什么是第 7 层?
将第 7 层视为网络的控制中心。就像大脑控制人体一样,第 7 层负责管理和协调不同应用程序之间的通信。
了解 OSI 模型
开放系统互连模型是一个概念框架,用于描述数据如何在网络上传输。它由国际标准化组织(ISO)于 1984 年制定,现已被广泛接受为网络通信的标准模式。
OSI 模型对网络通信过程进行了系统化的表述,各层负责特定的服务,这些服务有助于实现网络通信的整体功能。每一层都与相邻层进行通信。数据通过发送方的层向下传递,穿过网络,再通过接收方的层向上传递。
认识 OSI 模型的层级
第 1 层 - 物理层:作为 OSI 模型的基础层,物理层负责通过铜线、光纤或无线电波等物理介质传输原始比特流数据。它规定了比特率、信号强度、物理连接器、电缆类型和网络拓扑结构等方面。第 1 层确保网络中二进制传输的完整性。
第 2 层 - 数据链路层:这一层将物理层的原始比特结构化为数据帧,并通过物理地址(MAC 地址)管理节点与节点之间的通信。第 2 层提供错误检测和纠正功能,确保可靠的数据传输。它还通过载波侦测多路访问与碰撞检测(CSMA/CD)和其他技术管理对物理介质的访问。
第 3 层 - 网络层:网络层提供了在不同网络中将长度可变的数据序列(数据包)从一个节点传输到另一个节点的手段。它根据逻辑地址处理数据包路由,并管理网络拥塞和数据包排序。
第 4 层 - 传输层:第 4 层处理源系统和目标系统之间的主机对主机通信。它通过 TCP 和 UDP 等协议提供可靠或不可靠的数据传输机制,并管理数据包的流量控制、错误检查和分段。
第 5 层 - 会话层:会话层建立、管理和终止通信两端应用程序之间的连接(会话)。
第 6 层--呈现层:表现层将应用格式数据转换为通用格式,反之亦然,并提供加密、解密和数据压缩等服务。第 6 层确保一个系统的应用层发送的数据能被另一个系统的应用层读取。
第 7 层 - 应用层:OSI 模型的最顶层,即应用层,是用户或进程与网络之间的通信接口。它提供特定于应用程序的服务,如 HTTP 请求、文件传输和电子邮件。
数据如何在 OSI 模型中流动?
当数据从源设备发送到目的设备时,数据在 OSI 模型中的流动过程称为封装和解封装。
封装过程(数据向下流动)
封装过程从源设备上的应用层(第 7 层)开始。用户数据被转换成适合传输的格式,并下传到表现层(第 6 层)进行翻译、压缩或加密。在会话层(第 5 层),建立一个会话,并在数据传输期间保持该会话。
传输层(第 4 层)接收这些数据,将其分成可管理的段落,并添加 TCP 或 UDP 标头,其中包括端口号。然后,网络层(第 3 层)添加包含源 IP 地址和目标 IP 地址的 IP 标头,将网段转换成数据包。
数据链路层(第 2 层)将该数据包封装为一个帧,在帧头中添加 MAC 地址,在帧尾中添加帧校验序列 (FCS)。最后,物理层(第 1 层)将这些帧转换成二进制数据(比特),以便在物理介质上传输。
解除封装过程(数据向上流动)
数据到达目的地设备后,会以相反的方式进入 OSI 层。在物理层,接收到的比特被转换成帧。数据链路层检查 FCS 是否有误,删除 MAC 地址并将数据包传递给网络层。
网络层从数据包中移除 IP 地址,将其变回网段,再传递给传输层。传输层验证数据顺序是否正确,确认收到数据包,并删除 TCP 或 UDP 报头。
现在,数据以其原始形式通过会话层和表现层,会话在此关闭,之前进行的任何翻译或加密都会被逆转。最后,在应用层,原始用户数据将以可使用的格式传送给接收应用。
第 7 层的作用
第 7 层为软件应用程序与低层网络服务之间的通信提供便利。这一层不涉及网络的底层细节,而是侧重于为软件应用程序提供使用网络服务的方法。第 7 层主要充当网络解释器,将用户或应用程序的数据转换成 OSI 模型其他层可以理解的标准协议。
应用层通过各种协议(每种协议都有其特定的目的)来促进通信合作伙伴之间的端到端通信。例如
文件传输访问和管理(FTAM)协议允许用户访问和管理远程系统中的文件。
简单网络管理协议(SNMP)使网络管理员能够管理、监控和配置网络设备。
通用管理信息协议(CMIP)定义了网络管理信息。
HTTP(超文本传输协议)可实现客户端与服务器之间的网络通信。
第 7 层负载平衡
负载平衡器将网络流量分配给多个服务器,以优化资源使用,尽量缩短响应时间,并避免任何一台服务器超负荷运行。
在第 7 层,负载均衡为网络流量的分配引入了一个额外的维度。第 4 层负载平衡器根据 IP 地址和 TCP 或 UDP 端口信息做出决定,而第 7 层负载平衡器则不同,它会检查用户信息的内容来做出路由选择决定。
第 7 层负载平衡器分析网络数据包的 "有效载荷",考虑 HTTP 头、cookie 或应用信息中的数据等元素,从而做出复杂的负载平衡决策。例如,它们可以根据请求的 URL 或请求的内容类型(如图像、脚本或文本),将流量导向不同的服务器。
第 7 层安全
无论组织选择本地部署、基于云还是混合方法,保护应用层的安全对于保护敏感数据和保持服务可用性都至关重要。作为直接与用户及其数据交互的层,第 7 层会诱使坏人访问用户凭据和个人身份信息。这一层常见的攻击类型包括应用层攻击和第 7 层分布式拒绝服务(DDoS)攻击。
应用层攻击试图利用应用程序中的漏洞,如验证不充分的输入或不安全的配置设置。第 7 层 DDoS 攻击的目的是向服务器、服务或网络发出超过其处理能力的请求。传统的 DDoS 攻击 会用大量流量淹没网络,而第 7 层 DDoS 攻击则不同,它通常模仿正常用户行为缓慢开始,因此更难被发现。
在 云原生环境中,Kubernetes 等工具提供了第 7 层网络安全的内置机制。不过,这些机制往往需要额外的安全措施,如 网络应用防火墙(WAF)、入侵检测系统和强大的安全策略。
WAF 尤其在第 7 层安全方面发挥着重要作用,因为 WAF 在应用层运行,能够理解数据包内容并根据数据包内容做出决策。WAF 可以根据为 HTTP/HTTPS 定义的规则过滤掉恶意流量,从而实现比传统网络层防火墙更精细的网络流量控制。
OSI 模式与 TCP/IP 模式的对比
与 OSI 模型一样,传输控制协议/Internet 协议(TCP/IP)模型也描述了网络协议如何相互作用、协同工作以提供网络服务。不过,这两种模式在结构、抽象程度和历史使用方面都有所不同。
结构和抽象层次
OSI 模型共有七层,每层提供一组特定服务,独立运行,同时与上下两层进行交互。按照设计意图,它为所有类型的网络通信创建了一个通用标准。
TCP/IP 模型更注重网络通信的实际情况,否定了功能的模块化分离,从其四层结构就可以看出这一点。
- 网络接口(相当于 OSI 模型的物理层和数据链路层)
- 互联网(相当于网络层)
- 运输
- 应用层(结合 OSI 模型的会话层、表现层和应用层)
历史使用情况
尽管 OSI 模型设计全面,但在实际网络实施中从未被广泛采用。它的使用一直停留在概念上,是理解和描述网络协议交互和运行的工具。
相比之下,TCP/IP 模型的创建和实施则是现代互联网的基础。TCP 和 IP 是互联网的骨干协议。该模型旨在解决实际网络问题,实现有效的广域网通信,而不是遵从分层参考模型。
