osi七层协议.doc

1、专业收集整理精品文档！-精品文档，值得下载，可以编辑！-！=杀毒软件7 应用层 6 表示层 OSISOCIPSIDS5 会话层 4 传输层 FW3 网络层 2 数据链路层 1 物理层 巫术网传会飚鹰OSI百科名片OSI是Open System Interconnect的缩写，意为开放式系统互联。国际标准组织（国际标准化组织）制定了OSI模型。这个模型把网络通信的工作分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。目录简介 OSI/RM参考模型的提出 OSI 参考模型表格 OSI的设计目的 OSI划分层次的原则 OSI/RM分层结构 OSI的七层结构 OSI分层的优点

2、 OSI模型与TCP/IP模型的比较简介OSI/RM参考模型的提出OSI 参考模型表格OSI的设计目的OSI划分层次的原则OSI/RM分层结构OSI的七层结构OSI分层的优点网关 OSI模型与TCP/IP模型的比较展开编辑本段简介OSI/RM即Open System Interconnection Reference Model开放系统互连基本参考模型。开放，是指非垄断的。系统是指现实的系统中与互联有关的各部分。 编辑本段OSI/RM参考模型的提出世界上第一个网络体系结构由IBM公司提出（74年，SNA），以后其他公司也相继提出自己的网络体系结构如：Digital公司的DNA，美国国防部的TC

3、P/IP等，多种网络体系结构并存，其结果是若采用IBM的结构，只能选用IBM的产品，只能与同种结构的网络互联。 为了促进计算机网络的发展，国际标准化组织ISO于1977年成立了一个委员会，在现有网络的基础上，提出了不基于具体机型、操作系统或公司的网络体系结构，称为开放系统互联模型（OSI参考，open system interconnection） 编辑本段OSI 参考模型表格 具体7层数据格式功能与连接方式典型设备应用层 Application网络服务与使用者应用程序间的一个接口表示层 Presentation数据表示、数据安全、数据压缩会话层 Session建立、管理和终止会话传输层 Tr

4、ansport数据组织成数据段Segment）用一个寻址机制来标识一个特定的应用程序(端口号)网络层 Network分割和重新组合数据包Packet基于网络层地址（IP地址）进行不同网络系统间的路径选择路由器数据链路层 Data Link将比特信息封装成数据帧Frame在物理层上建立、撤销、标识逻辑链接和链路复用 以及差错校验等功能。通过使用接收系统的硬件地址或物理地址来寻址网桥、交换机物理层Physical传输比特（bit）流建立、维护和取消物理连接网卡、中继器和集线器 编辑本段OSI的设计目的OSI模型的设计目的是成为一个所有销售商都能实现的开放网路模型，来克服使用众多私有网络模型所带来的

5、困难和低效性。OSI是在一个备受尊敬的国际标准团体的参与下完成的，这个组织就是ISO（国际标准化组织）。什么是OSI，OSI是Open System Interconnection 的缩写，意为开放式系统互联参考模型。在OSI出现之前，计算机网络中存在众多的体系结构，其中以IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构最为著名。为了解决不同体系结构的网络的互联问题，国际标准化组织ISO(注意不要与OSI搞混）于1981年制定了开放系统互连参考模型（Open System Interconnection Re

6、ference Model，OSI/RM）。这个模型把网络通信的工作分为7层,它们由低到高分别是物理层（Physical Layer),数据链路层（Data Link Layer),网络层(Network Layer),传输层（Transport Layer),会话层（Session Layer），表示层（Presentation Layer)和应用层（Application Layer)。第一层到第三层属于OSI参考模型的低三层，负责创建网络通信连接的链路；第四层到第七层为OSI参考模型的高四层，具体负责端到端的数据通信。每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持

7、，而网络通信则可以自上而下（在发送端）或者自下而上（在接收端）双向进行。当然并不是每一通信都需要经过OSI的全部七层，有的甚至只需要双方对应的某一层即可。物理接口之间的转接，以及中继器与中继器之间的连接就只需在物理层中进行即可；而路由器与路由器之间的连接则只需经过网络层以下的三层即可。总的来说，双方的通信是在对等层次上进行的，不能在不对称层次上进行通信。 OSI 标准制定过程中采用的方法是将整个庞大而复杂的问题划分为若干个容易处理的小问题，这就是分层的体系结构办法。在OSI中，采用了三级抽象，既体系结构，服务定义，协议规格说明。 为方便记忆可以将七层从高到低视为：All People Seem

8、 To Need Data Processing.每一个大写字母与七层名称头一个字母相对应。 编辑本段OSI划分层次的原则网络中各结点都有相同的层次 不同结点相同层次具有相同的功能 同一结点相邻层间通过接口通信 每一层可以使用下层提供的服务，并向上层提供服务 不同结点的同等层间通过协议来实现对等层间的通信 编辑本段OSI/RM分层结构对等层实体间通信时信息的流动过程 对等层通信的实质： 对等层实体之间虚拟通信;下层向上层提供服务;实际通信在最底层完成在发送方数据由最高层逐渐向下层传递,到接收方数据由最低层逐渐向高层传递. 协议数据单元PDU SI参考模型中，对等层协议之间交换的信息单元统称为协

9、议数据单元(PDU,Protocol Data Unit)。 而传输层及以下各层的PDU另外还有各自特定的名称： 传输层数据段（Segment） 网络层分组（数据包）（Packet） 数据链路层数据帧（Frame） 物理层比特（Bit） 编辑本段OSI的七层结构第一层：物理层（PhysicalLayer) 规定通信设备的机械的、电气的、功能的和过程的特性，用以建立、维护和拆除物理链路连接。具体地讲，机械特性规定了网络连接时所需接插件的规格尺寸、引脚数量和排列情况等；电气特性规定了在物理连接上传输bit流时线路上信号电平的大小、阻抗匹配、传输速率距离限制等；功能特性是指对各个信号先分配确切的信号

10、含义，即定义了DTE和DCE之间各个线路的功能；过程特性定义了利用信号线进行bit流传输的一组操作规程，是指在物理连接的建立、维护、交换信息时，DTE和DCE双方在各电路上的动作系列。 在这一层，数据的单位称为比特（bit）。 属于物理层定义的典型规范代表包括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 物理层的主要功能: 为数据端设备提供传送数据的通路,数据通路可以是一个物理媒体,也可以是多个物理媒体连接而成.一次完整的数据传输,包括激活物理连接,传送数据,终止物理连接.所谓激活,就是不管有多少物理媒体参与,都要在通信的两个数据终端设备间连接起来,形

11、成一条通路. 传输数据.物理层要形成适合数据传输需要的实体,为数据传送服务.一是要保证数据能在其上正确通过，二是要提供足够的带宽(带宽是指每秒钟内能通过的比特(BIT)数),以减少信道上的拥塞.传输数据的方式能满足点到点,一点到多点,串行或并行,半双工或全双工，同步或异步传输的需要. 完成物理层的一些管理工作. 物理层的主要设备：中继器、集线器。 第二层：数据链路层（DataLinkLayer) 在物理层提供比特流服务的基础上，建立相邻结点之间的数据链路，通过差错控制提供数据帧（Frame）在信道上无差错的传输，并进行各电路上的动作系列。 数据链路层在不可靠的物理介质上提供可靠的传输。该层的作

12、用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。 在这一层，数据的单位称为帧（frame）。 数据链路层协议的代表包括：SDLC、HDLC、PPP、STP、帧中继等。 链路层的主要功能： 链路层是为网络层提供数据传送服务的,这种服务要依靠本层具备的功能来实现。链路层应具备如下功能: 链路连接的建立，拆除，分离。 帧定界和帧同步。链路层的数据传输单元是帧,协议不同,帧的长短和界面也有差别，但无论如何必须对帧进行定界。 顺序控制,指对帧的收发顺序的控制。 差错检测和恢复。还有链路标识,流量控制等等.差错检测多用方阵码校验和循环码校验来检测信道上数据的误码,而帧丢失等用序号检测.各种

13、错误的恢复则常靠反馈重发技术来完成。 数据链路层主要设备：二层交换机、网桥 第三层是网络层(Network layer) 在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点， 确保数据及时传送。网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息- -源站点和目的站点地址的网络地址。 如果你在谈论一个IP地址，那么你是在处理第3层的问题，这是“数据包”问题，而不是第2层的“帧”。IP是第3层问题的一部分，此外还有一些路由协议和地址解析协议（ARP）。有关路由的一切事情都在第3层处理

14、。地址解析和路由是3层的重要目的。网络层还可以实现拥塞控制、网际互连等功能。 在这一层，数据的单位称为数据包（packet）。 网络层协议的代表包括：IP、IPX、OSPF等。 网络层主要功能: 网络层为建立网络连接和为上层提供服务,应具备以下主要功能：路由选择和中继；激活,终止网络连接；在一条数据链路上复用多条网络连接,多采取分时复用技术；差错检测与恢复；排序,流量控制；服务选择；网络管理；网络层标准简介。 网络层主要设备：路由器 第四层是处理信息的传输层(Transport layer) 第4层的数据单元也称作数据包（packets）。但是，当你谈论TCP等具体的协议时又有特殊的叫法，TC

15、P的数据单元称为段（segments）而UDP协议的数据单元称为“数据报（datagrams）”。这个层负责获取全部信息，因此，它必须跟踪数据单元碎片、乱序到达的数据包和其它在传输过程中可能发生的危险。第4层为上层提供端到端（最终用户到最终用户）的透明的、可靠的数据传输服务。所谓透明的传输是指在通信过程中传输层对上层屏蔽了通信传输系统的具体细节。 传输层协议的代表包括：TCP、UDP、SPX等。 传输层是两台计算机经过网络进行数据通信时,第一个端到端的层次，具有缓冲作用。当网络层服务质量不能满足要求时，它将服务加以提高，以满足高层的要求；当网络层服务质量较好时，它只用很少的工作。传输层还可进行

16、复用，即在一个网络连接上创建多个逻辑连接。 传输层也称为运输层。传输层只存在于端开放系统中，是介于低3层通信子网系统和高3层之间的一层，但是很重要的一层。因为它是源端到目的端对数据传送进行控制从低到高的最后一层。 有一个既存事实，即世界上各种通信子网在性能上存在着很大差异。例如电话交换网、分组交换网、公用数据交换网、局域网等通信子网都可互连，但它们提供的吞吐量、传输速率、数据延迟通信费用各不相同。对于会话层来说，却要求有一性能恒定的界面。传输层就承担了这一功能。它采用分流/合流、复用/介复用技术来调节上述通信子网的差异，使会话层感受不到。 此外传输层还要具备差错恢复、流量控制等功能，以此对会话

17、层屏蔽通信子网在这些方面的细节与差异。传输层面对的数据对象已不是网络地址和主机地址，而是和会话层的界面端口。上述功能的最终目的是为会话提供可靠的、无误的数据传输。传输层的服务一般要经历传输连接建立阶段、数据传送阶段、传输连接释放阶段3个阶段才算完成一个完整的服务过程。而在数据传送阶段又分为一般数据传送和加速数据传送两种。传输层服务分成5种类型。基本可以满足对传送质量、传送速度、传送费用的各种不同需要. 第五层是会话层(Session layer) 这一层也可以称为会晤层或对话层，在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。会话层不参与具体的传输，它提供包括访问验证和会话管

18、理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。 会话层提供的服务可使应用建立和维持会话，并能使会话获得同步。会话层使用校验点可使通信会话在通信失效时从校验点继续恢复通信。这种能力对于传送大的文件极为重要。会话层、表示层、应用层构成开放系统的高3层，面对应用进程提供分布处理，对话管理,信息表示,恢复最后的差错等。会话层同样要担负应用进程服务要求，而运输层不能完成的那部分工作,给运输层功能差距以弥补。主要的功能是对话管理，数据流同步和重新同步。要完成这些功能，需要由大量的服务单元功能组合，已经制定的功能单元已有几十种。现将会话层主要功能介绍如下. 为会话实体间建立连

19、接、为给两个对等会话服务用户建立一个会话连接，应该做如下几项工作： 将会话地址映射为运输地址；选择需要的运输服务质量参数(QOS)；对会话参数进行协商；识别各个会话连接；传送有限的透明用户数据；数据传输阶段。 这个阶段是在两个会话用户之间实现有组织的，同步的数据传输.用户数据单元为SSDU，而协议数据单元为SPDU。会话用户之间的数据传送过程是将SSDU转变成SPDU进行的。 连接释放 连接释放是通过有序释放、废弃、有限量透明用户数据传送等功能单元来释放会话连接的。会话层标准为了使会话连接建立阶段能进行功能协商，也为了便于其它国际标准参考和引用，定义了12种功能单元。各个系统可根据自身情况和需

20、要，以核心功能服务单元为基础，选配其他功能单元组成合理的会话服务子集。会话层的主要标准有DIS8236:会话服务定义和DIS8237:会话协议规范。 第六层是表示层(Presentation layer) 这一层主要解决用户信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法，转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩， 加密和解密等工作都由表示层负责。例如图像格式的显示，就是由位于表示层的协议来支持。 第七层应用层(Application layer) 应用层为操作系统或网络应用程序提供访问网络服务的接口。 应用层协议的代表包括：

21、Telnet、FTP、HTTP、SNMP等。 通过 OSI 层，信息可以从一台计算机的软件应用程序传输到另一台的应用程序上。例如，计算机 A 上的应用程序要将信息发送到计算机 B 的应用程序，则计算机 A 中的应用程序需要将信息先发送到其应用层（第七层），然后此层将信息发送到表示层（第六层），表示层将数据转送到会话层（第五层），如此继续，直至物理层（第一层）。在物理层，数据被放置在物理网络媒介中并被发送至计算机 B 。计算机 B 的物理层接收来自物理媒介的数据，然后将信息向上发送至数据链路层（第二层），数据链路层再转送给网络层，依次继续直到信息到达计算机 B 的应用层。最后，计算机 B 的应用

22、层再将信息传送给应用程序接收端，从而完成通信过程。下面图示说明了这一过程。 OSI 的七层运用各种各样的控制信息来和其他计算机系统的对应层进行通信。这些控制信息包含特殊的请求和说明，它们在对应的 OSI 层间进行交换。每一层数据的头和尾是两个携带控制信息的基本形式。 对于从上一层传送下来的数据，附加在前面的控制信息称为头，附加在后面的控制信息称为尾。然而，在对来自上一层数据增加协议头和协议尾，对一个 OSI 层来说并不是必需的。 当数据在各层间传送时，每一层都可以在数据上增加头和尾，而这些数据已经包含了上一层增加的头和尾。协议头包含了有关层与层间的通信信息。头、尾以及数据是相关联的概念，它们取

23、决于分析信息单元的协议层。例如，传输层头包含了只有传输层可以看到的信息，传输层下面的其他层只将此头作为数据的一部分传递。对于网络层，一个信息单元由第三层的头和数据组成。对于数据链路层，经网络层向下传递的所有信息即第三层头和数据都被看作是数据。换句话说，在给定的某一 OSI 层，信息单元的数据部分包含来自于所有上层的头和尾以及数据，这称之为封装。 例如，如果计算机 A 要将应用程序中的某数据发送至计算机 B ，数据首先传送至应用层。 计算机 A 的应用层通过在数据上添加协议头来和计算机 B 的应用层通信。所形成的信息单元包含协议头、数据、可能还有协议尾，被发送至表示层，表示层再添加为计算机 B

24、的表示层所理解的控制信息的协议头。信息单元的大小随着每一层协议头和协议尾的添加而增加，这些协议头和协议尾包含了计算机 B 的对应层要使用的控制信息。在物理层，整个信息单元通过网络介质传输。 计算机 B 中的物理层收到信息单元并将其传送至数据链路层；然后 B 中的数据链路层读取计算机 A 的数据链路层添加的协议头中的控制信息；然后去除协议头和协议尾，剩余部分被传送至网络层。每一层执行相同的动作：从对应层读取协议头和协议尾，并去除，再将剩余信息发送至上一层。应用层执行完这些动作后，数据就被传送至计算机 B 中的应用程序，这些数据和计算机 A 的应用程序所发送的完全相同 。 一个 OSI 层与另一层

25、之间的通信是利用第二层提供的服务完成的。相邻层提供的服务帮助一 OSI 层与另一计算机系统的对应层进行通信。一个 OSI 模型的特定层通常是与另外三个 OSI 层联系：与之直接相邻的上一层和下一层，还有目标联网计算机系统的对应层。例如，计算机 A 的数据链路层应与其网络层，物理层以及计算机 B 的数据链路层进行通信。 编辑本段OSI分层的优点12（1）人们可以很容易的讨论和学习协议的规范细节。 （2）层间的标准接口方便了工程模块化。 （3）创建了一个更好的互连环境。 （4）降低了复杂度，使程序更容易修改，产品开发的速度更快。 （5）每层利用紧邻的下层服务，更容易记住个层的功能。 OSI是一个定

26、义良好的协议规范集，并有许多可选部分完成类似的任务。 它定义了开放系统的层次结构、层次之间的相互关系以及各层所包括的可能的任务。是作为一个框架来协调和组织各层所提供的服务。 OSI参考模型并没有提供一个可以实现的方法，而是描述了一些概念，用来协调进程间通信标准的制定。即OSI参考模型并不是一个标准，而是一个在制定标准时所使用的概念性框架。 编辑本段OSI模型与TCP/IP模型的比较TCP/IP模型实际上是OSI模型的一个浓缩版本，它只有四个层次： 1.应用层 2.运输层 3.网际层 4.网络接口层 与OSI功能相比： 应用层对应着OSI的 应用层 表示层 会话层 运输层对应着OSI的传输层 网

27、际层对应着OSI的网络层 网络接口层对应着OSI的数据链路层和物理层 网关其中高层，即7、6、5、4层定义了应用程序的功能，下面3层，即3、2、1层主要面向通过网络的端到端的数据流。 目前的安全网关在应用层和网络层上面都有防火墙的身影，在第三层上面还能看到VPN作用。防毒墙这种安全网关作用在第二层。根据七层的级别限制，高等级协议能够掌管低等级协议的原则，安全网关的发展正在走向高等级协议的路线。 网关与路由器的区别： 网关是访问路由器的IP，其他的电脑必须和网关一个IP段才能访问路由器，比如说路由器的IP是192.168.0.1（这个就是网关）也是进路由器必须的地址，其他的主机也必须是192.1

28、68.0.X（2254之间任意一个数字）这样才能访问路由器也就是说这样才能上网，电脑上的网关地址就要填写192.168.0.1 编辑本段功能特点1、智能接入，完美可靠产品支持ADSL、光纤等多种方式宽带接入方案，实现了灵活扩展带宽和廉价接入。通过路由、NAT、多链路复用及检测等功能为企业解决灵活扩展带宽和廉价接入的接入方案。 2、健康网络，应用安全产品通过自身具有的防火墙、防病毒、入侵检测、用户接入主动认证等功能，为企业提供全方位的局域网接入安全管理方案。通过自身具有的DHCP服务器、ARP防火墙、DDNS等功能为企业提供全方位的局域网管理方案。 3、移动办公，快速安全产品中带有的SSLVPN

29、、IPSEC、PPTP、L2TP等VPN功能，能够让用户通过一键式操作，方便快捷的建立价格低廉的广域网上专用网络，为企业提供广域网安全业务传输通道，便利的实现了企业总部与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连接，提高与分公司、客户、供应商和合作伙伴开展业务的能力。 4、抑制带宽滥用，保障关键业务动态智能带宽管理功能，只需一次性设置，自动压抑占用带宽用户，轻松解决BT、P2P及视频影片下载等占用带宽问题。IDSintrusionntrunIDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软

30、、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测可分为实时入侵检测和事后入侵检测两种。 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网

31、络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。（CIDF）阐述了一个入侵检测系统（I DS）的通用模型。它将一个入侵检测系统分为以下组件： 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units ） 事件数据库（Event databases ） CIDF将IDS需要分析的数据统称为事件（event），它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。一般可以从以下几个方面去评价一个入侵检测系统： （1） 能保证自身的安全 和其他

32、系统一样，入侵检测系统本身也往往存在安全漏洞。如果查询bugtraq的邮件列表，诸如AxentNetProwler，NFR，ISSRealsecure等知名产品都有漏洞被发觉出来。若对入侵检测系统攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。因此入侵检测系统首先必须保证自己的安全性。 （2） 运行与维护系统的开销 较少的资源消耗，不影响受保护主机或网络的正常运行。 （3）入侵检测系统报警准确率 误报和漏报的情况尽量少。 （4）网络入侵检测系统负载能力以及可支持的网络类型 根据网络入侵检测系统所布署的网络环境不同要求也不同。如果在512K或2M专线上布署网络入侵检测系统，则

33、不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。网络入侵检测系统是非常消耗资源的，但很少有厂商公布自己的pps （packet persecond）参数。 （5）是否支持IP碎片重组 由于 IP碎片攻击是攻击者常用的方法，而在入侵检测中分析单个的数据包会导致许多误报和漏报，因此是否支持IP碎片的重组对于整个入侵检测系统检测的精确度有直接影响。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数；能同时重组的IP包数；能进行重组的最大IP数据包的长度。 （）是否支持TCP流重组 TCP 流重组是为了对完整的网络对话进行分析，它是网络入侵检测系统对应用层进行分析的

34、基础。如检查邮件内容、附件，检查FTP传输的数据，禁止访问有害网站、判断非法HTTP请求等。SOCSOC： Security Operations Center的缩写，称为安全运行中心，或者安全管理平台，属于信息安全领域的词汇。一般指以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统，等等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威

35、胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。而在国外，SOC这个词则来自于NOC（NetworkOperation Center，即网络运行中心）。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，

36、实现体系化的网络运行维护。未来发展趋势展望未来，SOC的发展始终会沿着两个路径前进：产品和服务。 从产品的角度来看，从SOC1.0到SOC2.0，实现了业务与安全的融合，符合整个IT管理需求、技术的发展大势。下一步，将会不断涌现面向业务的SOC2.0产品。随着客户需求的日益突出、业务系统的日益复杂，越来越多的企业和组织会部署SOC系统。 从服务的角度看，SOC将成为MSSP（可管理安全服务提供商）的服务支撑平台，成为SaaS（软件即服务，安全即服务）的技术支撑平台，成为云计算、云安全的安全管理后台。所有用户体验到的安全服务都会由SOC来进行总体支撑。 一方面，SOC产品的业务理念和思路会渗透到

37、SOC服务之中；另一方面，SOC服务水平与客户认知的提升也会促进SOC产品的发展与成熟。IPS入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 网路安全 随着电脑的广泛应用和网路的不断普及，来自网

38、路内部和外部的危险和犯罪也日益增多。20年前，电脑病毒(电脑病毒)主要通过软盘传播。后来，用户打开带有病毒的电子信函附件，就可以触发附件所带的病毒。以前，病毒的扩散比较慢，防毒软体的开发商有足够的时间从容研究病毒，开发防病毒、杀病毒软体。而今天，不仅病毒数量剧增，质量提高，而且通过网路快速传播，在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态，使防毒软体失效。 目前流行的攻击程序和有害代码如 DoS （Denial of Service)，DDoS (Distributed DoS)，暴力猜解(Brut-Force-Attack)，埠扫描(Portscan)，嗅探，病毒，蠕虫，

39、垃圾邮件，木马等等。此外还有利用软体的漏洞和缺陷钻空子、干坏事，让人防不胜防。 网路入侵方式越来越多，有的充分利用防火墙放行许可，有的则使防毒软体失效。比如，在病毒刚进入网路的时候，还没有一个厂家迅速开发出相应的辨认和扑灭程序，于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网路资源，这就是所谓Zero Day Attack。 防火墙可以根据英特网地址（IP-Addresses）或服务埠（Ports）过滤数据包。但是，它对于利用合法网址和埠而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。 每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不

40、同的特征互相区别，同时也与正常的应用程序代码相区别。除病毒软体就是通过储存所有已知的病毒特征来辨认病毒的。 在ISO/OSI网路层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵侦查系统(IDS: Intrusion Detection System）投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作

41、用。随后应运而生的入侵防御系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。 入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防

42、系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。 应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软体的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。 入侵预防技术 * 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。 * 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时，先把它们放在沙盘内

43、，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。 * 有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网路内部的有害代码实行有效阻止。 * 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。 * 对Library、Registry、重要文件和重要的文件夹进行防守和保护。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统 (HIPS: Hostbased Intrusion Prevension System)和网路入侵预防系统 (NIPS: Net

44、work Intrusion Prevension System）两种类型。 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备，切断交通，对过往包裹进行深层检查，然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常，阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答，然后，看谁使用这些回答信息而请求连接，这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点，单机入侵预防系统监视正常程序，比如Internet Explorer，Outlook，等等，在它们（确切地说，其实是它们所夹带的有害代码）向作业系统发出请求指令，

45、改写系统文件，建立对外连接时，进行有效阻止，从而保护网路中重要的单个机器设备，如伺服器、路由器、防火墙等等。这时，它不需要求助于已知病毒特征和事先设定的安全规则。总地来说，单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道，入侵是指有害代码首先到达目的地，然后干坏事。然而，即使它侥幸突破防火墙等各种防线，得以到达目的地，但是由于有了入侵预防系统，有害代码最终还是无法起到它要起的作用，不能达到它要达到的目的。 2000年：Network ICE公司在2000年9月18日推出了业界第一款IPS产品BlackICE Guard，它第一次把基于旁路检测的IDS技术用于在线模式，直接分析网络流量，并

46、把恶意包丢弃。 20022003年：这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可，欧美一些安全大公司通过收购小公司的方式获得IPS技术，推出自己的IPS产品。比如ISS公司收购Network ICE公司，发布了Proventia；NetScreen公司收购OneSecure公司，推出NetScreen-IDP；McAfee公司收购Intruvert公司，推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。 2005年9月绿盟科技发布国内第一款拥有完全自主知识产权的IPS产品，2007年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM等多种方式发布各自的IPS产品。 技术优势启明星辰IPS产品融合了网络安全专家的科学算法以及对黑客攻防技术的实时跟踪，提供了对网络层以上的入侵和攻击的深层检测。针对Web业务的攻击方式，其中很大比例是SQL注入攻击，攻击者无需具备高深的专业知识，利用互联网上的攻击工具就可以进行网页替换等攻击，而对于这些行为的检测，由于以其多变的数据库查询和猜解语句却给检测带来难度。启明