什麼是第 7 層?
將第 7 層視為網路的控制中心。就像大腦控制人體一樣,第 7 層負責管理和協調不同應用程式之間的通訊。
瞭解 OSI 模型
開放系統互連模型是用來描述資料如何透過網路傳輸的概念架構。由國際標準化組織 (ISO) 於 1984 年開發,目前已被廣泛接受為網路通訊的標準模式。
OSI 模型提供了網路通訊流程的系統表示,各層負責特定的服務,這些服務有助於網路通訊的整體功能。每層都會與相鄰的層溝通。資料經過傳送者端的層層下傳,穿越網路,再經由接收者端的層層上傳。
認識 OSI 模型的層次
第 1 層 - 物理層:作為 OSI 模型的基礎層,實體層負責透過銅線、光纖或無線電波等實體媒介傳輸原始位元流資料。它規範了比特率、訊號強度、實體連接器、纜線類型和網路拓樸等方面。第 1 層可確保網路中二進位傳輸的完整性。
第 2 層 - 資料連線層:這一層將來自物理層的原始位元結構化成資料幀,並透過物理地址 (MAC 地址) 管理節點與節點之間的通訊。第 2 層提供錯誤偵測與修正,確保資料傳輸的可靠性。它也透過載波感應多重存取與碰撞偵測 (CSMA/CD) 及其他技術管理實體媒體的存取。
第 3 層 - 網路層:網路層提供了在不同網路中從一個節點到另一個節點傳輸長度可變的資料序列(封包)的方法。它根據邏輯位址處理封包路由,並管理網路擁塞和封包排序。
第 4 層 - 傳輸層:第 4 層處理來源系統與目的地系統之間的主機對主機通訊。它透過 TCP 和 UDP 等通訊協定提供可靠或不可靠的資料傳輸機制,並管理資料封包的流量控制、錯誤檢查和分割。
第 5 層 - 會話層:會話層建立、管理和終止通訊兩端的應用程式之間的連線(會話)。
第 6 層 - 簡報層:呈現層可將應用程式格式的資料轉換成一般格式,反之亦然,並提供加密、解密和資料壓縮等服務。第 6 層可確保從一個系統的應用層傳送的資料能被另一個系統的應用層讀取。
第 7 層 - 應用層:OSI 模型最上層的應用層是使用者或程序與網路之間的通訊介面。它提供特定於應用程式的服務,例如 HTTP 請求、檔案傳輸和電子郵件。
資料如何在 OSI 模型中流通?
資料在 OSI 模型中流動的過程稱為封裝(encapsulation)和解封裝(de-encapsulation),當資料從來源裝置傳送至目的地裝置時,封裝和解封裝就會發生。
封裝流程(資料向下流動)
封裝程序始於來源裝置上的應用層 (第 7 層)。使用者資料會被轉換成適合傳輸的格式,並下傳至呈現層(第 6 層)進行轉換、壓縮或加密。在會話層(第 5 層),會話會建立並在資料傳輸期間維持。
傳輸層(第 4 層)接收此資料,將其分成可管理的段落,並加入 TCP 或 UDP 標頭,其中包括連接埠號。之後,網路層(第 3 層)會加入包含來源和目的地 IP 位址的 IP 標頭,將網段轉換成封包。
資料連線層 (第 2 層) 將此封包封裝在一個訊框中,在其標頭中加入 MAC 位址,並在其拖尾中加入訊框檢查順序 (FCS)。最後,實體層(第 1 層)會將這些訊框轉換成二進位資料(位元),以便在實體媒體上傳輸。
解除封裝流程 (資料向上傳輸)
一旦資料到達目的地裝置,就會以反向的過程提升 OSI 層級。在實體層,接收到的位元會轉換回訊框。資料連線層會檢查 FCS 是否有誤、移除 MAC 位址,然後將封包傳送到網路層。
網路層從封包中移除 IP 位址,將封包變回網段,並傳送到傳輸層。傳輸層會驗證資料排序是否正確、確認收到封包,並移除 TCP 或 UDP 標頭。
現在,資料以原始形式通過會話層和呈現層,會話在此關閉,先前執行的任何轉譯或加密都會逆轉。最後,在應用程式層,原始使用者資料會以接收應用程式可以使用的格式傳送給接收應用程式。
第 7 層的作用
第 7 層有助於軟體應用程式與低階網路服務之間的通訊。這一層不關心網路的底層細節,而是著重於提供軟體應用程式使用網路服務的方法。第 7 層基本上扮演網路解釋器的角色,將使用者或應用程式的資料轉換成 OSI 模型其他層可以理解的標準通訊協定。
各式各樣的通訊協定各有其特定目的,讓應用程式層能夠促進通訊合作夥伴之間的端對端通訊。例如:
檔案傳輸通訊協定 (FTAM) 允許使用者存取和管理遠端系統中的檔案。
簡易網路管理通訊協定 (SNMP) 可讓網路管理員管理、監控及設定網路裝置。
通用管理資訊通訊協定 (CMIP) 定義網路管理資訊。
HTTP(超文字傳輸通訊協定)可讓客戶端與伺服器在網路上進行通訊。
第 7 層負載平衡
負載平衡器可將網路流量分散到多台伺服器,以最佳化資源使用、縮短回應時間,並避免任何單一伺服器負荷過重。
在第 7 層,負載平衡為網路流量的分配引入了額外的層面。第 4 層負載平衡器是根據 IP 位址和 TCP 或 UDP 埠資訊來做決定,而第 7 層負載平衡器則不同,它會檢查使用者訊息的內容來做路由決定。
第 7 層負載平衡器會分析網路封包的「有效負載」,考慮 HTTP 標頭、Cookie 或應用程式訊息內的資料等元素,以做出精密的負載平衡決策。例如,它們可以根據要求的 URL 或要求的內容類型(如圖像、腳本或文字),將流量導向不同的伺服器。
第 7 層安全性
無論組織選擇內部部署、雲端或混合方式,保護應用程式層的安全對於保護敏感資料和維持服務可用性都是至關重要的。第 7 層作為直接與使用者及其資料接觸的層級,會誘使惡意使用者存取使用者憑證和個人識別資訊。此層的常見攻擊類型包括應用程式層攻擊和第 7 層分散式拒絕服務 (DDoS) 攻擊。
應用程式層攻擊試圖利用應用程式內的漏洞,例如驗證不良的輸入或不安全的組態設定。第 7 層 DDoS 攻擊的目的是讓伺服器、服務或網路承受超過其處理能力的要求。傳統的 DDoS 攻擊會 以大量流量氾濫網路,與此不同的是,第 7 層 DDoS 攻擊通常會模仿正常使用者行為,緩慢地開始,因此較難偵測。
在 雲端原生環境中,Kubernetes 等工具提供第 7 層網路安全性的內建機制。不過這些機制通常需要額外的安全措施,例如 網頁應用程式防火牆 (WAF)、入侵偵測系統和強大的安全政策。
WAF 尤其扮演著重要的第 7 層安全角色,因為 WAF 在應用程式層運作,可以根據資料封包的內容來理解並做出決策。WAF 可以根據為 HTTP/HTTPS 定義的規則過濾掉惡意流量,允許對網路流量進行比傳統網路層防火牆更仔細的控制。
OSI 模型與 TCP/IP 模型的比較
就像 OSI 模型一樣,傳輸控制通訊協定/網際網路協定 (TCP/IP) 模型描述了網路協定如何互動與合作,以提供網路服務供應商。然而,這兩種模型在結構、抽象層級和歷史使用上都有所不同。
結構與抽象層級
OSI 模型共有七層,每層提供一組特定的服務,並獨立運作,同時與上層和下層互動。這項設計如預期般,為所有類型的網路通訊建立了通用標準。
TCP/IP 模型更著重於網路通訊的現實,摒棄了功能的模組化分離,從它的四層結構就可以看出來。
- 網路介面(等同於 OSI 模型的實體層和資料連結層)
- 網際網路 (相當於網路層)
- 運輸
- 應用 (結合 OSI 模型的會話層、呈現層和應用層)
歷史使用情況
儘管 OSI 模型的設計非常全面,但在實際網路實作中卻從未被廣泛採用。它的使用仍停留在概念上,作為瞭解和描述網路協定互動與運作的工具。
相比之下,TCP/IP 模型的建立和實作是現代網際網路的基礎。TCP 和 IP 是網際網路的骨幹通訊協定。該模型旨在解決實際的網路問題,並實現有效的廣域網路通訊,而非遵循分層參考模型。
