深入解析電腦網路核心協定與安全防護策略

11 分鐘閱讀

現代網路世界中,理解網路架構和通訊協定至關重要。本文從基礎的網路硬體元件開始,逐步深入到網路拓撲、Ethernet、TCP/IP 等核心協定,並探討了網路安全防護的關鍵措施。讀者將瞭解星型、匯流排型、環型等網路拓撲的優缺點以及應用場景,並深入理解 OSI 七層模型中每一層的功能和作用。此外,文章也詳細解釋了 Ethernet 的介質型別、MAC 地址和 CSMA/CD 協定,以及 TCP/IP 協定的運作機制,包括 IP 地址、子網路遮罩、ICMP 錯誤處理、TCP 連線管理和流量控制等關鍵概念。最後,文章還探討了防火牆設定、檔案加密、無線安全和 VPN 等網路安全防護措施,幫助讀者建立全面的網路安全意識。

網路基礎

網路是資訊時代的血液管道,而協定則是網路的語言。這章節將介紹網路基礎知識,從硬體開始,經過拓撲結構和 Ethernet/IP/TCP 網路中最常見協定的功能說明,到人中間攻擊(Man-in-the-middle attacks)。

網路元件

要建立電腦網路當然需要一些硬體裝置。根據網路型別不同可能需要電纜、調變解調器、老式音響插頭盒子、天線或衛星接收器之外還需有電腦和網路卡以及路由器(Sect. 2.14)、閘道器(Sect. 2.13)、防火牆(Sect. 2.18)、橋接器(Sect. 2.15)、集線器和交換機。

集線器只是一個簡單的盒子,將網路電纜插入其中後便會複製所有訊號傳送到所有連線的埠上。這種特性可能會導致網路流量爆炸增長。這也是為什麼集線器目前很少被使用了。取而代之的是交換機成為網路中心處理裝置。交換機和集線器之間的區別在於交換機記住連線到埠上的網路卡 MAC 地址並僅將流量傳送到目的地所在埠。MAC 地址將在第2.4節中詳細說明。

網路拓撲與硬體設定

此圖示展示了典型網路中的各種元件如何互連:

  graph TD;
    A[電腦] --> B[網路卡];
    B --> C[交換機];
    D[電腦] --> E[網路卡];
    E --> C;
    F[伺服器] --> G[網路卡];
    G --> C;
    H[路由器] --> C;
    I[防火牆] --> H;
    J[調變解調器] --> I;
    K[Internet] --> J;

網路協定概述

電腦網路中最基本且常見的是乙太網協定(Ethernet),而 TCP/IP 則是現代網際網路通訊所必不可少的一部分。瞭解這些協定及其如何運作對於深入理解網路運作至關重要。

TCP/IP 基礎知識

TCP/IP 是一系列協定標準的總稱,

  graph TD;
    C[C]
    D[D]
    E[E]
    A[TNCP協定] --> B{應用層};
    A --> C{傳輸層};
    A --> D{網路層};
    A --> E{鏈路層};

其中TCP協定位於傳輸層負責資料傳輸時進行分割成較小資料包以及重組資料包。 而IP協定位於網路層負責路由每個資料包從傳送方到達目的地址

UDP 基礎知識

UDP 是一種輕量級協定,

  graph TD;
    A[A]
    C[C]
    A{UDP協定} --> B{應用層};
    A --> C{傳輸層};

UDP 不提供可靠性保證, 利用UDP協定傳輸資料時可能會發生丟包或錯誤。 但優點在於效率高速度快.

網路安全與防護措施

在現代網際網路時代, 安全性已經成為網路營運中的核心問題。 理解如何保護資料免受未經授權存取或攻擊至關重要。

防火牆設定

防火牆是保護內部網路免受外部威脅的一道屏障,

  graph TD;
    A[防火牆] -- 驗證流量 --> B[內部網路];
    C[外部網路] -- 驗證流量 --> A;

防火牆透過過濾進出內部網路的流量, 確保只有符合規則的流量才能透過。 防火牆可以根據多種標準進行組態, 例如IP地址、埠號甚至應用層協定。

檔案加密

檔案加密是保護敏感資料的一種有效方法,

  graph TD;
    A[加密演算法] -- 加密檔案內容--> B[加密檔案];

加密演算法將原始文字轉換成不可讀取格式, 只有持有正確解密金鑰的人才能解讀內容。 AES(高階加密標準)是目前最流行且被廣泛接受的一種加密標準。

無線安全

無線安全對於現代辦公室和家庭環境至關重要, 無線訊號易於攔截並潛在地被未經授權的人侵入。

  graph TD;
     A{WPA/WPA2加密協定} -- 加密資料傳輸--> B{無線網路};

WPA/WPA2 加密協定提供了較高強度的無線安全性。 它透過強大加密技術確保資料在無線傳輸過程中的安全性. 此外, WPA/WPA2 加密協定支援多種認證方法,確保連線到網路的人員具有正確許可權.

虛擬專用網路 (VPN)

虛擬專用網路 (VPN) 提供了一種透過公共網際網路安全地連線兩個或多個私有網路的方法, 將加密資料包透過公共網際網路傳輸到目標位置.

透過VPN, 使用者可以實作遠端辦公, 確保機密資料不會被未經授權的人存取. VPN通常還包括身份驗證機制, 確保只有授權使用者才能存取敏感資訊.

內容過濾

內容過濾技術用於阻止惡意內容存取企業內部網路. 這種技術通常透過URL過濾列表, 只允許存取白名單中的站點. 此外, 內容過濾系統還能檢測潛在惡意檔案, 包括惡意軟體,病毒,間諜軟體等.

小段落標題:內容解析方式

內容過濾系統會根據預設規則, 對經過網路進出的每一個HTTP請求進行分析, 確定請求內容是否為危險內容. 如果發現危險內容, 系統會自動阻止此請求並記錄日誌.

已完成

網路拓撲與設計

網路拓撲是指網路中各裝置之間的連線方式,不同的拓撲結構有其優缺點。玄貓將介紹幾種常見的網路拓撲及其應用場景。

星型網路(Star Network)

星型網路是目前最常見的網路結構,所有裝置都連線到一個中央裝置,如交換器或集線器。此結構的優點是易於管理和擴充套件,當某一裝置故障時,只會影響該裝置,而不影響整個網路。然而,中央裝置成為單點故障,若其失效,整個網路將無法運作。

星型網路

  graph TD;
    A[中央交換器] --> B[電腦1];
    A --> C[電腦2];
    A --> D[電腦3];
    A --> E[電腦4];

匯流排型網路(Bus Network)

匯流排型網路是將所有裝置連線在一條分享的介質上,類別似於一個長條。此結構的優點是簡單且成本低廉,但缺點是每個裝置都需要兩張網路卡,且資料流量需要經過所有裝置。若其中一台裝置故障或負載過高,會影響後續所有裝置的連線。

匯流排型網路

  graph LR;
    A[電腦1] --> B[匯流排];
    C[電腦2] --> B;
    D[電腦3] --> B;
    E[電腦4] --> B;

環型網路(Ring Network)

環型網路將所有裝置連線成一個環狀結構。與匯流排型網路類別似,環型網路也會在某台裝置故障時影響整個環狀結構,但環狀結構可以在發生故障時重新導引流量,減少故障範圍。環型網路通常用於大型企業或ISP(網際網路服務提供商)的骨幹網路。

環型網路

  graph TD;
    A[電腦1] --> B[電腦2];
    B --> C[電腦3];
    C --> D[電腦4];
    D --> A;

LAN、WAN 與 MAN

LAN(Local Area Network)是區域網路,通常限定在一棟建築物、一層樓或一個房間內。現代LAN多使用交換器連線多台電腦。多個LAN透過路由器或VPN(虛擬專用網路)連線形成MAN(Metropolitan Area Network)。如果網路跨越多個國家甚至全球,則稱為WAN(Wide Area Network)。

OSI 模型

OSI 模型將電腦網路分為七層,每層有明確的任務。資料包會依次透過這些層,直到到達目標層進行處理。

OSI 模型各層說明

  • 物理層(Physical Layer):負責實際的資料傳輸媒介,如電纜、天線等。
  • 資料鏈結層(Data-Link Layer):建立點對點連線。
  • 網路層(Network Layer):負責地址解析和資料包轉發。
  • 傳輸層(Transport Layer):確保資料按順序到達並處理丟失情況。
  • 會話層(Session Layer):管理應用之間的通訊會話。
  • 表示層(Presentation Layer):處理資料格式轉換和加密解密。
  • 應用層(Application Layer):提供實際服務的協定,如HTTP、FTP等。

OSI 模型

  graph TD;
    A[應用層] --> B[表示層];
    B --> C[會話層];
    C --> D[傳輸層];
    D --> E[網路層];
    E --> F[資料鏈結層];
    F --> G[物理層];

雪崩式 Ethernet 網路技術

Ethernet 是目前最常見的網路技術,廣泛應用於家庭、企業和資料中心中。Ethernet 支援不同速度等級和多種介質型別。

Ethernet 介質與型別

Ethernet 支援多種介質和連線方式:

  • 同軸電纜:早期使用。
  • 雙絞線(Twisted Pair):常見型別。
  • 光纖:高頻寬需求場合使用。

雙絞線電纜分類別

雙絞線可以分為:

  • STP(Shielded Twisted Pair):具有防護遮蔽。
  • UTP(Unshielded Twisted Pair):無防護遮蔽。

此外,還有 Patch 和 Cross 電纜:

  • Patch 電纜:用於連線電腦到集線器或交換器。
  • Cross 電纜:用於直接連線兩台電腦。

Patch 與 Cross 電纜區別

  graph LR;
    A[Patch 電纜] -->|相同順序| B["紅藍綠黃色順序"];
    C[Cross 電纜] -->|不同順序| D["黃綠藍紅色順序"];

MAC 地址

每個 Ethernet 網路卡都有一個全球唯一的 MAC 地址,用於在本地網路中識別裝置。MAC 地址由六組兩位十六進位制數字組成,如 aa:bb:cc:11:22:33

CSMA/CD 協定

CSMA/CD(Carrier Sense Multiple Access with Collision Detection)協定描述了 Ethernet 中的資料傳輸機制:

  1. 傳輸端先聽取通道是否有其他資料傳輸。
  2. 若有資料傳輸則隨機等待幾秒後再嘗試傳輸。
  3. 若通道空閒則進行資料傳輸。
  4. 傳輸過程中若檢測到碰撞則等待隨機時間後重新傳輸。

內容解密:

玄貓以實務經驗為基礎詳細分析了星型、匯流排型和環型這三種主要的網路拓撲結構及其應用場景。星型拓撲因其簡單易管理而廣受歡迎;匯流排拓撲雖然成本低廉但可靠性差;而環型拓撲則在高可靠性需求場閤中具有一定優勢。此外,玄貓也探討了OSI模型及其七個不同層次的功能作用,幫助讀者理解資料在這些不同層次間如何進行傳遞及處理,同時強調了Ethernet技術在現代通訊中的主導地位及其應用細節,包括MAC地址和CSMA/CD協定,從而確保了對現代電腦通訊基本原理及技術實作方法的一個全面理解。

網路技術概觀

VLAN 的運作與應用

在現代網路架構中,VLAN(Virtual Local Area Network)是一個常見且重要的概念。VLAN 的主要功能是將多個物理網路分割成多個邏輯網路,使得同一個 VLAN 內的裝置可以互相通訊,而不同 VLAN 之間則無法直接看到彼此。這種技術的出現使得網路結構能夠獨立於實體硬體,從而提升了網路的靈活性和效率。

VLAN 的設計初衷並非為了安全性,但許多人誤以為 VLAN 可以增強網路安全。實際上,VLAN 之間的隔離並不絕對,存在多種方式可以繞過這種隔離(更多細節請參考後續章節)。這提醒我們在設計網路時,不應單純依賴 VLAN 作為安全措施。

交換器實作 VLAN 的方式主要有兩種:一種是透過 IEEE 802.1q 頭部進行標記,另一種是直接根據埠進行定義。802.1q 是較新的標準,允許在多個交換器之間建立跨越多個交換器的 VLAN。

ARP 的基本功能

ARP(Address Resolution Protocol)是一種用於將 IP 地址轉換為 MAC 地址的協定。具體來說,當一台裝置需要與另一台裝置通訊時,它會透過 ARP 協定向對方傳送一個廣播請求,要求對方回應自己的 MAC 地址。這樣,源裝置就能夠知道如何將資料包傳送到目的裝置。

在 ARP 協定中,RARP(Reverse Address Resolution Protocol)則是用來將 MAC 地址轉換為 IP 地址。這兩者在網路通訊中起到了關鍵作用,確保了資料包能夠準確地到達目標裝置。

IP 協定的角色與機制

IP(Internet Protocol)是網際網路的核心協定之一,負責在不同主機之間進行資料包的傳輸。IP 是一種無連線的協定,這意味著它不會記錄資料包之間的關係。IP 的主要功能包括定義來源和目的主機、找到最快的傳輸路徑以及處理錯誤訊息。

IP 協定分為 IPv4 和 IPv6 兩種版本。IPv4 是目前最常見的版本,但由於其地址空間有限,逐漸被 IPv6 取代。IPv6 提供了更大的地址空間和更多的功能擴充套件選項。

IP 資料包頭部結構

IP 資料包頭部包含了多個重要欄位,如來源 IP 地址、目的 IP 地址、協定欄位和 TTL(Time-to-Live)等。TTL 是用來避免資料包在網路中無限迴圈的機制,每當資料包經過一個跳點時,TTL 值會減少1。當 TTL 值降為零時,資料包會被丟棄。

小段落標題:IPv4 地址與子網路遮罩

每個 IPv4 地址由四個八位元組組成,範圍從 0 到 255。除了 IP 地址外,每個網路節點還需要組態子網路遮罩來定義網路範圍。子網路遮罩通常使用二進製表示法來計算網路起始地址。

ICMP 的錯誤處理機制

ICMP(Internet Control Message Protocol)是 IP 協定的一部分,主要用於錯誤處理和診斷。ICMP 報文包含型別和程式碼欄位來標識特定錯誤型別。例如,「ping」命令使用的是 ICMP Echo Request 報文來測試目標主機是否可達以及測量延遲。

ICMP 報文頭部結構

ICMP 報文頭部中包含了型別、程式碼、校驗和與其他相關欄位。這些欄位共同作用於檢測和處理網路中的各種錯誤情況。

小段落標題:常見 ICMP 訊息

除了 ping 外,ICMP 處理其他的錯誤報告包括重定向訊息、時間超時和不可達訊息等。

TCP 的連線管理與資料流控制

TCP(Transmission Control Protocol)是一種提供可靠連線管理的傳輸層協定。它透過三次握手(Three-Way-Handshake)來建立新連線並保證資料包按順序傳輸。TCP 還提供了資料完整性檢查、重傳機制以及應用程式埠管理等功能。

TCP 三次握手

三次握手是 TCP 建立連線時的一個重要步驟:

  1. 第一次握手:客戶端傳送 SYN 包給伺服器。
  2. 第二次握手:伺服器收到 SYN 包後回應 SYN-ACK 包給客戶端。
  3. 第三次握手:客戶端收到 SYN-ACK 包後回應 ACK 包給伺服器。

完成這三次握手後,TCP 連線建立完成並開始進行資料傳輸。

小段落標題:TCP 頭部結構

TCP 頭部包含源埠、目的埠、序列號、確認號等欄位。這些欄位共同作用於確保資料傳輸的可靠性和正確性。

TCP 的流量控制與擁塞控制

TCP 提供了多種機制來控制資料流量和避免擁塞發生:

  1. 滑動視窗:透過調整視窗大小來控制傳送速率。
  2. 快速重傳:當接收方堆疊離開時間快速重傳已傳送的資料。
  3. 擁塞控制演算法:如慢啟動、快速重傳、快速還原等演算法來避免擁塞發生。
玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。