第一章 防火墙在网络安全防护中的地位和作用

    1.1 网络体系结构

    本书介绍两种重要的网络体系模型OSI和TCP/IP的基础知识。

    1.1.1 开放系统互连参考模型OSI

    为了使不同体系结构的计算机网络能够互连，国际标准化组织ISO于1977年成立了专门的机构研究该问题。不久，他们提出了一个试图使各种计算机在世界范围内互连成网络的标准框架，即著名的开放系统互连参考模型（Open Systems Interconnection Reference Model，OSI/RM），简称OSI。“开放”是指：只要遵循OSI标准，一个系统就可以和位于世界上任何地方的、也遵循同一标准的其他任何系统进行通信。“系统”是指在现实的系统中与互连有关的各部分。开放系统互连参考模型OSI/RM只是个抽象的概念。在1983年形成了开放系统互连参考模型的正式文件，即著名的ISO 7498国际标准。

    OSI参考模型采用结构描述方法将整个网络的通信功能划分为7部分（层次），在每个协议层中完成一系列的特定功能。两台网络主机之间进行通信时，发送方将数据从应用层向下传递到物理层，每一层协议模块为下一层进行数据封装，数据流经网络到达接收方，再由下而上通过协议栈传递，并与接收方应用程序进行通信。

    1.1.2 TCP/IP结构

    事实上，得到广泛应用的不是国际标准OSI，而是TCP/IP 参考模型。OSI的7层协议体系结构虽然概念清楚，但是复杂又不适用。TCP/IP得到了全世界的承认，成为因特网使用的参考模型。

    计算机网络系统可以看成是一个扩大了的计算机系统，在网络操作系统和TCP/IP的支持下，位于不同主机内的操作系统进程可以像在一个单机系统中一样互相通信，只不过通信时延稍大一些而已。

    TCP/IP协议族可以看做是一组不同层的集合，每一层负责一个具体任务，各层联合工作以实现整个网络通信。每一层与其上层或下层都有一个明确定义的接口来具体说明希望处理的数据。一般将TCP/IP协议族分为4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。TCP/IP与OSI这两种体系结构的对比如图1-1所示。

    TCP/IP层次如图1-2所示。

图1-1 TCP/IP与OSI体系结构对比      图1-2 TCP/IP层次

    （1）应用层

    应用层包含应用程序实现服务所使用的协议。用户通常与应用层进行交互。

    ·HTTP：超文本传输协议，提供浏览器和WWW服务间有关HTML文件传递服务。

    ·FTP：文件传输协议，提供主机间数据传递服务。

    ·Telnet：虚拟终端协议，提供远程登录服务。

    ·SMTP：简单消息传输协议，提供发送电子邮件服务。

    ·DNS：域名解析协议，完成域名解析服务。

    此外，还有POP3、OSPF、NFS和TFTP等其他一些应用协议。

    （2）传输层

    传输层响应来自应用层的服务请求，并向网络层发出服务请求。传输层提供两台主机间透明的传输，通常用于端到端连接、流量控制或错误恢复。这一层的两个最重要协议是TCP和UDP。TCP提供可靠的数据流通信服务。TCP的可靠性由定时器、计数器、确认和重传来实现。与TCP处理不同的是，UDP不提供可靠的服务，主要用于在应用程序间发送数据。UDP数据报有可能丢失、复制和乱序。

    （3）网络层

    网络层负责处理网络上的主机间路由及存储转发网络数据包。IP是网络层的主要协议，提供无连接、不可靠的服务。IP还给出了因特网地址分配方案，要求网络接口必须分配独一无二的IP地址。同时，IP为ICMP、IGMP 以及TCP和UDP等协议提供服务。