對於複雜的網絡體係結構，任何一種技術都無法有效解決網絡安全問題，必須在網絡的每一層增加安全功能，而且各層安全功能必須相互協調、相互作用，構成一個有機的整體，這樣一個由各層安全功能構成的有機整體就是網絡安全體係。

1.5.1TCP/IP體係結構

網絡是由多層功能層組合而成的複雜係統，目前用於表示網絡功能層之間關係的網絡體係結構是TCP/IP體係結構。TCP/IP模型是由美國國防部在ARPANET網絡中創建的網絡體係結構，所以有時又稱為DoD（DepartmentofDefense）模型，是至今為止發展最成功的通信模型，它用於構築目前最大的、開放的互聯網絡係統Internet。TCP/IP模型分為不同的層次，每一層負責不同的通信功能。但TCP/IP簡化了層次模型（隻有4層），由下而上分別為網絡接口層、網絡層、運輸層、應用層。

在TCP/IP模型中，網絡接口層是TCP/IP模型的最底層，負責接收從網絡層交付的IP數據包，並將IP數據包通過底層物理網絡發送出去，或者從底層物理網絡上接收物理幀，抽出IP數據報，交給網絡層。

網絡層負責獨立地將分組從源主機送往目的主機，為分組提供最佳路徑選擇和交換功能，並使這一過程與它們所經過的路徑和網絡無關。

運輸層的作用是在源節點和目的節點的兩個對等實體間提供可靠的端到端的數據通信。

應用層為用戶提供網絡應用，並為這些應用提供網絡支撐服務，把用戶的數據發送到低層，為應用程序提供網絡接口。

TCP/IP模型每一層都提供了一組協議，各層協議的集合構成了TCP/IP模型的協議簇。

1.網絡接口層協議

TCP/IP的網絡接口層中包括各種物理網絡協議，例如Ethernet、令牌環、幀中繼、ISDN和分組交換網X.25等。當各種物理網絡被用做傳輸IP數據包的通道時，這種傳輸過程就可以認為是屬於這一層的內容。

2.網絡層協議

網絡層包括多個重要協議，主要協議有4個，即IP、ARP、RARP和ICMP。網際協議（InternetProtocol,IP）是其中的核心協議，IP協議規定網絡層數據分組的格式。Internet控製消息協議（InternetControlMessageProtocol,ICMP）提供網絡控製和消息傳遞功能。地址解釋協議（AddressResolutionProtocol,ARP）用來將邏輯地址解析成物理地址。反向地址解釋協議（ReverseAddressResolutionProtocol,RARP）通過RARP廣播，將物理地址解析成邏輯地址。

3.運輸層協議

運輸層協議主要包含TCP和UDP兩個協議。傳輸控製協議（TransportControlProtocol,TCP）是麵向連接的協議，用三次握手和滑動窗口機製來保證傳輸的可靠性和進行流量控製。用戶數據報協議（UserDatagramProtocol,UDP）是麵向無連接的不可靠運輸層協議。

4.應用層協議

應用層包括了眾多的應用與應用支撐協議。常見的應用層協議有：文件傳輸協議（FTP）、超文本傳輸協議（HTTP）、簡單郵件傳輸協議（SMTP）、遠程登錄（Telnet）。常見的應用支撐協議包括域名服務（DNS）和簡單網絡管理協議（SNMP）等。

TCP/IP網絡模型處理數據的過程描述如下：

（1）生成數據。當用戶發送一個電子郵件信息時，它的字母或數字字符被轉換成可以通過互聯網傳輸的數據。

（2）為端到端的傳輸將數據打包。通過對數據打包來實現互聯網的傳輸。通過使用端傳輸功能確保在兩端的信息主機係統之間進行可靠的通信。

（3）在首部上附加目的網絡地址。數據被放置在一個分組或者數據報中，其中包含了帶有源和目的邏輯地址的網絡首部，這些地址有助於網絡設備在動態選定的路徑上發送這些分組。

（4）附加目的數據鏈路層MAC地址到數據鏈路首部。每一個網絡設備必須將分組放置在幀中，該幀的首部包括在路徑中下一台直接相連設備的物理地址。

（5）傳輸比特。幀必須轉換成“1”和“0”的信息模式，才能在介質上進行傳輸。時鍾功能（ClockingFunction）使得設備可以區分這些在介質上傳輸的比特，物理互聯網絡上的介質可能隨著使用的不同路徑而有所不同。例如，電子郵件信息可以起源於一個局域網LAN，通過校園骨幹網，然後到達廣域網WAN鏈路，直到到達另一個遠端局域網LAN上的目的主機為止。

1.5.2網絡安全體係結構

網絡安全體係結構由兩部分組成：一部分是網絡安全基礎，所包含的加密、報文摘要算法、數字簽名技術、身份鑒別機製和各種安全協議是所有網絡安全技術的基礎；另一部分是作用於網絡每一層的安全技術，猶如立體盾牌，擋住了攻擊者對網絡各層功能層的攻擊。