絡段。
網關(Gateway):充當不同網絡之間的接口,支持不同協議和網絡環境的通信。
IP地址(IP Address) 是網絡設備之間進行通信的基本單元。IPv4和IPv6是兩種主要的IP地址格式,分別提供不同的位數以支持不同數量的網絡設備。IPv4使用32位地址格式,提供約43億個地址,但已逐漸枯竭;IPv6則使用128位地址格式,提供了更大的地址空間(約3.4 x 10^38個地址)。
常用的協議還包括 TCP(傳輸控制協議,Transmission Control Protocol)、UDP(用戶數據報協議,User Datagram Protocol) 和 ICMP(Internet Control Message Protocol,互聯網控制報文協議)。TCP提供可靠的連接,適合需要數據完整性和確認的應用,如電子郵件和文件傳輸;UDP適合需要快速傳輸的應用,如視頻流和在線遊戲;ICMP主要用於網絡診斷和故障排查,如Ping命令。
構建強大的網絡防禦策略是確保數據安全的關鍵。深度防禦(Defense in Depth, DID)策略強調多層次的安全控制,包括防火牆、入侵檢測系統(IDS)、數據加密(Encryption)和身份驗證(Authentication)等措施。這種多層次的防禦方式能夠有效抵禦多種攻擊,保護網絡的完整性和可用性。
多層防禦(Multiple Layers of Defense):包括從外部網絡邊界的防火牆和入侵檢測系統(IDS),到內部網絡細粒度的訪問控制和數據加密技術。
漏洞管理(Vulnerability Management):定期檢查和修補軟件和硬體的漏洞,防止攻擊者利用已知的安全弱點。漏洞管理還包括使用安全評估工具和滲透測試來檢查網絡的防禦狀態。
監控與檢測(Monitoring and Detection):通過持續監控網絡流量,識別可疑活動和潛在威脅。使用如安全信息和事件管理(SIEM)系統,可以實時檢測和分析安全事件,快速響應潛在攻擊。
事件響應(Incident Response):建立有效的事件響應計劃(IRP),快速應對和恢復網絡攻擊。事件響應包括識別、遏制、根除和恢復四個階段,確保在發生攻擊時最小化損害和恢復正常運行。
加密(Encryption)和認證(Authentication):使用加密技術保護數據的機密性,並使用多因素認證(MFA)來驗證用戶身份,防止未經授權的訪問。
員工培訓(Employee Training):提高員工的安全意識和技能,防止釣魚攻擊(Phishing)和社交工程攻擊。定期進行安全培訓和模擬攻擊測試,增強整體安全態勢。
網絡防禦策略主要涉及以下五個關鍵屬性:
可用性(Availability):確保信息系統或網絡能夠在用戶需要時提供服務,防止服務中斷。
保密性(Confidentiality):僅允許授權用戶訪問和使用信息。認證機制與保密性緊密相關,未經認證的用戶將無法訪問機密信息。
完整性(Integrity):保護數據不被未經授權的修改、刪除或損壞。這個屬性也依賴於認證機制來確保數據的真實性和完整性。
不可否認性(Non-repudiation):確保通信中的一方無法否認發送過的消息,通過數字簽名和其他技術手。
認證(Authentication):通過驗證用戶身份,確保只有合法的用戶可以訪問系統或數據。
iThome鐵人賽
看影片追技術