[{"content":"前言 防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）是网络安全防御的核心组件。理解它们的工作原理、部署位置和配置方法，是软考中级网络工程师的重要考点。\n防火墙基础 防火墙定义 防火墙是位于内部网络和外部网络之间的网络安全设备，通过执行访问控制策略来保护网络安全。\n基本功能 访问控制：允许/拒绝特定流量 网络隔离：划分安全区域（DMZ、内网、外网） 地址转换（NAT）：隐藏内部网络结构 日志审计：记录所有通过/拒绝的连接 防火墙分类 按实现方式分类 类型 工作层次 优点 缺点 包过滤（Packet Filter） 网络层/传输层 速度快 无法检查应用层数据 状态检测（Stateful Inspection） 网络层/传输层 跟踪连接状态 资源消耗大 应用层代理（Application Proxy） 应用层 精细控制 性能瓶颈 混合型（Next-Gen FW） 多层 综合防护 成本高、配置复杂 按部署位置分类 类型 位置 特点 主机防火墙 单台主机 保护本机，软件防火墙 网络防火墙 网络边界 保护整个网段，硬件设备 分发防火墙 各主机 分布式防护，适合大型网络 安全区域与DMZ DMZ（非军事区） DMZ是位于内网和外网之间的缓冲区域，用于放置对外提供服务的服务器。\n安全区域设计 1 2 3 4 5 6 Internet | |---- [防火墙] | +---- DMZ区（Web、DNS、邮件服务器） |---- 内网（办公网络） DMZ配置原则 外网 → DMZ：允许必要的访问（如用户访问Web服务） 外网 → 内网：严格限制，一般禁止 DMZ → 内网：仅允许必要的数据库连接 内网 → DMZ：禁止（防止被渗透后跳板攻击） 端口策略示例 方向 源 目的 协议 端口 动作 In Any DMZ TCP 80 允许（HTTP） In Any DMZ TCP 443 允许（HTTPS） In Any DMZ TCP 22 允许（SSH管理） Out DMZ Internal TCP 3306 允许（MySQL） In Any Internal TCP Any 拒绝（禁止外网直连内网） NAT技术 NAT类型 类型 描述 应用场景 静态NAT（一对一） 1个私网IP对应1个公网IP 服务器发布 动态NAT（PAT） 多个私网IP共享1个公网IP 家庭/办公上网 端口转发（Port Forwarding） 公网IP端口映射到内网IP端口 内网服务发布 PAT工作原理 1 2 3 4 5 6 7 内网多台主机（192.168.1.x）访问互联网 | |---- NAT路由器（公网IP：202.114.0.1） | 通过不同端口（源端口）区分 | v---- Internet NAT转换表示例：\n内网IP:端口 公网IP:端口 192.168.1.10:1234 202.114.0.1:20001 192.168.1.11:5678 202.114.0.1:20002 192.168.1.12:7890 202.114.0.1:20003 入侵检测系统（IDS） IDS定义 IDS是对网络入侵行为进行检测的设备或系统，通过分析网络流量、系统日志等数据来识别可疑活动。\nIDS分类 按检测方法分类 类型 原理 代表技术 异常检测（Anomaly） 建立正常行为基线，偏离即报警 统计分析、机器学习 误用检测（Misuse） 匹配已知攻击特征库 特征匹配、协议分析 按部署位置分类 类型 部署位置 优点 缺点 NIDS（网络IDS） 网络关键节点 监控整个网段 加密流量难以检测 HIDS（主机IDS） 重要服务器 精确检测主机行为 消耗主机资源 DIDS（分布式IDS） 多个位置 综合分析 成本高、复杂 常见检测技术 签名检测：匹配已知攻击特征 协议分析：检测异常协议行为 流量异常：流量统计、阈值报警 漏洞扫描：检测端口扫描、指纹识别 入侵防御系统（IPS） IPS vs IDS 特性 IDS IPS 作用 检测和报警 检测并阻断 工作方式 旁路部署 串联部署 性能影响 不影响网络流 增加延迟 误报影响 可容忍 误报可能阻断合法流量 IPS防御技术 虚拟补丁（Virtual Patching）：在IPS上阻断漏洞利用流量 流量清洗：过滤DDoS攻击流量 行为分析：基于应用层协议（HTTP/HTTPS）的防护 沙箱隔离：可疑文件隔离执行 防火墙配置实例 ACL规则编写 1 2 3 4 5 6 7 8 9 10 11 ! 拒绝所有流量 access-list 100 deny ip any any ! 允许内网访问DNS access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 53 ! 允许外网访问DMZ的Web服务 access-list 100 permit tcp any host 202.114.0.10 eq 80 ! 允许已建立的连接返回 access-list 100 permit tcp any any established 防火墙区域配置 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 firewall zone trust description 内网区域 set zone trust add interface ethernet0/1 firewall zone untrust description 外网区域 set zone untrust add interface ethernet0/0 firewall zone dmz description DMZ区域 set zone dmz add interface ethernet0/2 ! 允许untrust访问dmz的HTTP/HTTPS access-policy from untrust to dmz action permit tcp-http access-policy from untrust to dmz action permit tcp-https ! 禁止untrust访问trust access-policy from untrust to trust action deny 网络安全部署策略 纵深防御（Defense in Depth） 1 2 3 4 5 6 7 8 9 10 11 Internet | v---- 第1层：边界防火墙/IPS | v---- 第2层：网络IDS | v---- 第3层：主机HIDS | v---- 第4层：数据加密/备份 | v---- 核心资产 最小权限原则 默认拒绝：未明确允许的流量一律拒绝 按需开放：仅开放必需的端口和服务 定期审计：定期审查和清理不需要的规则 分权管理：不同管理员拥有不同权限级别 练习题 题目1：关于DMZ区域的描述，正确的是（ ）\nA. DMZ应该放置内部文件服务器 B. DMZ允许内网无限制访问外网 C. DMZ服务器对外提供服务，安全性低于内网 D. DMZ和内网可以直接互通，无需控制\n答案：C（DMZ是牺牲区域，安全性低于内网）\n题目2：以下关于NAT的描述，错误的是（ ）\nA. NAT可以缓解IPv4地址不足的问题 B. 静态NAT实现私网IP和公网IP一对一映射 C. PAT通过端口号区分不同的内部主机 D. NAT能够加密内部网络的通信内容\n答案：D（NAT仅做地址转换，不加密内容）\n题目3：IDS和IPS的主要区别是（ ）\nA. IPS部署在内网，IDS部署在边界 B. IPS能够阻断攻击，IDS仅检测报警 C. IDS检测更准确，IPS误报率更高 D. IPS只支持签名检测，IDS支持异常检测\n答案：B（IPS=IDS+阻断）\n附录 参考文献 《网络安全原理与实践》- William Stallings 《防火墙技术指南》- Cisco Press 软考中级网络工程师网络安全部分 文章封面 网络防御\n","date":"2025-02-13T14:00:00+08:00","image":"https://t.alcy.cc/fj/?/p/%e9%98%b2%e7%81%ab%e5%a2%99%e4%b8%8e%e5%85%a5%e4%be%b5%e6%a3%80%e6%b5%8b%e7%b3%bb%e7%bb%9f/","permalink":"https://www.Zen01.pages.dev/p/%E9%98%B2%E7%81%AB%E5%A2%99%E4%B8%8E%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F/","title":"防火墙与入侵检测系统"},{"content":"前言 网络安全是软考中级网络工程师考试的重要组成部分。随着网络安全威胁的日益严重，掌握加密、认证、访问控制等安全机制，对于构建安全网络系统和应对考试都至关重要。\n网络安全威胁类型 常见威胁分类 威胁类型 描述 防护措施 窃听（Sniffing） 捕获传输中的数据 加密传输 篡改（Tampering） 非法修改传输中的数据 完整性校验、数字签名 伪造（Spoofing） 冒充合法用户/设备 身份认证、反欺诈 拒绝服务（DoS） 耗尽资源使服务不可用 流量清洗、入侵检测 权限提升 获得未授权的高权限 访问控制、最小权限原则 加密技术 对称加密（Symmetric Encryption） 发送方和接收方使用相同的密钥进行加密和解密。\n算法示例：DES、3DES、AES、RC4\n优点：加密解密速度快 缺点：密钥分发问题\n流程：\n1 2 明文 + 密钥 → 加密算法 → 密文 密文 + 密钥 → 解密算法 → 明文 非对成加密（Asymmetric Encryption） 使用公钥加密、私钥解密，也称为公钥密码体制。\n算法示例：RSA、ECC、ElGamal\n优点：解决密钥分发问题 缺点：计算复杂、速度慢\n流程：\n1 2 发送方：明文 + 接收方公钥 → 加密算法 → 密文 接收方：密文 + 接收方私钥 → 解密算法 → 明文 哈希函数（Hash Function） 将任意长度的输入映射为固定长度的输出，用于完整性和身份验证。\n特性：\n单向性：无法从哈希值反推原文 抗碰撞性：难以找到两个不同输入产生相同输出 雪崩效应：输入微小变化导致输出巨大变化 常将算法：MD5（128位）、SHA-1（160位）、SHA-256（256位）\n应用场景：\n数字签名 完整性校验 口令存储（存储哈希值而非明文） 身份认证机制 认证类型对比 认证类型 因素 示例 安全性 你知道什么（What you know） 密码、PIN等 低 你拥有什么（What you have） USB Key、智能卡 中 双因素认证 你是什么（What you are） 指纹、人脸、虹膜 高 生物特征 AAA认证架构 AAA是认证、授权、计费的统一框架：\nAuthentication（认证）：确认用户身份 Authorization（授权）：确认用户权限 Accounting（计费）：记录用户操作行为 流程：\n1 2 3 4 5 6 7 用户 → 认证请求 → NAS（网络接入服务器） ↓ RADIUS/TACACS+ 服务器 ↓ 验证通过/拒绝 → NAS ↓ 允许/拒绝访问 → 用户 RADIUS协议 特点：\n标准：RFC 2865/2866 传输：UDP 1812（认证）、1813（计费） 加密：仅加密密码字段，属性明文传输 架构：客户端-服务器模式 RADIUS属性：\n属性类型 属性ID 用途 UserName 1 用户名 User-Password 2 用户密码 Framed-IP-Address 8 分配的IP地址 NAS-IP-Address 4 网络接入服务器IP TACACS+协议 特点：\nCisco私有：但成为事实标准 传输：TCP 49（可靠传输） 全加密：整个报文加密 分离控制：认证、授权、计费独立处理 PKI公钥基础设施 PKI组成 CA（Certificate Authority）：证书授权中心，签发数字证书 RA（Registration Authority）：注册中心，审核证书申请 证书库：存储已撤销证书的CRL 终端实体：持有证书的最终用户 X.509证书结构 数字证书包含：\n版本号：V3最常见 序列号：CA唯一分配 签名算法：如RSA with SHA-256 颁发者：CA的DN（Distinguished Name） 有效期：起止时间 主体：证书持有者的DN 公钥信息：算法及公钥值 签名：CA的数字签名 SSL/TLS握手过程 1 2 3 4 5 6 7 8 9 10 11 12 13 客户端 服务端 | | |---- Client Hello --\u0026gt;| |\u0026lt;-- Server Hello ------| |\u0026lt;-- Certificate ------| |---- Client Key Exchange --\u0026gt;| |---- Change Cipher Spec --\u0026gt;| |\u0026lt;-- Server Hello Done -----| |---- Change Cipher Spec --\u0026gt;| |---- Finished --------\u0026gt;| |\u0026lt;-- Finished ----------| | | (建立加密通道) 访问控制列表（ACL） ACL类型 标准ACL：1-99，检查源地址 扩展ACL：100-199，检查源/目的地址、协议、端口 命名ACL：使用名称标识更易管理 通配符 符号 含义 示例 host x.x.x.x 指定单个主机 host 192.168.1.10 any 任意地址 ip any any eq 等于 eq 80 gt 大于 gt 1024 lt 小于 lt 1024 range 范围 range 100 200 练习题 题目1：以下关于对称加密和非对称加密的描述，错误的是（ ）\nA. 对称加密速度快于非对称加密 B. 非对称加密解决了密钥分发问题 C. RSA属于对称加密算法 D. AES属于对称加密算法\n答案：C（RSA是非对称加密）\n题目2：MD5哈希函数的输出长度是（ ）\nA. 128位 B. 160位 C. 256位 D. 512位\n答案：A（MD5输出128位，SHA-1是160位，SHA-256是256位）\n题目3：RADIUS协议使用的传输层协议和端口是（ ）\nA. TCP 1812 B. UDP 1812 C. TCP 1813 D. UDP 1813\n答案：B（RADIUS使用UDP 1812端口）\n附录 参考文献 《网络安全基础与应用》- William Stallings 《密码学导论》- 潘承喜 软考中级网络工程师网络安全部分 文章封面 安全防护\n","date":"2025-02-13T13:00:00+08:00","image":"https://t.alcy.cc/fj/?/p/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e5%9f%ba%e7%a1%80%e5%8a%a0%e5%af%86%e4%b8%8e%e8%ae%a4%e8%af%81/","permalink":"https://www.Zen01.pages.dev/p/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%9F%BA%E7%A1%80%E5%8A%A0%E5%AF%86%E4%B8%8E%E8%AE%A4%E8%AF%81/","title":"网络安全基础——加密与认证"},{"content":"前言 路由是网络层的核心功能，负责将数据包从源地址转发到目的地址。理解路由算法和常用路由协议的工作原理，是软考中级网络工程师的重要内容。\n路由基础 路由表结构 路由器通过查找路由表来决定数据包的转发路径：\n目的网络 子网掩码 下一跳 接口 192.168.1.0 255.255.255.0 192.168.1.2 Ethernet0 192.168.2.0 255.255.255.0 192.168.1.1 Ethernet1 0.0.0.0 0.0.0.0 202.114.0.1 Ethernet2 最后一行是默认路由，当目的地址不匹配任何具体路由时使用。\n路由选择原则 最长前缀匹配：选择子网掩码最长（即网络位最多）的路由 管理距离优先：相同前缀时，选择管理距离（Metric）更小的 负载均衡：多条等价路由时可以分担流量 路由算法 静态路由 vs 动态路由 类型 特点 静态路由 手工配置，固定不变，适合小型网络 动态路由 自动学习和更新，适应网络变化，适合大型网络 常用路由算法 1. 距离向量（Distance Vector） 原理：路由器只知道自己到目的网络的距离（跳数），与邻居交换信息\n算法：Bellman-Ford算法\n优点：简单、配置容易 缺点：慢收敛、计数到无穷问题、路由环路\n代表协议：RIP（Routing Information Protocol）\n2. 链路状态（Link State） 原理：路由器掌握整个网络拓扑结构，计算最短路径\n算法：Dijkstra算法\n优点：收敛快、无环路 缺点：计算复杂、资源消耗大\n代表协议：OSPF（Open Shortest Path First）\n3. 路径向量（Path Vector） 原理：记录到达目的的完整路径，避免环路\n代表协议：BGP（Border Gateway Protocol）\n路由协议详解 RIP协议 特点：\n最大跳数：15跳（16跳视为不可达） 更新周期：每30秒广播路由表 度量标准：跳数（Hop Count） 端口：UDP 520 版本：\nRIPv1：有类路由（Classful） RIPv2：无类路由（Classless，支持CIDR和VLSM） OSPF协议 特点：\n开放标准：公开协议，互操作性好 链路状态：使用Dijkstra算法 区域概念：将AS划分为区域，减少路由表规模 度量标准：代价（Cost），基于带宽计算 100Mbps → Cost = 1 10Mbps → Cost = 10 快速收敛：触发更新，仅当网络变化时发送 认证支持：支持明文和MD5认证 OSPF区域类型：\n骨干区域（Area 0）：必须连续，其他区域必须连接 普通区域：连接到骨干区域 末梢区域：只有一个出口点（ABR） BGP协议 特点：\n外部网关协议：用于自治系统（AS）之间的路由 路径向量协议：携带AS路径信息 TCP端口179：可靠传输 策略路由：基于属性（AS-PATH等）实现路由策略 BGP类型：\neBGP：外部BGP，不同AS之间 iBGP：内部BGP，同一AS内部 BGP选路原则：\n忽略下一跳AS（Local Pref） AS_PATH最短 ORIGIN类型（IGP \u0026lt; EGP \u0026lt; Incomplete） MED值（多出口歧视） Router ID最小 Cluster List长度 Peer IP地址 路由配置示例 静态路由配置 1 2 3 4 5 6 # IP route命令格式 ip route [目标] [mask] [网关] [interface] # 示例 ip route 192.168.2.0 255.255.255.0 192.168.1.1 ip route 0.0.0.0 0.0.0.0 202.114.0.1 # 默认路由 OSPF基本配置 1 2 3 router ospf 1 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 1 练习题 题目1：RIP协议中，当路由器收到跳数为16的路由信息时，会（ ）\nA. 正常更新路由表 B. 将该路由标记为不可用 C. 丢弃该路由信息 D. 向源路由器发送错误消息\n答案：C（RIP最大跳数为15，16视为不可达）\n题目2：OSPF协议中，以下关于区域的描述错误的是（ ）\nA. 骨干区域的区域ID必须是0 B. 所有区域必须与骨干区域相连 C. OSPF支持VLSM D. OSPF使用跳数作为度量标准\n答案：D（OSPF使用Cost，不是跳数）\n题目3：路由器收到一个数据包，查路由表发现有多条匹配路由时，优先选择（ ）\nA. 跳数最少的 B. 带宽最大的 C. 子网掩码最长的 D. 管理距离最小的\n答案：C（最长前缀匹配原则）\n附录 参考文献 《路由算法与协议》- RFC文档 CCNP路由与交换指南 软考中级网络工程师网络管理部分 文章封面 网络拓扑\n","date":"2025-02-13T12:00:00+08:00","image":"https://t.alcy.cc/fj/?/p/%e8%b7%af%e7%94%b1%e7%ae%97%e6%b3%95%e4%b8%8e%e8%b7%af%e7%94%b1%e5%8d%8f%e8%ae%ae/","permalink":"https://www.Zen01.pages.dev/p/%E8%B7%AF%E7%94%B1%E7%AE%97%E6%B3%95%E4%B8%8E%E8%B7%AF%E7%94%B1%E5%8D%8F%E8%AE%AE/","title":"路由算法与路由协议"},{"content":"前言 IP地址与子网划分是软考中级网络工程师的必考知识点，也是网络设计和管理的基础。掌握IP地址的分类、子网掩码的计算以及CIDR表示法，对于实际网络规划和考试都至关重要。\nIP地址基础 IPv4地址结构 IPv4地址是32位二进制数，通常用点分十进制表示：\n1 2 IP地址：192.168.1.1 二进制：11000000.10101000.00000001.00000001 IPv4地址由两部分组成：\n网络部分（Network ID）：标识主机所在的网络 主机部分（Host ID）：标识该网络中的具体主机 特殊IP地址 地址类型 用途 0.0.0.0 当前网络（默认路由） 127.x.x.x 环回地址（本地测试） 255.255.255.255 有限广播地址 私有IP 用于内部网络，不路由到互联网 子网掩码（Subnet Mask） 定义 子网掩码是一个32位的二进制数，用于区分IP地址中的网络部分和主机部分：\n1表示网络位 0表示主机位 常见子网掩码 子网掩码 CIDR 可用主机数 255.0.0.0 /8 16,777,214 255.255.0.0 /16 65,534 255.255.255.0 /24 254 255.255.255.128 /25 126 255.255.255.192 /26 62 CIDR表示法 CIDR（无类域间路由）用斜线记法表示子网掩码：\n1 2 3 4 5 6 传统表示法： IP地址：192.168.1.0 子网掩码：255.255.255.0 CIDR表示法： 192.168.1.0/24 /24的含义：前24位是网络位，后8位是主机位。\n子网划分步骤 例题 将网络192.168.1.0/24划分成4个子网，每个子网至少有50台主机。\n解答步骤 第1步：确定所需位数\n需要4个子网，需要借用2位主机位（2² = 4） 新子网掩码：/24 + 2 = /26\n第2步：计算新的子网\n1 2 3 4 5 6 7 原网络：192.168.1.0/24 子网块大小：2^(8-2) = 64个IP 子网1：192.168.1.0/26 （范围：192.168.1.1 - 192.168.1.62） 子网2：192.168.1.64/26 （范围：192.168.1.65 - 192.168.1.126） 子网3：192.168.1.128/26 （范围：192.168.1.129 - 192.168.1.190） 子网4：192.168.1.192/26 （范围：192.168.1.193 - 192.168.1.254） 验证：每个子网可用主机数 = 2^(32-26) - 2 = 62台，满足50台的要求。\n计算公式总结 可用主机数 1 可用主机数 = 2^(32 - 子网掩码位数) - 2 子网范围 1 2 3 子网起始地址 = 网络地址 + 1 子网结束地址 = 下一子网网络地址 - 2 广播地址 = 子网网络地址 + (2^主机位数 - 1) VLSM（可变长子网掩码） VLSM允许不同子网使用不同长度的子网掩码，更高效地利用IP地址空间。\n示例：\n子网 子网掩码 可用主机数 用途 192.168.1.0/24 255.255.255.0 254 普通用户 192.168.2.0/25 255.255.255.128 126 服务器群 192.168.2.128/26 255.255.255.192 62 管理网络 192.168.2.192/28 255.255.255.240 14 打印机网络 IPv6简介 IPv6地址格式 IPv6地址是128位，用冒号分十六进制表示：\n1 2 3 2001:0db8:85a3:0000:0000:8a2e:0370:7334 可简化为： 2001:db8:85a3::8a2e:370:7334 IPv6优势 地址空间巨大：2^128个地址，号称可以为地球上每一粒沙子分配一个IP 简化头部：固定40字节头部，提高路由效率 内置安全性：支持IPSec 更好的QoS支持：对流量标识和分类更灵活 练习题 题目1：IP地址192.168.100.5/24的子网掩码是（ ）\nA. 255.0.0.0 B. 255.255.0.0 C. 255.255.255.0 D. 255.255.255.255\n答案：C（/24对应255.255.255.0）\n题目2：子网202.96.0.0/20可以划分成多少个/26的子网？（ ）\nA. 8 B. 16 C. 32 D. 64\n答案：D（20→26相差6位，2^6 = 64）\n题目3：某公司申请到一个C类IP地址段202.114.0.0/24，需要划分成6个子网，每个子网最多30台主机，应使用的子网掩码是（ ）\nA. 255.255.255.192 B. 255.255.255.224 C. 255.255.255.240 D. 255.255.255.248\n答案：D（需要2^6≥6，借用3位主机位，/27 = 255.255.255.224）\n附录 参考文献 《TCP/IP详解 卷1：协议》- W. Richard Stevens CCNA自学指南 软考中级网络工程师辅导教程 文章封面 数字网络\n","date":"2025-02-13T11:00:00+08:00","image":"https://t.alcy.cc/fj/?/p/ip%e5%9c%b0%e5%9d%80%e4%b8%8e%e5%ad%90%e7%bd%91%e5%88%92%e5%88%86/","permalink":"https://www.Zen01.pages.dev/p/ip%E5%9C%B0%E5%9D%80%E4%B8%8E%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86/","title":"IP地址与子网划分"},{"content":"前言 OSI七层模型和TCP/IP协议栈是软考中级网络工程师考试的核心知识点之一。理解这两者之间的关系和各自的功能，对于掌握网络原理、应对考试题目至关重要。\nOSI七层模型 OSI（Open Systems Interconnection，开放系统互连）参考模型是由ISO（国际标准化组织）于1984年提出的网络体系结构模型，将网络通信过程划分为七个层次：\n层次 名称 主要功能 协议示例 第7层 应用层（Application Layer） 为应用程序提供服务 HTTP、FTP、SMTP、DNS 第6层 表示层（Presentation Layer） 数据格式化、加密解密 SSL/TLS、JPEG、ASCII 第5层 会话层（Session Layer） 建立、管理和终止会话 NetBIOS、RPC 第4层 传输层（Transport Layer） 端到端传输、流量控制 TCP、UDP 第3层 网络层（Network Layer） 路由选择、逻辑寻址 IP、ICMP、IGMP 第2层 数据链路层（Data Link Layer） 物理寻址、差错检测 Ethernet、MAC、PPP 第1层 物理层（Physical Layer） 比特传输 光纤、双绞线、电波 记忆口诀 从下往上：物数网传会表应\n从上往下：应表会传网数物\nTCP/IP协议栈 TCP/IP模型是实际使用的网络协议体系，相比OSI模型更为简洁实用。它通常被描述为四层结构：\nTCP/IP四层模型 TCP/IP层 对应OSI层 主要协议 应用层 应用层、表示层、会话层 HTTP、FTP、DNS、SMTP 传输层 传输层 TCP、UDP 网际层（Internet Layer） 网络层 IP、ICMP、ARP 网络接口层 数据链路层、物理层 Ethernet、Wi-Fi、PPP TCP与UDP对比 特性 TCP UDP 连接 面向连接（三次握手） 无连接 可靠性 可靠传输（确认、重传） 不可靠 速度 较慢 快 资源消耗 高 低 应用场景 文件传输、邮件、网页 视频直播、在线游戏、DNS查询 数据封装过程 数据从应用层向下传输到物理层时，每一层都会添加自己的头部信息：\n1 2 3 4 5 6 7 8 9 应用数据 ↓ (添加TCP头部：端口号、序列号等) TCP段 ↓ (添加IP头部：源IP、目的IP等) IP数据报 ↓ (添加以太网头部：MAC地址等) 以太网帧 ↓ (转换为电信号/光信号) 比特流 考试重点：数据在每一层被封装时添加的是什么信息，封装的顺序是什么。\n常见考点总结 1. 层次对应关系 TCP/IP的应用层对应OSI的上三层（应用层、表示层、会话层） 网际层对应OSI的网络层 网络接口层对应OSI的下两层（数据链路层、物理层） 2. 协议归属 HTTP、FTP、DNS → 应用层 TCP、UDP → 传输层 IP、ICMP → 网络层 Ethernet、MAC、ARP → 数据链路层 3. 端口号 常用端口号需要熟记：\n服务 端口 协议 FTP 20(数据), 21(控制) TCP SSH 22 TCP Telnet 23 TCP SMTP 25 TCP DNS 53 TCP/UDP HTTP 80 TCP HTTPS 443 TCP 4. IP地址分类（IPv4） 类别 第一字节范围 网络数 主机数 A类 1-126 126 16,777,216 B类 128-191 16,384 65,536 C类 192-223 2,097,152 254 D类（组播） 224-239 - - E类（保留） 240-255 - - 注意：A类的127.x.x.x是环回地址，用于本地测试。\n练习题 题目1：在OSI七层模型中，为应用程序提供服务的层次是（ ）\nA. 表示层 B. 会话层 C. 应用层 D. 传输层\n答案：C\n题目2：以下协议中，属于传输层的是（ ）\nA. HTTP B. IP C. TCP D. ARP\n答案：C\n题目3：TCP协议通过（ ）来保证可靠性\nA. 三次握手 B. 滑动窗口 C. 确认与重传 D. 拥塞控制\n答案：C（三次握手是建立连接的方式）\n附录 参考文献 《计算机网络 第8版》- 谢希仁 软考中级网络工程师考试大纲 RFC 1180 - TCP相关标准 文章封面 网络架构\n","date":"2025-02-13T10:00:00+08:00","image":"https://t.alcy.cc/fj/?/p/osi%e4%b8%83%e5%b1%82%e6%a8%a1%e5%9e%8b%e4%b8%8etcp/ip%e5%8d%8f%e8%ae%ae%e6%a0%88/","permalink":"https://www.Zen01.pages.dev/p/osi%E4%B8%83%E5%B1%82%E6%A8%A1%E5%9E%8B%E4%B8%8Etcp/ip%E5%8D%8F%E8%AE%AE%E6%A0%88/","title":"OSI七层模型与TCP/IP协议栈"}]