一、前言
你是否在工作或生活中总是听到这些网络术语,VPN、隧道、代理服务器等等,不了解相关概念的朋友可能对此一头雾水,其实这些都是网络通信中涉及到的知识点。我们身处在互联网中,大部分信息的通知、交互、转发都依赖网络完成,那么信息如何安全、准确进行传递呢?这就和上述提到的术语有关了。
二、防火墙
1. 定义
防火墙(Firewall)是一种网络安全系统,它监控并控制基于预定义的安全规则进出网络的流量。防火墙可以是硬件设备、软件应用程序或两者的组合。其主要目的是在内部网络和外部网络(如互联网)之间建立一个屏障,以防止未经授权的访问,并保护内部资源免受恶意攻击。
编辑
2. 功能
防火墙最重要的功能就是访问控制,它的规则集规定了开放的服务和端口,决定了哪些网络流量允许被通过而哪些被拒绝,是外网访问内网第一道防线。
除此之外,防火墙还可以兼顾其他功能比如网络分段、日志记录与监控、应用层过滤、NAT、端口转发等,大家可以自行查阅资料,这里就不再展开。
三、VPN
1. 定义
VPN 是一种通过公共网络(如互联网)创建的安全连接,使用户能够像在私有网络中一样安全地传输数据。它通过加密技术和身份验证机制确保数据的保密性和完整性。
对于企业而言,相当于形成了一个公司专网,因为它允许远程员工、分支机构、合作伙伴和其他人通过一种安全的连接访问企业内部网络资源,就像这些资源位于同一个私有网络中一样。
不过需要注意的是,VPN用户获得的是一个逻辑上的专网,而不是物理上的专网。这意味着VPN用户的数据实际上是通过公共网络传输的,但是通过加密技术确保了数据的安全性。
2. 工作原理
- 用户设备(如电脑、手机)与远程服务器之间建立一个加密的通信通道。
- 所有通过这个通道传输的数据都被加密,即使数据包在网络上被截获,攻击者也无法解密内容。
- 用户可以通过VPN访问企业内部网络资源,或者绕过地理限制访问某些网站。
四、隧道
1. 定义
隧道( Tunneling )是一种网络通信手段,用于将一个网络协议的数据封装在另一个网络协议中进行传输。隧道技术的本质是一类网络协议,规定了如何进行数据包的封装和解封,在其数据报中封装使用不同通信协议的另一个完整数据包。
2. 分类
根据传输模型和封装对象的不同,隧道协议被分为两类:
(1) 基于数据包的隧道协议
- 定义:是指将原始的数据包(如IP数据包)封装到另一个协议的数据包中进行传输。
- 封装方式:在原始数据包的前面添加一个新的报头(通常是IP报头或UDP报头),形成一个更大的数据包。这个外层报头包含了隧道两端的地址信息和其他控制信息。
- 常见协议:GRE (通用路由封装)、IP-in-IP等
- 特点:数据包之间相互独立、无顺序、不可靠、通过无连接的协议(如UDP)传输
(2) 基于流的隧道协议
- 定义:是指将多个数据包组合成一个连续的字节流,并通过面向连接的协议(如TCP)进行传输。
- 封装方式:与基于数据报的封装类似,基于流的封装也会在外层添加新的报头(通常是TCP报头或TLS报头),不同的是,封装后的数据不再是独立的数据包,而会作为一个连续的字节流进行传输。
- 常见协议:SSH隧道、Socks5代理、OpenVPN(使用TCP模式) 等
- 特点:流中的数据包按顺序发送、可靠传输、通过面向连接的协议(如TCP)传输
注:基于流的隧道协议可以封装数据流,也可以封装数据包,同样,基于数据包的隧道协议可以封装数据包,也可以封装流,上述情况都在网络通信中有所应用,具体的使用取决于应用场景和要求。
五、跳板机/堡垒机
1. 定义
跳板机(Jump Server / Basion Host),也叫堡垒机,是一台专门用于隔离内部网络和外部网络的服务器,通常部署在DMZ(非军事区)或边界网络中。它作为进入内部网络的第一道防线,管理员或其他授权用户必须先登录跳板机,然后再从跳板机访问内部网络中的其他资源。
2. 工作原理
- 外部用户或管理员只能通过跳板机访问内部网络中的资源,而不能直接访问内部服务器。
- 跳板机通常会记录所有访问日志,便于审计和追踪。
- 跳板机还可以配置为双因素认证、强密码策略等,增强安全性。
六、代理服务器
1. 定义
代理服务器(Proxy Server) 是一种位于客户端和目标服务器之间的中间服务器,它充当中介,处理客户端与目标服务器之间的请求和响应。代理服务器可以用于多种目的,包括提高性能、增强安全性、控制访问权限、绕过地理限制等。
2. 工作原理
当客户端(如浏览器、应用程序)向目标服务器发送请求时,请求首先被发送到代理服务器。代理服务器接收到请求后,会根据配置决定如何处理该请求。它可以将请求转发给目标服务器,或者直接从缓存中返回响应,或者拒绝请求,同样,目标服务器的响应也会通过代理服务器返回给客户端。