博客摘录「 计算机网络重点回顾」2023年4月1日

计算机网络一.计算机网络概述计算机网络的概念：（*）1.计算机网络的定义：​ 计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路链接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。2.计算机网络的组成：终端系统/资源子网：提供共享的软件资源和硬件资源通信子网：提供信息交换的网络结点和通信线路。3.计算机网络的类型：按照拓朴分类： 星型结构 树形结构 总线型结构 环形结构 网状结构按照范围分类：局域网LAN 城域网MAN 广域网 WAN 补充：个人区域网PAN 互联网Internet按照传输方式分类：有线网络（IEEE802.3） 无线网络：（ IEEE802.11 WLAN无线局域网（wireless） WPAN无线个域网）计算机网络体系结构1.传输方式：按照传输的方向分：单工：只能单方向传输的工作模式双工：在同一时间，线路上只能允许一个方向的数据通过全双工：双方可以同时进行数据通信按照传输对象（方式）分：单播： 1对1多播：1对多广播：1对all2.数据交换：电路交换：整个报文从源头到终点连续的传输报文交换：整个报文先传达到相邻节点，全部存储下来查找转发表，再转发到下一个节点分组交换：将一个报文分成多个分组，传送到相邻结点，在查找转发表，在转发到下一个结点3.通信协议和体系结构：网络协议三要素：语法 语义 时序OSI参考模型：应用层：使用应用程序通过网络服务。表示层：表示层用于处理交互数据的表示方式，例如格式转换，数据的加密和解密，数据压缩和回复等功能会话层：负责维护通信中两个结点之间的会话建立维护和断开，以及数据的交换传输层：提供端到端之间的数据传输服务，实现对数据进行控制和操作的功能。网络层：单位 分组，在数据链路层的基础之上，提供点到点之间的通信，提供路由功能，实现拥塞控制，网络互联等功能。数据链路层：单位 帧，在物理层的基础之上，提供结点到结点之间的服务，采取差错控制和流量控制的方法实现网路互联物理层：单位bit，利用传输介质为通信的网络节点之间的建立TCP/IP参考模型：网络接口层：物理层和数据链路层网际层：网络层传输层应用层：会话层，表示层，应用层二.物理层1.物理层的基本概念：1.1四大特性：（***）机械特性：接口是怎么样的电气特性：用多少伏的电功能特性：线路上电平电压的特性过程特性：实现不同功能所发射信号的顺序1.2两种信号：模拟信号—特定频段的信号—有更加丰富的表现形式------抗干扰能力弱数字信号—不是1就是0--------抗干扰能力强1.3调制和编码：调制：模拟信号转换编码：数字信号转换编码的步骤：采样 量化 编码区别：数据可以通过编码手段转成数字信号，也可以通过调制手段将数据转成模拟型号。数字数据可以通过数字发送器转化为数字信号（编码），也可以通过调制器转化为模拟信号。模拟信号可以通过PCM编码器转化为数字信号（编码），也可以通过放大器调制器转化为模拟型号（调制）。1.4传输介质：双绞线：传输距离100-500（中继器 最多四个，超过就失真了）屏蔽双绞线STP：抗干扰强，贵一些非屏蔽双绞线：便宜，抗干扰差制作标准：568B：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕 ：八种568A：13，26调换—绿白，绿，绿白，蓝，蓝白，橙，棕白，棕光纤：多模光纤：芯较粗（50或62.5）。可以传多种模式的光。但其模间色散较大，这就限制了传输数字信号的频率，而且随距离的增加会更加的严重。例如：600MB/KM的光纤在2KM时只有300MB的宽带了。因此多模光纤传输距离就比较的近，一般只有几公里。距离：2KM单模光纤：单模光纤：中间纤芯很细（芯径一般是8-10），只能传一种模式的光，因此。其模间色散很小，适合语远程通讯，但还存在着材料色散和波导色散，这样单模光纤对光源的谱宽和稳定性有较高的要求，即谱宽要窄。稳定性要好。距离：100KM同轴电缆：淘汰了无线：无线信号频率 IEEE802.111.5三大部分：源系统：发送数据的一端传输系统：传输过程中的各种传输介质目的系统：接收数据的电脑2.物理层的基本通信技术2.1四种信道复用技术2.1.1复用技术复用技术是指一种在传输路径上综合多路道信道，然后恢复原机制或则解除终端各信道复用技术的过程将多种不同的信号在同一信道上进行传输，复用技术主要是用来解决不同信号传输时应该如何区分。2.1.2频分复用FDM频分多路复用，是在适于某种传输媒介的传输频带内，若干个频谱互不重叠的信号一并传输的方式，简称FDM。在每路信号进入传输频带前，先要以此搬移频率（调制），而在接收端，在搬回到原来的频段，恢复每路的原信号，从而使传输频带得到多路信号的复用。划分不同频率来并行传输信号2.1.3时分复用TDM时分复用TDM是采用同一物理连接的不同时段来传输不同的信号，也能达到多路传输的此目的。时分多路复用以时间作为信号分割的参量，故必须使各路信号在时间轴上互不重叠。时分复用TDM就是将提供给整个信道传输信息的时间划分为若干时间片（简称时隙），并将这些时隙分给每一个信号源使用划分不同的时间段来传输信号2.1.4波分复用WDM（波）是将两种或多种不i同波长的光载波信号（携带各种信息）在发送端经复用器（亦称合波器）汇合在一起，并耦合到光线路的同一根光纤中进行传输技术根据光波的波长进行传输（合波器耦合）2.1.5码分复用码分复用CDM是靠不同的编码来区分各路原始信号的一种复用方式，主要和各种多址技术结合产生了各种接入技术，包括无线和有线接入。在同一时间同一频率根据传输的数据码进行区分2.数据传输方式2.1通过同时间传输数量分为串行传输使用一条数据线，将数据一位一位的依次输入，每一位数据占据一个固定的时间长度。只需要少数几条先就可以在系统间交换信息，特别适用于计算机语计算机，外设之间的远距离通信。并行传输并行传输指的是数据以成组的方式，在多条并行信道上同时进行传输，是在传输中有多个数据位同时在设备之间进行的传输。2.2通过数据报文的双方的行为分为同步传输同步：在计算机网络中，定时的因素称为位同步。同步是要接收按照发送放放送的每个位的起止时刻和速率来接受数据，否则会产生误差。同步传输的比特分组要大得多。他不会独立的发送每个字符，每个字符都有自己的开始位和停止位，而是把他们组合起来发送。我们将这些组合称为数据帧，或简称帧异步传输：异步传输将比特分成小组进行传输，小组可以是8位的1个字符或更长。发送方可以在任何时刻发送这些比特组，而接受方从不知道它们会在什么时候到达。3.3通过传输的信号分基带传输：传输数字信号叫做基带传输频带传输：传输模拟信号叫做频带传输（300-3400HZ）3.4通过传输方向分单工 半双工 全双工3.5通过传输对象分单播 组播 广播三.数据链路层1.数据链路层的基础概念1.1数据链路层的概念数据链路层是在物理层和网际层之间的协议，提供相邻结点的可靠数据传输1.2帧的概念数据链路层的协议数据单元组成：帧头：源MAC地址，目的MAC地址，类型（MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址）数据帧尾：校验1.3以太网数据帧中的MAC和LLCMAC（一种协议，对接物理层）MAC介质控制访问作用：数据帧的封装/卸载，帧的寻址和识别，帧的接收语发送，链路的管理，帧的差错控制等。MAC子层的存在屏蔽了不同的物理链路层种类的差异性LLC（对接网络层）LLC逻辑控制访问作用：LLC子层的主要功能为传输可靠性保障和控制，数据包的分段与重组。数据包的顺序传播。注解：该协议位于OSI七层协议中数据链路层，数据链路层分为上层LLC（逻辑链路控制），和下层的MAC（媒体访问控制），MAC主要负责控制与链接物理层的物理介质。在发送数据的时候，MAC协议可以事先判断是否发送数据，如果可以发送将给数据加上一些控制信息，最终将数据以及控制信息以规定的格式发送到物理层；在接收数据的时候，MAC协议首先判断输入的信息并是否发生传输错误，如果没有错误，则去掉控制信息发送至LLC（逻辑链路控制）层。1.4数据链路层的两种传输方式单播 广播1.5数据链路层的三个基本问题（***）封装成帧（PPP）封装成帧就是在一段数据的前后分别添加首部和尾部，这样就构成了一个帧，接收端在收到物理层上交的比特流后，就能根据首部和尾部的标记，从收到的比特流中识别帧的开始和结束。透明传输透明传输是指不管所传数据是什么样的比特组合，都应当能够在链路上传输差错检测（奇数校验 偶数校验 CRC：需要计算）收到正确的帧就要向发送端发送确认，发送算在一定的期限内若没有收到对方的确认，就认为出现了差错，因而就进行重传，直到收到对方的确认为止，1.6局域网中的设备网桥（在物理层和数据链路层之间）两个端口的交换机集线器（在物理层 共享带宽）集线器的英文为：“HUB”是“中心”的意思，集线器的主要功能是对接受的信号进行再生整形放大，以扩大网络的传输距离，同时把所有结点集中在以它为中心的结点上。交换机（数据链路层 独享带宽）交换机（Switch）意为“开关”是一种用于电（光）信号转发的网络设备。它可以为接入交换机的任意两个网络结点提供独享的电信号通路。最常见的交换机式以太网交换机。2数据链路层的通信协议2.1冲突域和广播域（*）冲突域交换机的每一个端口都是一个冲突域；冲突域只能发生在一个网段广播域交换机的所有端口都在一个广播域；广播域在一个或多个网段内发生区别广播域可以跨网段冲突域是基于第一层（物理层），而广播域是基于第二层（数据链路层）HUB所有端口都在同一个广播域，冲突域内，Switch所有端口都在同意广播域内，而每一个端口就是一个冲突域。同一冲突域共享宽带2.2虚拟局域网（实验）VLAN（***）VLAN（Virtual local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN间不能直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。优点和目的划分广播域：减少垃圾数据增强局域网的安全性提高健壮性灵活构建工作组划分VLAN的方式基于端口给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机接口时，如果没有带VLAN标签，且该接口上配置了PVID。如果进入的帧已经带有VLAN标签，那么交换机不会在增加VLAN标签，即使接口已经配置了PVIDAccess：只允许通过一个VLANTrunk：允许通过多个VLANHybird基于子网配置好子网域VLAN映射表，如果交换设备收到的是untagged（不带VLAN标签）帧，交换设备根据报文中的源IP地址信息，确认添加的VLAN iD。将指定网段或IP地址发出的报文在指定的VLAN中传输，减轻了网络管理着的任务量，且有利于管理基于MAC地址先配置好MAC地址和VLAN映射关系表，当终端用户的物理位置发生改变，不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性基于协议将网络中提供的服务类型域VLAN相绑定，方便管理和维护。需要对网络中所有的协议类型和VLAN ID 的映射关系表进行初始配置。需要分析各种协议的地址格式并进行相应的转换，消耗交换机较多的资源，速度上稍具劣势。基于匹配策略先在交换机上配置好终端的MAC地址和IP地址，并与VLAN 并联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后，严禁修改IP地址和MAC地址，否则会导致终端从指定VLAN中退出。2.3：CSMA/CD（总线型）（***）CSDN/CD即载波侦听多路访问/冲突检测，是广播信道中采用一种随机访问技术的竞争型访问方法，具有多目标地址的特点，总线型网络传输数据四大特点（重要）先听再发边听边发冲突停止延迟后发2.4：PPP（单播）点对点通信是一对一通道，因此不会发生碰撞，因此比较简单，采用PPP协议；其中PPP协议就是用户计算机和ISP（互联网服务提供商）进行通信时使用的数据链路层的协议PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。2.5：CRC（需要单独的深入学习）循环冗余校验是数据通信领域中最常用的一种查错校验码，其特征是信息字段和校验字段的长度可以任意选定。循环冗余检查（CRC）是一种数据传输检错功能。l例题：要发送的数据为1101011011，采用CRC的生成多项式是P（x）=x^4+x+1.求余数。四.网络层1.网络层的作用提供点到点的服务 单位：分组网络层的目的是实现两个端系统之间的数据透明传输，具体功能包括寻址和路由选择，连接的建立，保持和终止等。它提供的服务使传输层不需要了解网络中的数据传输和交换技术。2.网际层协议IPARP地址解析协议根据IP地址获取物理地址RARP反地址解析协议ICMP网际控制报文协议通过ICMP传输控制消息，控制消息是指网络通不通，主机是否可达，路由是否可用等网络本身的消息。IGMP网际组管理协议适用于管理协议多播组成员的一种通信协议。IP主机和相邻路由器利用IGMP来创建多播组的组成员。组播方式解决了单播情况下数据的重复拷贝及带宽的重复占用，也解决了广播方式下带宽资源的浪费3.IP地址3.1IP地址的概念IP地址使IP协议提供的一种统一的地址格式，他为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。组成：一个IP地址由4个字节，32位组成，一般用点分十进制的方式表现，IP地址和MAC地址的区别IP地址是一个逻辑地址，MAC地址是物理地址MAC地址是唯一的但是IP地址不受唯一的MAC地址主要是工作在第二层，IP地址在网际层MAC地址是48位，IP地址一般是32位（v6是128位）IP地址的分配取决于网络拓扑，MAC地址分配取决于制造商3.2IP地址的组成主机地址和网络地址组成的主机地址/主机号标识某一台设备的地址网络地址/网络号标识某一网段的地址子网掩码子网掩码用于区分网络号和主机号它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网，以及哪些位标识的是主机的位掩码。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只能有一个作用，就是将某一个IP地址划分成为网络地址和主机地址两部分3.3IP地址的分类3.3.1A类一个A类IP地址是指，在IP地址的四段号码中，第一段号为网络号码，剩下的三段号码为本地计算机的号码。A类IP地址中网络的标识长度为8位，主机标识的长度为24位，A类网络地址数量较少，有126个网络，每一个网络可以容纳主机数量高达1600多万台. A类IP地址 地址范围1.0.0.1到127.255.255.254第一个字节为网络号，第一个字节第一位为03.3.2B类一个B类地址是指，在IP地址的四段号码中，前两段号码为网络号码。B类IP地址中网络的标识长度为16位，主机标识的长度为16位，B类网络地址适用于中等规模的网络，有16384个网络，每个网络所能容纳的计算机数6万多台。 B类IP地址 地址范围128.0.01-191.255.255.254前两个字节为网络号，第一个字节前两位是103.3.3C类一个C类IP地址是指，在IP地址的四段号码中，前三段号码为网络号码，剩下的一段号码为本地计算机的号码。C类IP地址中网络的标识长度为24位，主机标识的长度为8位，C网络地址数量较多，有209万余个网络。适用于小规模的局域网络，每个网络最多只能包含254台计算机。C类IP地址范围192.0.0.1-223.255.255.254前三个字节为网络号，第一个字节前两位是1103.3.4D类D类IP地址在历史上呗叫做多播地址，及组播地址。在以太网中，多播地址命名了一组应该在这个网络中应用接收到一个分组的站点。多播地址的最高位必须是“1110”，范围从224.0.0.0到239.255.255.2553.3.5E类保留3.3.6特殊地址网络地址：主机号全为0的地址不可用广播地址：主机号全为1的地址不可用回环地址：127.0.0.0 测试使用4.IPv6因为IPv4地址满足不了需求，出现匮乏的情况，所以就诞生了IPv6地址继续使用。v6地址由128位，16字节组成，一般表现形式为十六进制。4.网络层的路由4.1路由路由是什么？路由是指分组从源到目的地时，决定端到端路径的网络范围的进程。路由是指导报文转发的路径信息，通过路由可以确认转发IP报文的路径路由是网络层最主要的工作任务路由器网络层的基础设备数据转发一个端口代表一个网段，路由器中存放着通往各个网段的表格，叫做路由表路由表又称路由择域信息库，是一个存储在路由器或者联网计算机中的电子表格（文件）或者类数据库。路由表存储着指向特定网络地址的路径网关又称网间连接器，协议转换器。用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连路由获取方式直连路由静态路由动态路由4.2路由的配置方式静态路由静态路由：由管理员手工配置，配置方便，对系统要求低，适用于拓扑结构简单稳定的小型网络缺省路由：是一种特殊的路由，当报文没有在路由表中找到匹配的具体表项时才能使用的路由动态路由动态路由通过动态路由协议来实现不同网段的路由互通动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，适用于具有一定数量的三层设备的网络动态路由协议RPIRPI：路由信息协议基于矢量的动态路由协议适用于中小规模的网络拓扑，最大跳数为15OSPFOSPF:开放式最短路径优先基于链路状态的路由使用SPF算法，计算最短路径。树形协议BGPBGP是自治系统间的路由协议。自治系统之间的路由协议自治系统间的路由协议IS-ISIS-IS：中间系统到中间系统与OSPF类似，IS-IS是基于路由路划分区域，OSPF利用接口划分内部网关协议RIP和OSPF的区别RIP是基于矢量的协议，OSPF是基于链路状态RIP适用于中小型网络拓扑，OSPF适用于较大规模的网络OSPF支持可变长度子网掩码（VLSM）。RIP不支持ODPF的收敛速度比RIP更加的迅速五.传输层1.传输层概念1.1传输层传输层提供端到端服务从通信和信息处理的角度看，传输层向上层应用层提供通信服务所谓的端口，就好像是门牌号一样，客户端可以通过IP地址找到对应的服务器端，但是服务器端是有很多的端口的，每个应用程序对应一个端口号，通过类似门牌号的端口号，客户端才能真正的访问到该服务器。为了对端口号进行区分，将每个端口进行编号，这就是端口号1.2端口号FTP：21（20）*FTP（文件传输协议）21连接；20传输数据TELNET：23*：TELNET(远程登录)SMTP：25*SMTP(电子邮件传输协议)POP3（邮局协议版本3）：110DNS：53*：DNS（域名系统）TFTP：69：TFTP（简单文件传输协议）HTTP：80*：HTTP（超文本传输协议）SNMP：161：SNMP（简单网络管理协议）HTTPS：443*：HTTPS（超文本传输安全协议）2.传输层的两个重要协议3.1TCP传输控制协议：TCPTCP是TCP/IP体系中较为复杂的协议，是传输层中最重要的协议TCP的主要特点是：TCP是面向连接的传输层协议TCP提供可靠的交付服务TCP提供全双工通信TCP是面向字节流窗口固定窗口：如果窗口过小，当传输比较大的数据的时候需要不停的对数据进行确认，这个时候就会造成很大的延迟滑动窗口：滑动窗口通俗的讲就是一种流量控制技术。它本质上是描述接收方TCP数据报缓冲区大小的数据，发送根据这个数据来计算自己最多能发送所长的数据，如果发送方收到接收方的窗口大小为0的TCP数据报，那么发送方将停止发送数据，等到接受方发送窗口大小不为0的数据报的到来拥塞处理和流量控制TCP的三次握手和流量控制3.2UDP用户数据报协议：UDPUDP是在IP数据报服务之上增加了一些功能，增加了复用和分用的功能以及差错检测的功能UDP的主要特点是：UDP是无连接的UDP尽最大努力交付UDP面向报文且没有拥塞控制UDP开销较小传输效率较高UDP首部的概念六.应用层1.应用层的作用通过位于不同主机中的多个应用进程之间的通信和协同工作来完成，应用层的内容就是具体定义通信规则2.应用层中常见的协议域名系统DNS域名结构：每一个域名用标号隔开。 mail.cctv.com (三级域名.二级域名.顶级域名)域名服务器：迭代 递归文件传输协议FTP使用TCP连接，传输数据端口号是21（20） 20发送数据远程终端协议TELNET使用TCP连接，远程登录到远地的另外一台主机上端口号是23万维网和HTTP协议超文本传输协议，是一个简单的请求-响应协议端口号是80电子邮件协议SMTP电子邮件传输协议：端口号25POP3邮局协议版本3：端口号110DHCP动态主机配置协议指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。端口号68七.网络安全1.网络安全概论1.1网络安全网络安全（Cyber Security）是指网络系统的硬件，软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏，更改，泄露。系统连续可靠正常的运行，网络服务不中断。1.2计算机网络面临的威胁主要分为两类1.2.1主动攻击主动的去做一些在网络基础上的恶意行为。恶意串改信息数据，发布恶意程序脚本等篡改恶意程序拒绝服务1.2.2被动攻击被动攻击主要是收集信息而不是进行访问，不改变数据本身的结构，也不对软硬件数据造成影响截取窃听流量分析1.2网络系统特性保密性：信息不泄露给非授权用户，实体或过程，或供其利用的特性完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改，不被破坏和丢失的特性可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需信息。例如网络环境下拒绝服务，破坏网络和有关系统的正常运行等后属于对可用性的攻击可靠性：对信息的传播及内容具有控制能力不可抵赖性：出现安全问题时提供依据与手段2.加密和交互2.1加密和解密2.1.1加密是以某种特殊的算法改变原有的信息数据，使得未授权的用户即即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容加密手段MD5加密（信息-摘要算法）：128位AES加密（称秘钥加密）：128,192,256位SHAI加密（安全哈希算法）：160位RSA加密：公钥加密，私钥解密：1204位2.1.2解密加密的逆过程就是解密2.2公钥和私钥2.2.1对称加密采用单钥密码系统的加密方式，同一个秘钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单秘钥加密。2.2.2非对称加密使用非对称的加密方式时，会产生两把钥匙。发送方利用自己的公钥加密，接收方利用自己的私钥解密数字签名的四大特点防止重放攻击：攻击者利用网络监听或则其他方式盗取认证凭据，之后再把它重新发给认证服务器。在数字签名中，如果采用了对签名报文加盖时间戳等或添加流水号等技术，就可以有效防止重放攻击防止数据伪造：其他人不能伪造对消息的签名，因为私有秘钥只能签名者自己知道，所有其他人不可以构造出正确的签名结果数据防止数据篡改：数字签名与原始文件或摘要一起发送给接受者，一旦信息被篡改，接受者可以通过计算摘要和验证签名来判断该文件无效，从而保证了文件的完整性防止数据抵赖：数字签名既可以作为身份认证的依据，也可以作为签名者签名操作的证据。要防止接受者抵赖，可以在数字签名系统中要求接收者返回一个自己的签名的表示收到报文，给发送者或者信任第三方。如果接受者不返回任何信息，此次通信可终止或重新的开始，签名方也没有任何的损失，由此双方均不可抵赖。2.3防火墙防火墙是一种访问控制技术，可以严格控制进出网络边界的分组，禁止任何不必要的通信，来减少潜在入侵的发生防火墙的区域们Local本地区域顶级安全区域，安全优先级为100local就是防火墙本身的区域比如ping指令等网际控制协议的回复，需要local域的权限凡是由防火墙主动发出的报文均可认为是从local区域中发出是需要防火墙响应并处理（而不是转发）的报文均可认为是Local区域接收Trust受信区高级安全区域，安全优先级为85通常用来定义内部用户所在的网络，也可以理解为应该是防护最严密的地区DMZ非军事化区中级安全区域，安全优先级50通常用来定义内部服务器坐在网络作用是把WEB。E-mail等允许外部访问的服务器单独接在该区域端口，使整个需要访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web，Mail，FTP中的服务。这样来自外网的访问者可以访问DMZ中服务，但不可能接触到存放在内网中的公司机密或私人信息等，及时DMZ中服务器受到破坏，也不会对内网中的机密信造成影响Untrust非受信区低级安全区域，安全优先级为5通常用来定义Internet等不安全的网络，用于网络入口线的接入