数据库系统工程师——第五章网络基础知识

文章目录

- 📂 第五章、网络基础知识
- 📁 5.1 计算机网络概述
- 📖 5.1.1 计算机网络的概念
- 📖 5.1.2 计算机网络的分类
- 📖 5.1.3 网络的拓扑结构
- 📁 5.2 网络硬件基础
- 📖 5.2.1 网络设备
- 📖 5.2.2 网络传输介质
- 📁 5.3 网络的协议与标准
- 📖 5.3.1 网络的标准
- 📖 5.3.2 局域网协议
- 📖 5.3.3 广域网协议
- 📖 5.3.4 TCP/IP协议簇
- 📁 5.4 Internet基础知识
- 📖 5.4.1 Internet概述
- 📖 5.4.2 Internet地址
- 📖 5.4.3 Internet服务
- 📁 5.5 信息安全基础知识
- 📁 5.6 网络安全概述

📂 第五章、网络基础知识

📁 5.1 计算机网络概述

📖 5.1.1 计算机网络的概念

计算机网络的定义：利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来，在网络操作系统的控制下，按照约定的通信协议进行信息交换，实现资源共享的系统。

计算机网络发展的4个阶段：具有通信功能的单机系统→具通信功能的多机系统→以共享资源为目的的计算机网络→以局域网及因特网为支撑环境的分布式计算机系统。

计算机网络功能：

计算机网络的功能：

数据通信 : 通信或数据传输是计算机网络主要功能之一，用以在计算机系统之间传送各种信息。
资源共享 : 资源共享是计算机网络最有吸引力的功能。通过资源共享，可使网络中分散在异地的各种资源互通有无，分工协作，从而大大提高系统资源的利用率。资源共享包括软件资源共享和硬件资源共享。
负载均衡 : 在计算机网络中可进行数据的集中处理或分布式处理，使多台计算机相互协作，均衡负载，共同完成任务。
高可靠性 : 在计算机网络中的各台计算机可以通过网络彼此互为后备机，一旦某台计算机出现故障，故障机的任务就可由其他计算机代为处理。

计算机网络按照数据通信和数据处理的功能可分为两层：内层通信子网和外层资源子网。

通信子网的节点计算机和高速通信线路组成独立的数据系统，承担全网的数据传输、交换、加工和变换等通信处理工作；

通信子网对应OSI中的低三层：物理层、数据链路层、网络层，专门解决数据传输和通信控制问题；

资源子网包括计算机、终端、通信子网接口设备、外部设备及各种软件资源等，负责全网的数据处理和向网络用户提供网络资源及网络服务；

资源子网对应OSI中的高三层：会话层、表示层、应用层，主攻数据处理。

📖 5.1.2 计算机网络的分类

按照不同的分类原则，可以得到各种不同类型的计算机网络。

a) 按通讯距离
局域网:传输距离短，传输速率高，拓扑简单。
特点：
(1)分布范围有限。
(2)有较高的通信带宽。
(3)数据传输可靠，误码率低。
(4)通常采用同轴电缆或双纹线作为传输介质。跨楼寓时使用光纤。
(5) 拓扑结构简单简洁，大多采用总线、星型和环型等，系统容易配置和管理。
(6)网络的控制一般趋向于分布式，从而减少了对某个节点的依赖性，避免并减小了一个节点故障对整个网络的影响。
(7)通常网络归单一组织所拥有和使用。

广域网:传输距离长，传输速率低，拓扑复杂。
特点：
(1)分布范围广。
(2)数据传输率低。
(3)数据传输可靠性随着传输介质的不同而不同。
(4)广域网常常借用传统的公共传输网来实现，因为单独建造一个广域网极其昂贵。
(5)拓扑结构较为复杂，大多采用“分布式网络”，即所有计算机都与交换节点相连，从而实现网络中任何两台计算机都可以进行通信。

城域网:介于上面两者之间。
距离的长和短界限定义比较模糊，之所以有单独城域网的定义并不是因为距离或者传输速率等原因，而是因为有一个实际的标准并且正在被实施。这就是分布式队列双总线(DQDB)，又称为 IEEE 8026。

b) 按信息交换方式
分为电路交换网、分组交换网和综合交换网

c) 按网络拓扑结构
分为总线、星状、环状、树状和分布式

d) 其他
按照通信介质分为:双绞线、同轴电缆、光纤、卫星等
按照传输带宽分为:基带和宽带
按照使用范围分为:公用和专用。
按照速率分为:高速、中速和低速按照通信传播方式分为:广播式和点到点

📖 5.1.3 网络的拓扑结构

常用的网络拓扑结构有总线型、星型、环型、树型和分布式结构等。
在这里插入图片描述

a) 总线型
优点：
(1) 只有一条双向链路，便于广播式传送信息；
(2) 总线型拓扑结构属于分布式控制，无需中央处理器，结构简单;
(3) 系统扩充性能好，节点的增、删和位置的变动较容易，变动中不影响网络的正常运行；
(4) 系统可靠性高，节点的接口通常采用无源线路:
(5) 设备少，价格低，安装使用方便;

缺点：
(1) 由于电气信号通路多，干扰较大，因此对信号的质量要求高。
(2) 负载重时，线路的利用率较低。
(3) 网上的信息延迟时间不确定，故障隔离和检测困难。

b) 星型
优点：
(1) 维护管理容易，重新配置灵活；
故障隔离和检测容易;
网络延迟时间短;

缺点：
(1) 各节点与中央交换单元直接连通，各节点之间通信必须经过中央单元转换:
(2) 网络共享能力差;线路利用率低，中央单元负荷重。

c) 环型
优点：
(1) 信息单向沿环路逐点传送。信息的流动方向是固定的，两个节点仅有一条通路，路径控制简单;
(2) 有旁路设备，节点一旦发生故障，系统自动旁路，可靠性高;

缺点：
(1) 信息要串行穿过多个节点，在网中节点过多时传输效率低，系统响应速度慢;
(2) 由于环路封闭，扩充较难。

d) 树型
树型结构是总线型结构的扩充形式，传输介质是不封闭的分支电缆，它主要用于多个网络组成的分级结构中。其特点同总线型网。

e) 分布式结构
分布式结构无严格的布点规定和形状，各节点之间有多条线路相连

优点：
(1) 分布式网有较高的可靠性，当一条线路有故障时，不会影响整个系统工作;
(2) 资源共享方便，网络响应时间短;

缺点：
(1) 由于节点与多个节点连接，故节点的路由选择和流量控制难度大，管理软件复杂;
(2) 硬件成本高。

广域网与局域网所使用的网络拓扑结构有所不同，广域网多用分布式或树型结构，而局域网常使用总线型、环型、星型或树型结构。

📁 5.2 网络硬件基础

📖 5.2.1 网络设备

网络传输介质互联设备：

如T型头(细同轴电缆连接器)、收发器、RJ-45(屏或非双纹线连接器)、RS232 接口(目前计算机与线路接口的常用方式)、DB-15 接口(连接网络接口卡的AUI接口)、VB35 同步接口(连接远程的高速同步接口)、网络接口单元和调制解调器(数字信号与模拟信号转换器)等。

物理层互联设备：

物理层的互联设备有中继器(Repeater)和集线器(Hub)。

1）中继器
用于扩展局域网网段的长度和用于连接相同的局域段。

2）集线器
可以看成是一种特殊的多路中继器，也具有信号放大功能。
以集线器为中心的网络优点是当网络系统中某条线路或某节点出现故障时，不会影响网上其他节点的正常工作。

集线器可分为无源(passive) 集线器有源 (active)集线器和智能 (intelligent)集线器。

数据链路层的互联设备：

数据链路层的互联设备有网桥(Bridge)和交换机(Switch)。

1）网桥
用于连接两个局域网网段，工作于数据链路层。网桥要分析帧地址字段，以决定是否把收到的顿转发到另一个网络段上。

2）交换机
按每一个包中的 MAC 地址相对简单地决策信息转发，转发决策一般不考虑包中隐藏的更深的其他信息。
交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。

交换机的三种交换技术;端口交换、帧交换和信元交换。

(1)端口交换技术——用于将以太模块的端口在背板的多个网段之间进行分配、平衡。
(2)帧交换技术——对网络的处理方式分为直通交换和存储转发。其中，直通交换方式可提供线速处理能力，交换机只读出网络顿的前 14 个字节，便将网络传送到相应的端口上;存储转发方式通过对网络帧的读取进行验错和控制。
(3)信元交换技术——采用长度(53 个字节)固定的信元交换，由于长度固定，因而便于用硬件实现。

.网络层互联设备：

路由器 (Router)是网络层互联设备，用于连接多个逻辑上分开的网络。

路由器最主要的功能是选择路径，由于它工作在网络层，处理的信息比网桥多，因而处理速度比网桥慢。

.应用层互联设备：

网关(Gateway)是应用层的互联设备。在一个计算机网络中，当连接不同类型而协议差别又较大的网络时，则要选用网关设备，一般网关只进行一对一转换。

📖 5.2.2 网络传输介质

传输介质是信号传输的媒体，常用的介质分为有线介质和无线介质。有线介质有双纹线同轴电缆和光纤等;无线介质有微波、红外线和激光等。

1）双绞线(Twisted-Pair)
双绞线是现在最普通的传输介质，它分为屏蔽双绞线(STP)和非屏双绞线(UTP)。

10Base-T 和 100Base-T 的以太网中具体规定有:
一段双绞线的最大长度为100m，只能连接一台计算机;
双绞线的每端需要一个RJ45 插件;
各段双绞线通过集线器互联，利用双绞线最多可连接 64 个站点到中继器。

2）同轴电缆(Coaxial)
同轴电缆也像双绞线那样由一对导体组成。
宽带同轴电缆用于频分多路复用(FDM)的模拟信号发送，还用于不使用频分多路复用的高速数字信号发送和模拟信号发送。闭路电视所使用的CATV电缆就是宽带同轴电缆。

3）光纤(Fiber Optic)
光导纤维简称光纤，它重量轻，体积小。用光纤传输电信号时，在发送端先要将其转换成光信号，而在接收端又要由光检波器还原成电信号。

光纤是软而细的、利用内部全反射原理来传导光束的传输介质。

按光源采用不同的发光管分为发光二极管和注入型激光二极管。
多模光纤(Multimode Fiber)使用的材料是发光二极管，价格较便宜，但定向性较差;
单模光纤(SingleMode Fiber)使用的材料是注入型二极管，定向性好，损耗少，效率高，传播距离长，但价格昂贵。

4）微波
微波通信是在对流层视线距离范围内利用无线电波进行传输的一种通信方式，频率范围为2~40GHz。微波通信是沿直线传播的。

5）红外线和激光
红外通信和激光通信也像微波通信一样，有很强的方向性，都是沿直线传播的。这三种技术都需要在发送方和接收方之间有一条视线(Line-of-sight)通路，有时统称这三者为视线媒体。

6）卫星通信
卫星通信是以人造卫星为微波中继站，它是微波通信的特殊形式，优点是容量大距离远，缺点传播延迟时间长。

📁 5.3 网络的协议与标准

在网络的标准化方面，有许多标准化机构在工作，如国际标准化组织、国际电信联盟、电子工业协会、电气和电子工程师协会、因特网活动委员会等。

📖 5.3.1 网络的标准

电信标准、国际标准、Internet标准（了解）。

📖 5.3.2 局域网协议

局域网基本组成：网络服务器、网络工作站、网络适配器和传输介质。

决定局域网特性的主要技术有3方面：用以传输数据的传输介质、用以连接各种设备的拓扑结构、用以共享资源的介质访问控制方法。不同的局域网协议最主要的区别是介质访问控制方法。

以太网主要的3种类型：
IEEE802.3定义的标准局域网，速度10Mb/s，传输介质为细同轴电缆；
IEEE802.3u定义的快速以太网，速度100Mb/s，传输介质为双绞线；
IEEE802.3z定义的千兆以太网，速度1000Mb/s，传输介质为光纤或双绞线。

📖 5.3.3 广域网协议

点对点协议（PPP）、数字用户线、数字专线、X.25协议。

📖 5.3.4 TCP/IP协议簇

TCP/IP协议是Internet的核心协议，是迄今为止发展最为成熟的互联网络协议系统，主要特征：

a) 逻辑编址：每台连入互联网的计算机分配一个逻辑地址（IP），一个IP地址包括网络ID号、子网络ID号、主机ID号，因此可以通过分配的IP地址快速找对对应的计算机。

b) 路由选择：在TCP/IP中包含了专门用于定义路由器如何选择网路路径的协议，即IP数据包的路由选择。

c) 域名解析：为了方便用户记忆和使用专门设置的字母式地址结构，称为DNS或者域名，将域名映射为IP地址称为域名解析。

d) 错误检测与流量控制：TCP/IP具有分组交换确保数据信息在网络上可靠传递的特性，包括监测数据信息的传输错误，确认已传递的数据信息已被成功地接收，监测网络系统的信息流量，防止网络拥塞现象。

TCP/IP 分层模型: ⭐ ⭐ ⭐

在这里插入图片描述

应用层协议数据单元—消息；传输层—用户数据报；数据链路层—帧；网络层—报文段。

网际层协议：

IP主要功能：

(1)将上层数据（如TCP、UDP数据）或同层其他数据（如ICMP数据）封装到IP数据报中；
(2)将IP数据报传送到最终目的地；
(3)对数据进行分段以使数据能够在链路层上进行传输；
(4)确定数据报到达其他网络目的地的路径。

传输层协议TCP:

TCP：
(1)TCP为应用程序提供一个可靠的、面向连接的、全双工的数据传输服务。
(2)TCP通过重发技术实现数据传输可靠性：在TCP传输过程中，发送方启动一个定时器，然后将数据包发出，接收方收到这个信息就返回“确认”信息给发送方，如果发送方在定时器到点之前仍未收到这个确认信息，就重新发送该数据包——重发(retransmission)技术。
(3)利用TCP建立和关闭连接需要通过3次握手：

a) 源主机发送一个TCP数据包（同步标志位为1），表示想与目标机进行通信；
b) 目标机发送确认（ACK位置1）进行响应表示愿意进行通信；
c) 源主机以确认来响应目标机的TCP包，该确认包括想要接收的下一序列号（该帧可包含发送的数据）。

(4)TCP协议一般用于传输数据量较少但对可靠性要求高的场合。

UDP：
UDP是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信。
TCP有助于提高可靠性，UDP有助于提高传输的高速率性。
UDP协议主要作用就是将UDP消息展示给应用层，它并不负责重新发送丢失的或出错的数据消息，不对接收到的无序IP数据包重新排序，不消除重复的IP数据报，不对已收到的数据报进行确认，也不负责建立或终止连接。

TCP、UDP对比:

1、TCP提供可靠的数据传输服务，但消耗更多的时间和通信量；传输速率低，适用于传输的数据量不多，对传输速度要求不高，但对可靠性要求较高的场景。

2、UDP可以实现高速率传输，适用于传输数据量大，对传输速率高，但对可靠性要求不高或者已知网络是可靠的情况下的场景。

ARP和 RARP:

地址解析协议(Address Resolution Protocol，ARP)及反地址解析协议(RARP)是驻留在网际层中的重要协议。

ARP 的作用是将IP 地址转换为物理地址，RARP 的作用是将物理地址转换为IP 地址。

网际层协议ICMP:

ICMP 就是一个专门用于发送差错报文的协议。

ICMP 定义了5 种差错报文(源抑制、超时、目的不可达、重定向和要求分段)和4种信息报文(回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答)。

应用层协议:

应用层的协议有 NFS、Telnet、SMTP、DNS、SNMP和FTP等。

📁 5.4 Internet基础知识

📖 5.4.1 Internet概述

Intemet 是世界上规模最大，覆盖面最广且最具影响力的计算机互联网络，它是将分布在世界各地的计算机采用开放系统协议连接在一起，用来进行数据传输、信息交换和资源共享。

📖 5.4.2 Internet地址

Internet地址格式主要有两种书写形式:域名格式和IP地址格式。

域名：

域名(Domain Name)通常是用户所在的主机名字或地址。域名格式是由若干部分组成的,每个部分又称子域名，它们之间用“.”分开，每个部分最少由两个字母或数字组成。域名通常按分层结构来构造，每个子域名都有其特定的含义。通常情况，一个完整、通用的层次型主机域名由如下4部分组成:

计算机主机名.本地名.组名.最高层域名

比如：
www.12306.cn，cn表示地理性顶级域名“中国”；
www.baidu.com，com表示类别顶级域名“工商企业性质的网站”；
www.263.net，net表示组织性顶级域名“网络技术组织机构”；

如果一个主机所在的网络级别较高，它可能拥有的域名仅三部分: 本地名.组名.最高层域名。

IP地址：

Intemmet 中的地址可分为5类:A类、B类、C类D类和E类。在P 地址中，全0代表的是网络，全1代表的是广播。
在这里插入图片描述
NAT技术:

解决I地址短缺的问题：

长期的解决方案——使用具有更大地址空间的 IPv6 协议；
短期的解决方案——网络地址翻译(Network Address Translators,NAT)

NAT 技术最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。NAT 的实现主要有两种形式(动态地址翻译(Dynamic Address Translation)、伪装(masquerading)——特殊的NAT应用是m:1翻译)。

子网掩码：
子网掩码需结合IP地址来看，脱离了IP地址就毫无意义，它是用来识别具体的IP地址中哪些是网络号部分哪些是主机号部分。

子网掩码的格式与IP地址相同，对应网络号部分用1表示，对应主机号部分用0表示。比如C类地址前面3字节（24位）为网络号，第4字节（8位）为主机号，默认子网掩码为255.255.255.0，二进制形式：11111111 11111111 11111111 00000000。

1.求解网络号：子网掩码和IP地址转换为二进制，再做“逻辑与”运算（串联原理）。
例如：求C类地址210.42.96.138的网络号
(1)IP地址二进制转换：11010010 00101010 01010110 10001010
(2)子网掩码二进制转换：11111111 11111111 11111111 00000000
(3)逻辑与运算：11010010 00101010 01010110 00000000（红色部分网络号）

2.求解主机号：子网掩码按位取反，再与IP地址做“逻辑与”运算。
例如：求C类地址210.42.96.138的主机号
(1)子网掩码按位取反：00000000 00000000 00000000 11111111
(2)IP地址二进制转换：11010010 00101010 01010110 10001010
(3)逻辑与运算：00000000 000000000 00000000 10001010（红色部分主机号）

可变长子网掩码：
VLSM（Variable Length Subnet Mask，可变长度子网掩码）应用不同大小的子网掩码来对IP地址空间进行子网划分，VLSM的作用就是在类的IP地址的基础上，从它们的主机号部分借出相应的位数来做网络号，也就是增加网络号的位数，具体的方法就是在IP地址的后面加上“/网络号及子网络号编址位数”，例如193.168.125.0/27，前27位表示网络号。

（1）IP地址：210.42.96.138 →11010010 00101010 01100000 10001010
（2）子网掩码：255.255.255.192 →11111111 11111111 11111111 11000000，可见该子网掩码左边连续为1位网络地址，右边连续为0位主机地址。
（3）逻辑与运算网络号：11010010 00101010 01100000 10001010（红色部分为网络号，绿色部分为主机号）

可变长子网掩码表示：210.42.96.138/26，/26表示该子网掩码有26个1，借主机号2位给网络号。

例题：子网划分C类IP：210.42.96.*/24，需要划分成8个子网。
(1)对应二进制11010010 00101010 01100000 ********（红色部分为网络号，*部分为主机号）
(2)划分8个子网需要借3位主机号（256-256/8=224=2⁷⁺²6+2^5），也就是11010010 00101010 01100000 **00000（绿色3个为借位网络号—子网号），对应C类子网划分总结表：

(3)子网号：000，001，010，011，100，101，110，111，对应每个子网最多主机数 2^5-2=302 。
在这里插入图片描述

同理，也可以通过借位网络号来增加主机数。

IPV6：

现在的IP协议版本号为4，即IPV4，4个字节，32位，字节间用“.”连接，最多的IP地址为2^{32}≈40亿个。
IPV6地址空间为128位，16字节，使用8个十六进制数中间加小数点“:”表示，理论上最多的IP地址有2^{128}个。
例如：686E:8C64:FFFF:FFFF:0:1180:96A:FFFF

允许0压缩，即连续的0可以用一个冒号代替。
例如：FF05:0:0:0:0:0:0:B3→FF05::B3。

IPV6可以和IPV4结合使用，如：0:0:0:0:0:0:128.10.1.1→::128.10.1.1

📖 5.4.3 Internet服务

使用各类Internet服务时，可以使用端口号进行区分，TCP和UDP协议的端口号为16位，支持0~ 65535的端口号，其中0 ~ 1023为公共端口，1024~65535需要注册登记。

域名服务：

Internet中的域名地址与IP地址是等价的，它们之间是通过域名服务来完成映射变换的。

域名系统采用的是客户端/服务器模式，整个系统由解析器和域名服务器组成；
解析器负责查询域名服务器，返回信息等工作；
域名服务器是服务器方，保存着一部分域名空间的全部信息，分为主服务器、缓存服务器和转发服务器；
进行域名解析时，首先是检查本地缓存，然后本地域名服务器，再是依次从下往上向各层服务器发出查询地址的请求。

远程登录服务、电子邮件服务、万维网服务、文件传输服务。

📁 5.5 信息安全基础知识

信息安全要素：机密性、完整性、可用性、可控性和可审查性。

网络攻击的分类：

1.主动攻击

主动攻击会导致某些数据流被篡改或者产生虚假的数据流，这类攻击可分为篡改消息、伪造消息、重放和拒绝服务。

(1)篡改消息：是指一个合法消息的某些部分被修改、删除、延迟、重新排序等，如修改传输消息中的数据，将：“允许甲执行操作”改为“允许乙执行操作”。
(2)伪造（伪装、假冒）：是指某个实体假扮成其他实体，从而以欺骗的方式获取一些合法用户的权利和特权。
(3)重放：是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。
(4)拒绝服务（DOS）：是指攻击者不断地对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

2.被动攻击

与主动攻击不同的是，被动攻击中攻击者并不对数据信息做任何修改，也不产生虚假的数据流，通常包括窃听、流量分析等攻击方式。

(1)窃听（截取）：是指攻击者在未经用户同意和认可的情况下获得了信息或有关的数据。
(2)流量分析（通信量分析）：是指攻击者虽然从截获的消息中无法得到消息的真实内容，但攻击者还是能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及消息的长度，获知相关的敏感信息。

📁 5.6 网络安全概述

安全的分类：

物理安全：物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故及人为操作失误及各种计算机犯罪行为导致的破坏，主要是场地安全与机房安全。

网络安全：主要是非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
系统安全：主要指操作系统的安全。
应用安全：与应用系统相关的安全。

防火墙技术：

防火墙的作用是防止不希望的、未经授权的进出被保护的内部网络，通过边界控制强化内部网络的安全策略。它阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多网络安全的威胁，防火墙主要是用于逻辑隔离外部网络与受保护的内部网络。

包过滤防火墙：

包过滤防火墙处于网络层和数据链路层之间，一般有一个包检查块（包过滤器），数据包过滤可以根据数据报头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据。

优点：
(1)过滤型防火墙通常直接转发报文，它对用户完全透明，速度较快；
(2)对每条传入或传出网络的IP包打开并进行检查，例如源地址、目标地址、协议和端口等，对于不符合包过滤规则的包进行识别记录，发出警报并丢弃该包
(3)包过滤通常被包含在路由器数据报中，所以不需要额外的系统来处理这个特征。
缺点：
(1)不能防范黑客攻击，因为网管部可能区分出可信网络与不可信网络的界限；
(2)不支持应用层协议，因为它不识别数据包中的应用层协议，访问控制粒度太粗糙，不能处理新的安全威胁。

应用代理网关防火墙：

应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。

所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的写一会化过程必须符合代理的安全策略要求。