防火墙已经成为企业网络建设中的一个关键组成部分。git
但有不少用户,认为网络中已经有了路由器,能够实现一些简单的包过滤功能,因此,为何还要用防火墙呢?如下咱们针对
NetEye防火墙与业界应用最多、最具表明性的CISCO路由器在安全方面的对比,来阐述为何用户网络中有了路由器还须要防火墙。
1、 两种设备产生和存在的背景不一样
1.两种设备产生的根源不一样
路由器的产生是基于对网络数据包路由而产生的。路由器须要完成的是将不一样网络的数据包进行有效的路由,至于为何路由、是否应该路由、路由事后是否有问题等根本不关心,所关心的是:可否将不一样的网段的数据包进行路由从而进行通信。
防火墙是产生于人们对于安全性的需求。数据包是否能够正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该经过、经过后是否会对网络形成危害。
2.根本目的不一样
路由器的根本目的是:保持网络和数据的
"通"。
防火墙根本的的目的是:保证任何非容许的数据包"不通"。
防火墙根本的的目的是:保证任何非容许的数据包"不通"。
2、核心技术的不一样
Cisco路由器核心的
ACL列表是基于简单的包过滤,从防火墙技术实现的角度来讲,NetEye防火墙是基于状态包过滤的应用级信息流过滤。下图是一个最为简单的应用:企业内网的一台主机,经过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上须要配置成:外-》内 只容许client访问 server的tcp 1455端口,其余拒绝。
针对如今的配置,存在的安全脆弱性以下:
IP地址欺骗(使链接非正常复位)
TCP欺骗(会话重放和劫持)
存在上述隐患的缘由是,路由器不能监测TCP的状态。若是在内网的client和路由器之间放上NetEye防火墙,因为NetEye防火墙可以检测TCP的状态,而且能够从新随机生成TCP的序列号,则能够完全消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,可以实如今对应用彻底透明的状况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,能够彻底与第三方的认证服务器进行互操做,并可以实现角色的划分。
TCP欺骗(会话重放和劫持)
存在上述隐患的缘由是,路由器不能监测TCP的状态。若是在内网的client和路由器之间放上NetEye防火墙,因为NetEye防火墙可以检测TCP的状态,而且能够从新随机生成TCP的序列号,则能够完全消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,可以实如今对应用彻底透明的状况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,能够彻底与第三方的认证服务器进行互操做,并可以实现角色的划分。
虽然,路由器的
"Lock-and-Key"功能可以经过动态访问控制列表的方式,实现对用户的认证,但该特性须要路由器提供Telnet服务,用户在使用使也须要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为***创造了机会)。
3、安全策略制定的复杂程度不一样
路由器的默认配置对安全性的考虑不够,须要一些高级配置才能达到一些防范***的做用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的几率较高。
NetEye 防火墙的默认配置既能够防止各类***,达到既用既安全,安全策略的制定是基于全中文的
GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
4、对性能的影响不一样
路由器是被设计用来转发数据包的,而不是专门设计做为全特性防火墙的,因此用于进行包过滤时,须要进行的运算很是大,对路由器的
CPU和内存的须要都很是大,而路由器因为其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置很是高(采用通用的
INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操做系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能很是高。
因为路由器是简单的包过滤,包过滤的规则条数的增长,
NAT规则的条数的增长,对路由器性能的影响都相应的增长,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
5、审计功能的强弱差别巨大
路由器自己没有日志、事件的存储介质,只能经过采用外部的日志服务器(如
syslog,trap)等来完成对日志、事件的存储;路由器自己没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对***等安全事件的相应不完整,对于不少的***、扫描等操做不可以产生准确及时的事件。审计功能的弱化,使管理员不可以对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括自己的硬盘存储,和单独的日志服务器;针对这两种存储,
NetEye 防火墙都提供了强大的审计分析工具,使管理员能够很是容易分析出各类安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体如今他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具备实时监控功能,能够在线监控经过防火墙的链接,同时还能够捕捉数据包进行分析,非分析网络运行状况,排除网络故障提供了方便。
6、防范***的能力不一样
对于像
Cisco这样的路由器,其普通版本不具备应用层的防范功能,不具备***实时检测等功能,若是须要具备这样的功能,就须要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时因为这些功能都须要进行大量的运算,还须要进行硬件配置的升级,进一步增长了成本,并且不少厂家的路由器不具备这样的高级安全功能。能够得出:
具备防火墙特性的路由器成本
> 防火墙 + 路由器
具备防火墙特性的路由器功能 < 防火墙 + 路由器
具备防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,能够得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
具备防火墙特性的路由器功能 < 防火墙 + 路由器
具备防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,能够得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即便用户的网络拓扑结构和应用都很是简单,使用防火墙仍然是必需的和必要的;若是用户的环境、应用比较复杂,那么防火墙将可以带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于一般的网络来讲,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
各种防火墙的优缺点 中国网管论坛
bbs.bitsCN.com
1 包过滤防火墙
优势:
每一个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙能够识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网络之间访问的惟一来源。由于全部的通讯必须经过防火墙,绕过是困难的。
包过滤一般被包含在路由器数据包中,因此没必要额外的系统来处理这个特征。
缺点:
配置困难。由于包过滤防火墙很复杂,人们常常会忽略创建一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在做改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。为特定服务开放的端口存在着危险,可能会被用于其余传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻能够容许链接到RealAudio服务器的端口,而无论这个端口是否被其余协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无心中,RealPlayer就利用了Web服务器的端口。
可能还有其余方法绕过防火墙进入网络,例如拨入链接。但这个并非防火墙自身的缺点,而是不该该在网络安全上单纯依赖防火墙的缘由。
2.状态/动态检测防火墙
优势:
检查IP包的每一个字段的能力,并听从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个网络之间访问的惟一来源。由于全部的通讯必须经过防火墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,例如基于一个已经创建的FTP链接,容许返回的FTP包经过。基于应用程序信息验证一个包状态的能力,例如容许一个先前认证过的链接继续与被授予的服务通讯。记录有关经过的每一个包的详细信息的能力。基本上,防火墙用来肯定包状态的全部信息均可以被记录,包括应用程序对包的请求,链接的持续时间,内部和外部系统所作的链接请求等。
缺点:
状态/动态检测防火墙惟一的缺点就是全部这些记录、测试和分析工做可能会形成网络链接的某种迟滞,特别是在同时有许多链接激活的时候,或者是有大量的过滤网络通讯的规则存在时。但是,硬件速度越快,这个问题就越不易察觉,并且防火墙的制造商一直致力于提升他们产品的速度
3.应用程序代理防火墙
优势:
指定对链接的控制,例如容许或拒绝基于服务器IP地址的访问,或者是容许或拒绝基于用户所请求链接的IP地址的访问。经过限制某些协议的传出请求,来减小网络中没必要要的服务。大多数代理防火墙可以记录全部的链接,包括地址和持续时间。这些信息对追踪***和发生的未受权访问的事件事颇有用的。
缺点:
速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用),必须在必定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理链接。
4.NAT
优势:
全部内部的IP地址对外面的人来讲是隐蔽的。由于这个缘由,网络以外没有人能够经过指定IP地址的方式直接对网络内的任何一台特定的计算机发起***。若是由于某种缘由公共IP地址资源比较短缺的话,NAT可使整个内部网络共享一个IP地址。能够启用基本的包过滤防火墙安全机制,由于全部传入的包若是没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络
缺点:
NAT的缺点和包过滤防火墙的缺点是同样的。虽然能够保障内部网络的安全,但它也是一些相似的局限。并且内网能够利用现流传比较普遍的***程序能够经过NAT作外部链接,就像它能够穿过包过滤防火墙同样的容易。 注意:如今有不少厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具备的功能以外也提供了NAT的功能。
5.我的防火墙
优势:增长了保护级别,不须要额外的硬件资源。我的防火墙除了能够抵挡外来***的同时,还能够抵挡内部的***。我的防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来讲实在是太昂贵了,或者说是太麻烦了。而我的防火墙已经可以为用户隐蔽暴露在网络上的信息,好比IP地址之类的信息等。
缺点:
我的防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通讯。这样一来的话,我的防火墙自己可能会容易受到威胁,或者说是具备这样一个弱点,网络通讯能够绕过防火墙的规则。
好了,在上面咱们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通讯或者是数据传输提供了更有保障的安全性,可是咱们也不能彻底依赖于防火墙。除了靠防火墙来保障安全的同时,咱们也要加固系统的安全性,提升自身的安全意识。这样一来,数据和通讯以及Web站点就会更有安全保障。
1 包过滤防火墙
优势:
每一个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙能够识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网络之间访问的惟一来源。由于全部的通讯必须经过防火墙,绕过是困难的。
包过滤一般被包含在路由器数据包中,因此没必要额外的系统来处理这个特征。
缺点:
配置困难。由于包过滤防火墙很复杂,人们常常会忽略创建一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在做改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。为特定服务开放的端口存在着危险,可能会被用于其余传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻能够容许链接到RealAudio服务器的端口,而无论这个端口是否被其余协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无心中,RealPlayer就利用了Web服务器的端口。
可能还有其余方法绕过防火墙进入网络,例如拨入链接。但这个并非防火墙自身的缺点,而是不该该在网络安全上单纯依赖防火墙的缘由。
2.状态/动态检测防火墙
优势:
检查IP包的每一个字段的能力,并听从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个网络之间访问的惟一来源。由于全部的通讯必须经过防火墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,例如基于一个已经创建的FTP链接,容许返回的FTP包经过。基于应用程序信息验证一个包状态的能力,例如容许一个先前认证过的链接继续与被授予的服务通讯。记录有关经过的每一个包的详细信息的能力。基本上,防火墙用来肯定包状态的全部信息均可以被记录,包括应用程序对包的请求,链接的持续时间,内部和外部系统所作的链接请求等。
缺点:
状态/动态检测防火墙惟一的缺点就是全部这些记录、测试和分析工做可能会形成网络链接的某种迟滞,特别是在同时有许多链接激活的时候,或者是有大量的过滤网络通讯的规则存在时。但是,硬件速度越快,这个问题就越不易察觉,并且防火墙的制造商一直致力于提升他们产品的速度
3.应用程序代理防火墙
优势:
指定对链接的控制,例如容许或拒绝基于服务器IP地址的访问,或者是容许或拒绝基于用户所请求链接的IP地址的访问。经过限制某些协议的传出请求,来减小网络中没必要要的服务。大多数代理防火墙可以记录全部的链接,包括地址和持续时间。这些信息对追踪***和发生的未受权访问的事件事颇有用的。
缺点:
速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用),必须在必定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理链接。
4.NAT
优势:
全部内部的IP地址对外面的人来讲是隐蔽的。由于这个缘由,网络以外没有人能够经过指定IP地址的方式直接对网络内的任何一台特定的计算机发起***。若是由于某种缘由公共IP地址资源比较短缺的话,NAT可使整个内部网络共享一个IP地址。能够启用基本的包过滤防火墙安全机制,由于全部传入的包若是没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络
缺点:
NAT的缺点和包过滤防火墙的缺点是同样的。虽然能够保障内部网络的安全,但它也是一些相似的局限。并且内网能够利用现流传比较普遍的***程序能够经过NAT作外部链接,就像它能够穿过包过滤防火墙同样的容易。 注意:如今有不少厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具备的功能以外也提供了NAT的功能。
5.我的防火墙
优势:增长了保护级别,不须要额外的硬件资源。我的防火墙除了能够抵挡外来***的同时,还能够抵挡内部的***。我的防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来讲实在是太昂贵了,或者说是太麻烦了。而我的防火墙已经可以为用户隐蔽暴露在网络上的信息,好比IP地址之类的信息等。
缺点:
我的防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通讯。这样一来的话,我的防火墙自己可能会容易受到威胁,或者说是具备这样一个弱点,网络通讯能够绕过防火墙的规则。
好了,在上面咱们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通讯或者是数据传输提供了更有保障的安全性,可是咱们也不能彻底依赖于防火墙。除了靠防火墙来保障安全的同时,咱们也要加固系统的安全性,提升自身的安全意识。这样一来,数据和通讯以及Web站点就会更有安全保障。
吞吐量:网络中的数据是由一个个数据包组成,防火墙对每一个数据包的处理要耗费资源。吞吐量是指在不丢包的状况下
单位时间内经过防火墙的数据包数量。这是测量防火墙性能的重要指标。
最大链接数:和吞吐量同样,数字越大越好。可是最大链接数更贴近实际网络状况,网络中大多数链接是指所创建的一个虚拟通道。防火墙对每一个链接的处理也好耗费资源,所以最大链接数成为考验防火墙这方面能力的指标。
数据包转发率:是指在全部安全规则配置正确的状况下,防火墙对数据流量的处理速度。
防火墙对比
在了解了防火墙的工做原理及基本配置以后,下面给你们介绍一下
NetScreen 20八、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最多见的硬件防火墙在基本性能、操做管理与市场价格上的比较。
|
防火墙
|
NetScreen208
|
CiscoPIX515E
|
NGFW4000-S
|
NetEye4032
|
|
核心技术
|
状态检测
|
状态检测
|
核检测
|
状态检测
|
|
产品类型
|
ASIC硬件
|
硬件设备
|
硬件设备
|
硬件设备
|
|
工做模式(路由模式、桥模式、混合模式)
|
路由模式、桥模式
|
路由模式、桥模式
|
路由模式、桥模式、
混合模式
|
路由模式、桥模式
|
|
并发链接数
|
130000
|
130000
|
600000
|
300000
|
|
网络吞吐量
|
550M
|
170M
|
100M
|
200M
|
|
最大支持网络接口
|
8个
|
6个
|
12个
|
8个
|
|
操做系统
|
ScreenOS
|
专用操做系统
|
专用操做系统
|
专用操做系统
|
|
管理方式
|
串口、CLI、Telnet、Web、GUI
|
串口、Telnet、Web、GUI
|
串口、Telnet、Web、GUI
|
串口、Telnet、GUI
|
|
市场报价
|
142,000RMB
|
80,000RMB
|
138,000RMB
|
148,000RMB
|
网络协议:认识互联网OSI七层模型
互联网的各项应用,其实都是分层的,也就是各位网络达人常说的
OSI七层模型,下面咱们就来具体看看互联网的OSI七层模型。
1、什么是互联网OSI模型?
OSI(Open System Interconnection)是指开放式系统互联参考模型。在咱们的日常使用的计算机网络中存在众多体系结构,如IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构等。因为体系太多,为了可以解决不一样网络之间的互联问题,国际标准化组织制定了这个OSI模型。OSI将网络通讯工做分为七层,由高到低依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI模型结构图
2、数据如何各层之间传输?
物理层,数据链路层,网络层属于OSI模型的低三层,负责建立网络通讯链接的链路,传输层,会话层,表示层和应用层是OSI模型的高四层,具体负责端到端的数据通讯。每层完成必定的功能,每层都直接为其上层提供服务,而且全部层次都互相支持,而网络通讯则能够自上而下(在发送端)或者自下而上(在接收端)双向进行。固然,并非全部通讯都是要通过OSI的所有七层,如物理接口之间的转接,只须要物理层中进行便可;而路由器与路由器之间的链接则只需网络层如下的三层。
3、各层的做用是什么?各自包括哪些就应用?
1.物理层。物理层规定了激活、维持、关闭通讯端点之间的机械特性、电气特性、功能特性以及过程特性。物理层为上层协议提供了一个传输数据的物理媒体。
属于物理层定义的典型规范包括:EIA/TIA RS-23二、EIA/TIA RS-44九、V.3五、RJ-45等。
2.数据链路层。数据链路层在不可靠的物理介质上提供可靠的传输。数据链路层的做用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
数据链路层协议的表明包括:SDLC、HDLC、PPP、STP、帧中继等。
3.网络层。网络层负责对子网间的数据包进行路由选择。网络层还能够实现拥塞控制、网际互连等功能。
网络层协议的表明包括:IP、IPX、RIP、OSPF等。
4.传输层。传输层是第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
传输层协议的表明包括:TCP、UDP、SPX等。
5.会话层。会话层管理主机之间的会话进程,即负责创建、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
6.表示层。表示层对上层数据或信息进行变换以保证一个主机应用层信息能够被另外一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
七、应用层。应用层为操做系统或网络应用程序提供访问网络服务的接口。
应用层协议的表明包括:Telnet、FTP、HTTP、SNMP等。
4、在各层之间,数据是以什么单位进行传输的?
这个问题比较有意思,数据在各层之间的单位都是不同的,在物理层数据的单位称为比特(bit);在数据链路层,数据的单位称为帧(frame);在网络层,数据的单位称为数据包(packet);传输层,数据的单位称为数据段(segment)。
1、什么是互联网OSI模型?
OSI(Open System Interconnection)是指开放式系统互联参考模型。在咱们的日常使用的计算机网络中存在众多体系结构,如IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构等。因为体系太多,为了可以解决不一样网络之间的互联问题,国际标准化组织制定了这个OSI模型。OSI将网络通讯工做分为七层,由高到低依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI模型结构图
2、数据如何各层之间传输?
物理层,数据链路层,网络层属于OSI模型的低三层,负责建立网络通讯链接的链路,传输层,会话层,表示层和应用层是OSI模型的高四层,具体负责端到端的数据通讯。每层完成必定的功能,每层都直接为其上层提供服务,而且全部层次都互相支持,而网络通讯则能够自上而下(在发送端)或者自下而上(在接收端)双向进行。固然,并非全部通讯都是要通过OSI的所有七层,如物理接口之间的转接,只须要物理层中进行便可;而路由器与路由器之间的链接则只需网络层如下的三层。
3、各层的做用是什么?各自包括哪些就应用?
1.物理层。物理层规定了激活、维持、关闭通讯端点之间的机械特性、电气特性、功能特性以及过程特性。物理层为上层协议提供了一个传输数据的物理媒体。
属于物理层定义的典型规范包括:EIA/TIA RS-23二、EIA/TIA RS-44九、V.3五、RJ-45等。
2.数据链路层。数据链路层在不可靠的物理介质上提供可靠的传输。数据链路层的做用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
数据链路层协议的表明包括:SDLC、HDLC、PPP、STP、帧中继等。
3.网络层。网络层负责对子网间的数据包进行路由选择。网络层还能够实现拥塞控制、网际互连等功能。
网络层协议的表明包括:IP、IPX、RIP、OSPF等。
4.传输层。传输层是第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
传输层协议的表明包括:TCP、UDP、SPX等。
5.会话层。会话层管理主机之间的会话进程,即负责创建、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
6.表示层。表示层对上层数据或信息进行变换以保证一个主机应用层信息能够被另外一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
七、应用层。应用层为操做系统或网络应用程序提供访问网络服务的接口。
应用层协议的表明包括:Telnet、FTP、HTTP、SNMP等。
4、在各层之间,数据是以什么单位进行传输的?
这个问题比较有意思,数据在各层之间的单位都是不同的,在物理层数据的单位称为比特(bit);在数据链路层,数据的单位称为帧(frame);在网络层,数据的单位称为数据包(packet);传输层,数据的单位称为数据段(segment)。