DAY9 TCP IP 與OSI 架構的比較(下) - daniel-qa/Network GitHub Wiki

DAY9 - TCP/IP 與OSI 架構的比較(下)

我們接續昨天的主題,今天我們要先來聊的是Layer 4 階層(transport)以上的階層

Layer 4 (Transport) 可以看到圖上面有寫到 TCP / UDP 顧名思義,這邊就是能夠了解這兩個protocol的地方 那這兩個協定的詳細介紹我就不在多說明了。

我們要來聊聊的是最上面的 application階層, 顧名思義這個階層就是談論到我們一般在使用的service部分, 我們可以看到階層架構圖的最上面, 一些平常會使用的service都會在這邊硬體裝置包括Firewall / IPS / IDS / Proxy在這

這邊要先開始講解一下這些層及架構服務的運作方法, 我們可以看到他是透過一個 U型的型態就行遶送, 假設我們要存取WEB服務, 在架構裡面,他就會被拆解成這樣去看:


Application :WEB (HTTP / HTTPS)

Transport: TCP – 80

Internet : IP位置多少

Network Access: 封包要如何傳送


當我們要連結一個網站,後面的架構就是如此。 那我們知道其大概的運作架構後來簡單看一下他的裝置有哪些, Firewall 是最明顯的,

現在市面上防火牆有許多不同的廠牌,但以階層來看就會發現大多分為兩種。

一、Layer 4 防火牆 (Transport)

二、Layer 7 防火牆 (Application)

後面我們會介紹一些防火牆操作時,會看到他的內部結構, 這邊先了解一下,這兩個東西到底有甚麼差別?

第一個差異, 就我們上面提到的 Transport ,一般我們設定防火牆部分, 我們都是設定針對來源或目的端的IP位置進行限制, 限制可以存取哪個port number (EX: TCP-80),

IP限制的判斷是在Layer3階層的進行, Port number 的判斷限制就是在我們上面說的Layer 4(Transport)進行。 因為只有在Layer 4的地方才能夠判斷TCP / UDP

這時候就會有人發現,Layer 4就可以針對服務去進行是否封鎖判斷了, 那我們要Layer 7防火牆幹嘛?

Layer 7防火牆當然有它存在的必要!!所以才會出現啊~ 像是現在最有名的遠端軟體Teamviewer ,他就非常的麻煩, 也是諸多網管人員的噩夢,因為你再怎麼鎖,都很難鎖到他, (雖然他在很多時候也是網管的好幫手) 因為他是透過類似瀏覽網頁的方式進行連線,印像中好像是443 port。

像這一類的服務就沒有辦法透過Layer 4防火牆去對他進行封鎖, 因為你一但封鎖了443 port 相對的就是封鎖掉了連結網際網路的服務。 這一類的特殊軟體都只能靠Layer 7的防火牆去進行封鎖。 在那一類防火牆當中,都已經有註冊了這些軟體的一些資訊 所以更能夠針對特定的應用軟體進行阻擋。

或者就要用其發方式進行阻擋,方法在網路上倒是有蠻多的。

**IPS / IDS 一類入侵偵測硬體設備,因為他們也要判別一些服務類型,**所以同屬這一階層。 之後會介紹Opensource的套件 snort 的簡易介紹。

Proxy 設備以也是一樣,他大多運用在WEB的網頁上,用途在快取。 今天以整個公司架構運用 proxy上網的情形下,若公司內部有人連到過yahoo伺服器 去查看新聞內容,那後面的人若是要連到相同新聞內容就不會在連到yahoo伺服器去, 而是直接看proxy上快取回來的資料

這部分後面會介紹 proxy的Opensource 套件 squid 讓大家認識一下。

那關於TCP/IP 與OSI 的架構大至上介紹到這邊, 明天開始我們要來討論公司網路架構的部分, 接著會公司網路架構去探討各種設備的網路設定方式。