网络术语词汇表
浏览按类别整理的200个网络术语 — 从IP寻址和DNS到安全和VPN。
IP寻址 (20)
自动专用IP寻址(Automatic Private IP Addressing)。当没有DHCP服务器可用时,设备自动从169.254.0.0/16范围内分配IP地址的机制。APIPA地址允许本地链路通信,但不能路由到本地子网之外。
无类别域间路由(Classless Inter-Domain Routing)。一种使用可变长度子网掩码(例如10.0.0.0/8)而非固定分类边界来分配IP地址的方法,能够更高效地利用IPv4地址空间。
动态主机配置协议(Dynamic Host Configuration Protocol)。一种在设备加入网络时自动为其分配IP地址、子网掩码、网关和DNS服务器的网络协议。
互联网协议第4版(Internet Protocol version 4)。IP的第四个修订版,使用32位地址(如192.168.1.1),可提供约43亿个唯一地址。尽管地址已耗尽,仍是目前使用最广泛的互联网协议。
互联网协议第6版(Internet Protocol version 6)。IPv4的后继版本,使用128位地址(如2001:0db8::1),提供3.4 x 10^38个地址的近乎无限的地址空间。旨在解决IPv4地址耗尽问题。
当IP数据包超过网络链路的最大传输单元(MTU)时,将其分割为更小片段的过程。目标主机负责重新组装这些片段;过度分片会降低性能。
网络地址转换(Network Address Translation)。一种在路由器上将私有IP地址重新映射为单个公共IP地址(反之亦然)的方法,使多个设备能够共享一个公共IP地址。这是缓解IPv4地址耗尽问题的关键技术。
可变长子网掩码(Variable Length Subnet Masking)。一种子网划分技术,允许同一网络中的不同子网使用不同的前缀长度,从而根据实际需求分配子网规模,实现IP地址的高效利用。
一种网络寻址方式,将相同的IP地址分配给位于不同地点的多台服务器。流量被路由到最近或性能最佳的服务器,常被CDN和DNS提供商所采用。
由ISP分配的全球唯一IP地址,可在公共互联网上路由。每个可从互联网直接访问的设备都必须拥有一个公共IP地址。
由DHCP服务器临时分配给设备、可能随时间变化的IP地址。大多数家庭互联网连接使用ISP分配的动态IP地址。
一种从一个发送方向一个特定接收方传输数据的网络通信方式。是IP通信中最常见的形式,广泛用于网页浏览、电子邮件和文件传输。
一个32位的数字(例如255.255.255.0),用于将IP地址划分为网络部分和主机部分,决定地址中哪部分标识网络,哪部分标识具体设备。
一种同时向子网上所有设备发送数据的网络通信方式。广播地址是子网中的最后一个地址,例如/24网络中的192.168.1.255。
一种保留IP地址(IPv4中为127.0.0.1,IPv6中为::1),将流量路由回本地设备而不经过网络。用于测试和同一台机器上的进程间通信。
来自保留地址范围(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)的IP地址,用于本地网络内部。私有地址无法在公共互联网上路由,需要通过NAT进行外部通信。
一种网络通信方式,将数据从一个源同时发送给一组特定的接收方。在IPv4中使用224.0.0.0/4地址范围,常用于流媒体传输和路由协议。
将多个连续子网合并为一个更大网络前缀的过程,也称为路由聚合或汇总。超网化可以缩减路由表规模,提高路由效率。
无需DHCP自动配置、仅在单个网络段内有效的IP地址。IPv4使用169.254.0.0/16(APIPA),IPv6使用fe80::/10用于邻居发现和本地通信。
一种永久分配、不随时间变化的IP地址。常用于需要固定地址以确保稳定访问的服务器、打印机和网络设备。
DNS (21)
将域名映射到IPv6地址的DNS记录。由于IPv6地址是IPv4地址大小的四倍,因此被命名为"AAAA"(四个A)。
将域名映射到IPv4地址的DNS记录(例如:example.com -> 93.184.216.34)。这是将域名解析为IP地址的最基本DNS记录类型。
创建从一个域名到另一个域名别名的DNS记录(例如:www.example.com -> example.com)。别名继承目标的所有DNS记录,但不能与同名的其他记录类型共存。
域名系统(Domain Name System)。一种将人类可读的域名(例如example.com)转换为IP地址(例如93.184.216.34)的分层分布式命名系统。通常被称为"互联网的电话簿"。
通过HTTPS(443端口)发送DNS查询来加密DNS流量的协议,防止ISP和网络运营商检查或篡改DNS流量。Firefox和Chrome等浏览器均支持此协议。
通过在专用端口(853)上将DNS查询封装在TLS中来加密DNS流量的协议。与DNS over HTTPS不同,DoT使用独立端口,使网络管理员更容易识别和管理DNS流量。
域名系统安全扩展(Domain Name System Security Extensions)。一套IETF规范,通过数字签名为DNS响应添加密码学身份验证,防止DNS欺骗和缓存投毒攻击。
使用AXFR或IXFR协议将DNS区域数据从主名称服务器复制到辅助服务器的过程。配置不当的区域传输可能将内部网络信息泄露给攻击者。
一种DDoS攻击,利用开放DNS解析器发送带有伪造源IP的小型查询,导致大量响应涌向受害者。50倍或更高的放大系数使DNS成为强大的反射攻击载体。
接收来自客户端的DNS查询并代其向DNS层次结构查询以解析域名的服务器。1.1.1.1(Cloudflare)和8.8.8.8(Google)等公共解析器是ISP解析器的广泛使用的替代方案。
邮件交换记录(Mail Exchange Record)。一种DNS记录,用于指定负责接收某个域名电子邮件的邮件服务器,以及决定服务器尝试顺序的优先级值。
名称服务器记录(Name Server Record)。一种将域名或子域名委托给一组权威DNS服务器的DNS记录。每个域名必须至少拥有两条NS记录以实现冗余。
指针记录(Pointer Record)。一种用于反向DNS查找的DNS记录,将IP地址映射回域名。对于邮件服务器验证和网络诊断至关重要。
授权起始记录(Start of Authority Record)。一种包含DNS区域管理信息的DNS记录,内容包括主名称服务器、负责人电子邮件、序列号以及刷新/重试/过期计时器。
顶级域名(Top-Level Domain)。域名中最右侧的标签(如.com、.org、.net)。TLD由ICANN管理,包括通用TLD(gTLD)、国家及地区代码TLD(ccTLD,如.cn、.uk)以及赞助TLD(.edu、.gov)。
一种存储任意文本数据的DNS记录,常用于电子邮件身份验证(SPF、DKIM、DMARC)、域名所有权验证以及其他机器可读的元数据。
保存特定域区原始权威DNS记录的DNS服务器。它直接从自身的区域数据中提供答案,而不是查询其他服务器,作为该域的权威信息来源。
构成DNS层次结构顶端的13个命名根服务器集群(A至M)之一。根服务器响应根区域的查询,将解析器引导至相应的TLD名称服务器。
由父DNS区域提供的A或AAAA记录,用于解析子区域名称服务器的IP地址,当名称服务器的主机名位于其所服务的区域内时,可打破循环依赖关系。
一种DNS解析模式,服务器代表客户端依次查询根服务器、TLD服务器和权威服务器,直到找到答案。大多数DNS解析器以递归方式运行。
一种在最左侧标签使用星号(*)的DNS记录,可匹配任何未明确定义的子域名。常用于将所有子域名路由到同一台服务器,例如将*.example.com指向负载均衡器。
路由 (20)
边界网关协议(Border Gateway Protocol)。一种在自治系统之间交换可达性信息的路由协议,实际上决定了数据在互联网上的传输路径。通常被称为"互联网的邮政服务"。
增强型内部网关路由协议(Enhanced Interior Gateway Routing Protocol)。Cisco开发的高级距离矢量路由协议,使用复合度量值(带宽、延迟、可靠性、负载),并通过DUAL算法支持快速收敛。
热备份路由协议(Hot Standby Router Protocol)。Cisco专有协议,通过允许多个路由器共享一个虚拟IP地址来提供网关冗余。功能上类似于开放标准的VRRP。
中间系统到中间系统协议(Intermediate System to Intermediate System)。大型ISP和服务提供商使用的链路状态路由协议,直接在第二层而非IP上运行。功能上与OSPF类似,但在大规模SP网络中更受青睐。
多协议标签交换(Multiprotocol Label Switching)。一种使用短路径标签而非长网络地址来转发数据的路由技术,可在服务提供商网络中实现快速、可预测的流量工程。
开放最短路径优先(Open Shortest Path First)。一种内部网关路由协议,使用链路状态通告和迪杰斯特拉算法计算自治系统内的最短路径。
路由信息协议(Routing Information Protocol)。最古老的距离矢量路由协议之一,以跳数(最多15跳)作为度量值。由于收敛速度慢、可扩展性有限,在企业网络中已基本被OSPF和EIGRP取代。
一种网络诊断工具,通过发送TTL值逐渐递增的探测包来追踪数据包从源到目的地所经过的路径。每个响应的路由器会揭示路径中的一跳及其延迟。
IP数据包头部的一个字段,通过指定数据包可经过的最大跳数来限制其生命周期。每经过一个路由器TTL减1,当TTL降为零时,数据包被丢弃,以防止路由环路。
虚拟路由器冗余协议(Virtual Router Redundancy Protocol)。一种为一组路由器分配虚拟IP地址的协议,当主路由器发生故障时自动切换到备份路由器,无需手动重新配置即可实现网关冗余。
一种根据目的地址之外的标准(如源IP、协议或端口号)转发数据包的路由方法。用于流量工程、负载分担以及将特定流量引导通过VPN隧道。
一种由发送方指定数据包在网络中传输的确切路径、从而覆盖正常路由决策的技术。由于存在严重的安全风险,现代网络中通常已禁用此功能。
充当本地网络通往其他网络接入点的网络设备(通常是路由器)。默认网关是发往本地子网外部的流量的第一跳。
由唯一自治系统号(ASN)标识、在单一管理策略下运营的大型网络或网络群组。互联网由数以万计的相互连接的自治系统组成。
一种网络设备,通过检查目标IP地址并查阅路由表,在不同网络之间转发数据包。路由器工作在OSI模型的第3层(网络层)。
存储在路由器中的数据结构,列出已知的网络目的地以及到达每个目的地的下一跳或接口。路由表由静态配置或BGP、OSPF等动态路由协议填充。
在不同路由协议之间(例如OSPF引入BGP)共享路由信息的过程。路由重分发实现了跨协议边界的连通性,但需要仔细配置度量值和过滤器以避免路由环路。
网络路径中源与目的地之间的一个段,表示数据包通过单个路由器或中间设备的传输过程。总跳数会影响延迟,可通过traceroute查看。
一种由管理员手动配置网络路径,而非通过路由协议动态学习的路由方式。配置简单、行为可预测,但无法自动适应网络拓扑变化。
路由表中匹配所有未被更具体路由覆盖的目标地址的条目(IPv4中为0.0.0.0/0)。作为兜底路由,通常指向网络的网关路由器。
安全 (25)
跨站请求伪造(Cross-Site Request Forgery)。一种欺骗已认证用户的浏览器向Web应用程序发送非预期请求的攻击。可通过反CSRF令牌、SameSite Cookie和验证Origin头部来防御。
公共漏洞和暴露(Common Vulnerabilities and Exposures)。一种针对公开已知网络安全漏洞的标准化唯一标识符系统(例如CVE-2024-12345),由MITRE维护,在全球范围内用于漏洞跟踪和修补。
分布式拒绝服务(Distributed Denial of Service)。一种利用来自大量受攻陷源(僵尸网络)的海量流量压垮目标服务器或网络,使合法用户无法访问服务的攻击。
通过篡改DNS缓存条目,将域名查询重定向到恶意IP地址的攻击。也称为DNS缓存投毒,可以在不改变浏览器URL的情况下悄悄将用户重定向到钓鱼网站。
安全超文本传输协议(HTTP Secure)。HTTP的加密版本,使用TLS保护浏览器与Web服务器之间传输中的数据。通过浏览器中的锁形图标和https://URL方案来标识。
一种通用代理协议(SOCKS4/SOCKS5),可将任意TCP(以及可选的UDP)流量通过代理服务器进行中转。与HTTP代理不同,SOCKS工作在更低的层级,与协议无关。
一种代码注入攻击,通过在应用程序输入字段中插入恶意SQL语句,从而操纵或窃取后端数据库中的数据。可通过参数化查询和输入验证加以防范。
安全套接字层/传输层安全(Secure Sockets Layer / Transport Layer Security)。为网络通信提供加密和身份验证的密码学协议。SSL已被弃用,现代实现均使用TLS 1.2或TLS 1.3。
将加密密钥对与组织或域名绑定、用于建立加密HTTPS连接的数字文档。由Let's Encrypt等证书颁发机构(CA)颁发,向浏览器证明网站的身份。
洋葱路由器(The Onion Router)。一种匿名网络,通过将流量经由全球多个加密中继节点(通常为三个)进行路由,使追踪连接来源极为困难。也是.onion隐藏服务的基础。
虚拟私人网络(Virtual Private Network)。一种在设备与远程服务器之间建立加密隧道的技术,可保护传输中的数据并隐藏用户的真实IP地址,用于隐私保护、安全通信以及访问受限网络。
Web应用防火墙(Web Application Firewall)。一种对Web应用的HTTP/HTTPS流量进行过滤、监控和拦截的安全层,在应用层防御SQL注入、XSS、CSRF等攻击。
跨站脚本攻击(Cross-Site Scripting)。一种允许攻击者向其他用户浏览的网页注入恶意脚本的Web漏洞。XSS可用于窃取会话Cookie、重定向用户或篡改网站,可通过输出编码和CSP响应头加以防范。
攻击者秘密拦截并可能篡改两方之间通信的攻击,而这两方认为他们在直接通信。HTTPS和证书绑定是抵御此类攻击的主要防御手段。
在客户端和目标服务器之间转发请求的中间服务器。正向代理用于匿名化客户端流量;反向代理位于服务器前端,用于负载均衡、缓存和安全防护。
监控网络流量或系统活动以发现可疑模式和已知攻击特征的安全系统。与防火墙不同,IDS检测威胁并发出警报,但不会主动阻止它们。
监控流量中的恶意活动并实时主动阻止或丢弃检测到的威胁的网络安全系统。IPS通过内联防御扩展了IDS的被动检测能力。
使用加密算法和密钥将明文数据转换为密文的过程,使其在没有相应解密密钥的情况下无法读取。这是互联网安全通信的基础。
一种加密受害者文件或锁定其系统,并要求支付赎金(通常为加密货币)以换取解密密钥的恶意软件。现代勒索软件通常将加密与数据窃取相结合,实施双重勒索。
对系统进行授权的模拟网络攻击,以评估其安全态势并在真实攻击者发现之前识别漏洞。渗透测试范围从自动化漏洞扫描到完整的红队演练不等。
一种用于发现主机上哪些网络端口处于开放并监听连接状态的技术。Nmap等工具向端口范围发送探测包以识别正在运行的服务,既用于安全审计,也用于侦察。
一种社会工程攻击,通过欺诈性电子邮件、网站或消息诱骗用户泄露凭据、财务数据或安装恶意软件。鱼叉式网络钓鱼使用个性化内容针对特定个人。
专门设计用于吸引和诱捕攻击者的诱饵系统或网络资源,使防御者能够研究攻击技术并将威胁从生产资产上转移。蜜罐可提供入侵尝试的早期预警。
根据预定义规则监控和过滤进出流量的网络安全设备或软件。防火墙可以根据IP地址、端口号、协议或应用层内容来阻止流量。
一种基于"从不信任,始终验证"原则的安全模型。无论用户位于网络边界内部还是外部,每一个访问请求都需要经过完整的身份验证和授权。
VPN (15)
一种隐私缺陷,DNS查询绕过VPN隧道被发送到ISP的默认DNS解析器,即使使用VPN也会泄露用户访问的网站信息。DNS泄漏测试可帮助检测此问题。
互联网密钥交换版本2(Internet Key Exchange version 2)。与IPSec配合使用的VPN协议,擅长在网络变化后快速重建连接(MOBIKE),非常适合在Wi-Fi和蜂窝网络之间切换的移动设备。
互联网协议安全(Internet Protocol Security)。在网络层对IP数据包进行身份验证和加密的协议套件。用于站点间VPN以及L2TP/IPSec和IKEv2 VPN连接的传输层。
第二层隧道协议(Layer 2 Tunneling Protocol)。一种VPN隧道协议,可封装数据但本身不提供加密。几乎总是与IPSec(L2TP/IPSec)配合使用,以增加保密性和完整性。
一种开源VPN协议,使用SSL/TLS进行密钥交换,可在UDP或TCP上运行。以其灵活性、强安全性和广泛的平台支持著称,但速度比WireGuard慢。
点对点隧道协议(Point-to-Point Tunneling Protocol)。由微软开发的最古老的VPN协议之一。PPTP速度快,但被认为存在密码学漏洞,在安全性要求较高的场景中不应使用。
安全套接字隧道协议(Secure Socket Tunneling Protocol)。一种微软VPN协议,通过端口443的SSL/TLS信道封装PPP流量,能够有效穿越防火墙。主要在Windows平台上受到支持。
VPN的一项功能,在VPN连接意外断开时自动阻止所有互联网流量,防止用户的真实IP地址和未加密数据暴露给ISP或网络。
一种将VPN流量伪装成普通HTTPS流量的技术,使其能够绕过限制性网络和政府使用的深度包检测(DPI)及VPN封锁防火墙。
两个端点之间经过加密和封装的连接,所有隧道数据在穿越公共互联网等不受信任的网络时均能安全传输。
一种隐私漏洞,WebRTC(浏览器实时通信API)会通过STUN请求暴露用户的真实公网IP地址和本地IP地址,即使在连接VPN的情况下也不例外。
一种现代、轻量级的VPN协议,采用前沿密码学技术(ChaCha20、Curve25519)和极简代码库(约4000行)。相比OpenVPN和IPSec,其设计目标是简洁性、高性能和低延迟。
一种VPN配置,仅将选定的流量通过VPN隧道路由,其他流量则直接访问互联网。这种方式可减少VPN带宽占用,但部分流量可能会暴露在本地网络中。
一种隐私技术,将流量依次通过两个独立的VPN服务器路由,应用双层加密。以增加延迟和降低速度为代价,提供额外的匿名性。
VPN提供商承诺不记录用户活动、连接时间戳、IP地址或浏览数据。经过验证的无日志政策通常由独立的第三方机构进行审计,以确认合规性。
协议 (20)
高级消息队列协议(Advanced Message Queuing Protocol)。一种面向消息的中间件开放标准,提供可靠的异步消息传递,支持队列、路由和发布-订阅等功能。被RabbitMQ和Azure Service Bus所采用。
地址解析协议(Address Resolution Protocol)。一种将IP地址映射到本地网络物理MAC地址的第2层协议。当设备需要与同一子网上的另一设备通信时,ARP用于发现目标的硬件地址。
受限应用协议(Constrained Application Protocol)。专为资源受限的IoT设备设计的轻量级RESTful协议,在UDP上运行并支持可选的DTLS加密。设计上类似HTTP,但针对低功耗、高丢包网络进行了优化。
文件传输协议(File Transfer Protocol)。一种通过TCP(端口20/21)在客户端和服务器之间传输文件的标准协议。FTP以明文传输数据;SFTP(基于SSH)和FTPS(基于TLS)是安全的替代方案。
由Google开发的高性能开源RPC框架,使用Protocol Buffers进行序列化,使用HTTP/2作为传输层。支持双向流式传输,广泛应用于微服务架构中。
超文本传输协议(Hypertext Transfer Protocol)。用于传输网页、API和其他资源的应用层协议。HTTP定义了用于客户端-服务器通信的方法(GET、POST、PUT、DELETE)和状态码。
互联网控制消息协议(Internet Control Message Protocol)。用于诊断和错误报告的网络层协议。Ping(回显请求/应答)和traceroute都依赖ICMP消息。
互联网消息访问协议(Internet Message Access Protocol)。一种电子邮件收取协议,可在服务器和多个客户端之间同步邮件,并将邮件保存在服务器上。支持文件夹、搜索和部分邮件获取。
轻量级目录访问协议(Lightweight Directory Access Protocol)。通过TCP/IP访问和维护分布式目录信息服务(如Active Directory)的协议。用于集中式身份验证和用户目录查询。
消息队列遥测传输(Message Queuing Telemetry Transport)。专为受限设备和低带宽网络设计的轻量级发布-订阅消息协议。广泛用于IoT中的传感器数据采集和设备控制。
网络时间协议(Network Time Protocol)。一种用于将计算机网络中的时钟与协调世界时(UTC)同步到毫秒级精度的协议。对于日志记录、身份验证和分布式系统至关重要。
邮局协议第3版(Post Office Protocol version 3)。一种电子邮件检索协议,将邮件从服务器下载到单个客户端,通常在下载后从服务器删除邮件。比IMAP更简单,但灵活性较差。
一种基于UDP构建的传输协议,提供多路复用的加密连接并降低握手延迟。由Google开发并经IETF标准化,QUIC是HTTP/3的基础。
远程身份验证拨入用户服务(Remote Authentication Dial-In User Service)。一种为连接网络的用户提供集中式身份验证、授权和计费(AAA)的网络协议。常用于Wi-Fi、VPN和ISP身份验证。
会话发起协议(Session Initiation Protocol)。一种信令协议,用于在IP网络上发起、维持和终止实时通信会话,包括语音通话、视频会议和即时消息。
简单邮件传输协议(Simple Mail Transfer Protocol)。用于在服务器之间以及从客户端向服务器发送电子邮件的标准协议(端口25/587)。SMTP负责出站投递,而收件由IMAP或POP3处理。
简单网络管理协议(Simple Network Management Protocol)。一种用于监控和管理网络设备(路由器、交换机、服务器)的协议,通过收集指标和配置数据实现管理。设备上的代理将信息上报给中央SNMP管理器。
安全外壳协议(Secure Shell)。一种用于在不安全网络上进行安全远程登录、命令执行和文件传输的加密协议。SSH(端口22)取代了Telnet和rlogin等不安全协议。
传输控制协议(Transmission Control Protocol)。一种可靠的面向连接的传输协议,通过三次握手、确认应答和重传机制保证数据的有序、可靠传输。是HTTP、SSH及大多数互联网服务的基础。
用户数据报协议(User Datagram Protocol)。一种无连接的传输协议,无需建立连接即可发送数据报,也不保证传输可靠性。比TCP更快,适用于DNS查询、VoIP、游戏和流媒体等实时应用。
网络 (19)
作为多个后端微服务单一入口点的服务器,负责处理请求路由、限速、身份验证和协议转换。典型示例包括Kong、AWS API Gateway和Nginx。
内容分发网络(Content Delivery Network)。一种地理上分布的服务器网络,从靠近终端用户的位置缓存并提供内容,从而降低延迟、改善加载速度。主要提供商包括Cloudflare、AWS CloudFront和Akamai。
跨源资源共享(Cross-Origin Resource Sharing)。一种使用HTTP头部控制哪些源(域)被允许访问另一个源资源的浏览器安全机制。对于处理跨域请求的现代Web API至关重要。
内容安全策略(Content Security Policy)。一种HTTP头部,用于指定浏览器允许为页面加载的内容来源(脚本、样式、图片),为防御XSS和数据注入攻击提供强有力的保护。
由Meta开发的API查询语言和运行时,允许客户端在单个请求中精确获取所需的数据。与REST不同,GraphQL使用带有类型化模式的单一端点。
HTTP严格传输安全(HTTP Strict Transport Security)。一种Web安全策略机制,指示浏览器仅通过HTTPS访问网站,防止协议降级攻击和Cookie劫持。通过Strict-Transport-Security响应头进行配置。
HTTP的第二个主要版本,在单个TCP连接上引入了多路复用流、头部压缩(HPACK)和服务器推送。与HTTP/1.1相比,HTTP/2显著提升了页面加载性能。
HTTP的第三个主要版本,基于QUIC而非TCP构建。HTTP/3消除了队头阻塞,降低了连接建立延迟,并提供内置加密,从而提升了在不稳定网络上的性能。
Web服务器返回的三位数字代码,用于指示请求的处理结果。按类别分为:1xx(信息性)、2xx(成功)、3xx(重定向)、4xx(客户端错误)和5xx(服务器错误)。
JSON网络令牌(JSON Web Token)。一种紧凑、URL安全的令牌格式,以签名(可选加密)的JSON对象形式在各方之间安全传输声明。常用于Web API的身份验证和授权。
一种开放授权框架,允许第三方应用程序在不共享用户密码的情况下访问用户资源。OAuth 2.0是委托授权的行业标准,被Google、GitHub等广泛使用。
表述性状态转移应用程序编程接口(Representational State Transfer Application Programming Interface)。一种Web服务架构风格,使用标准HTTP方法(GET、POST、PUT、DELETE)和无状态通信来操作由URL标识的资源。
在浏览器后台独立于网页运行的JavaScript脚本,可实现离线缓存、推送通知和后台同步等功能。是渐进式Web应用(PWA)的基础。
一种通信协议,通过单个TCP连接在浏览器与服务器之间提供全双工、持久连接。非常适合聊天、实时仪表盘和多人游戏等实时应用场景。
位于后端服务器前面的服务器,代表服务器转发客户端请求并返回响应。用于SSL卸载、负载均衡、缓存以及隐藏源服务器身份。
一种架构风格,将应用程序构建为一组松散耦合、可独立部署的服务,每个服务负责特定的业务功能,并通过API进行通信。
将频繁访问的数据副本存储在距离请求方更近的位置,以减少延迟和服务器负载的做法。Web缓存在多个层面发生:浏览器、CDN边缘、反向代理和应用程序。
将传入网络流量分发到多个后端服务器的设备或服务,以确保没有单个服务器过载。可提升Web应用程序的可用性、可靠性和可扩展性。
一种限制客户端在特定时间窗口内向API或服务器发送请求数量的技术。速率限制可防止滥用、暴力破解攻击和资源耗尽。
无线 (15)
第五代移动网络技术,提供高达20Gbps的峰值速度、亚毫秒级延迟和大规模设备连接密度。5G使用毫米波、中频段和低频段频谱,以满足不同覆盖范围和速度的需求。
长期演进(Long-Term Evolution)。使用OFDMA技术提供100+ Mbps下载速度的4G无线宽带标准。LTE-Advanced(LTE-A)通过载波聚合进一步提升吞吐量。
媒体访问控制地址(Media Access Control address)。由制造商分配给网络接口的唯一48位硬件标识符(如AA:BB:CC:DD:EE:FF)。在第二层用于本地网络段内的通信。
多输入多输出(Multiple-Input Multiple-Output)。一种在发射端和接收端均使用多根天线同时收发多路数据流的无线技术。MU-MIMO将其扩展为可同时服务多个用户。
服务集标识符(Service Set Identifier)。接入点广播的Wi-Fi网络可读名称,供附近设备发现并连接网络。SSID可以设置为隐藏,以降低被随意发现的可能性。
基于IEEE 802.11标准的无线网络协议系列,使设备无需线缆即可连接到本地网络。Wi-Fi 6(802.11ax)和Wi-Fi 7(802.11be)是目前最新一代标准。
IEEE 802.11ax的市场名称。通过OFDMA、MU-MIMO、BSS着色和目标唤醒时间(TWT)技术提升密集环境下的传输效率,支持2.4 GHz和5 GHz双频段运行。
IEEE 802.11be(极高吞吐量,EHT)的市场名称,通过320 MHz信道、多链路操作(MLO)和4096-QAM提供最高46 Gbps的峰值速率,支持2.4 GHz、5 GHz和6 GHz三个频段。
Wi-Fi保护访问(Wi-Fi Protected Access)。一系列用于加密无线网络流量和认证设备的安全协议(WPA、WPA2、WPA3)。WPA3是当前标准,提供更强的加密保护和针对离线字典攻击的防御能力。
通过将无线客户端连接到有线网络来创建无线局域网(WLAN)的网络设备。与中继器不同,接入点通过有线方式连接到网络骨干,为连接的客户端提供完整带宽。
一种接收Wi-Fi信号并重新发送以扩展覆盖范围的设备。中继器可以有效地将覆盖面积扩大一倍,但由于接收和发送使用同一信道,通常会将可用带宽减半。
一种将无线信号聚焦于特定接收设备而非向所有方向广播的信号处理技术。波束成形可提升目标客户端的信号强度、覆盖范围和吞吐量。
通过无线共享蜂窝数据连接提供Wi-Fi互联网访问的物理位置或设备。移动热点可以是独立设备,也可以是智能手机的网络共享功能。
每个节点为其他节点中继数据、形成多条冗余路径的网络拓扑。无线网状网络(如Google Wifi、Eero)通过动态绕过盲区和故障点,提供无缝覆盖。
一种通过2.4GHz ISM频段在设备之间交换数据的短距离无线技术。蓝牙低功耗(BLE)将其应用范围扩展到了物联网传感器、可穿戴设备和近场信标。
监控 (20)
应用性能监控(Application Performance Monitoring)。通过跟踪响应时间、错误率和事务追踪等应用级指标来识别性能瓶颈的实践方法。Datadog、New Relic和Sentry等工具提供APM功能。
一个开源的分析和可视化平台,可从Prometheus、InfluxDB和Elasticsearch等时序数据源创建仪表板。广泛用于监控基础设施、应用程序和业务指标。
IP流信息导出(IP Flow Information Export)。基于Cisco NetFlow v9的IETF标准,定义了从路由器和交换机导出流记录的协议。IPFIX是专有流导出协议的厂商中立后继者。
平均故障时间(Mean Time to Failure)。不可修复的系统或组件在首次发生故障之前平均运行的时间。对于可修复的系统,相关指标MTBF(平均故障间隔时间)包含修复时间。
平均修复(恢复)时间(Mean Time to Repair/Recover)。系统发生故障后恢复到完全正常运行状态所需的平均时间。与MTTF和MTBF一起作为关键可靠性指标,用于衡量和改善事件响应的有效性。
最大传输单元(Maximum Transmission Unit)。网络接口在不进行分片的情况下能够传输的最大数据包大小(以字节为单位)。标准以太网MTU为1500字节;巨型帧允许高性能网络使用最大9000字节。
一款开源基础设施监控工具,用于监视主机、服务和网络设备,并在组件发生故障或恢复时发送告警。Nagios是一个基础性的监控平台,拥有庞大的插件生态系统。
Cisco开发的一种协议,用于收集IP网络流量(源/目标IP、端口、协议、字节数)的元数据以供分析。NetFlow数据对于带宽监控、容量规划和安全取证至关重要。
一种网络工具,向目标主机发送ICMP回显请求数据包并测量回复的往返时间(RTT)。这是测试网络可达性和测量延迟最基本的工具。
一款开源系统监控和告警工具包,通过HTTP拉取模型收集时间序列指标。其强大的查询语言(PromQL)和与Grafana的集成使其成为云原生监控的标准。
服务等级协议(Service Level Agreement)。服务提供商与客户之间的正式合同,定义可量化的性能保证,如正常运行时间百分比(例如99.99%)、响应时间以及违约赔偿条款。
当网络设备上的SNMP代理检测到重要事件(如链路中断、CPU使用率过高)时,主动向管理站发送的非请求通知。与SNMP轮询不同,Trap能够提供即时的事件驱动告警。
一种标准协议(RFC 5424),用于将网络设备、服务器和应用程序的日志消息传输到中央日志收集器。Syslog消息包含从紧急(0)到调试(7)的严重性级别。
未能到达目的地的数据包所占的百分比,通常由网络拥塞、硬件故障或无线干扰引起。即使1-2%的丢包率也会明显降低语音和视频质量。
从系统的外部输出理解其内部状态的能力,建立在三个支柱之上:指标(数值测量)、日志(事件记录)和追踪(请求路径)。通过实现根因分析,超越了传统监控的范畴。
一种主动监控方式,通过从分布式地点模拟用户交互(HTTP请求、浏览器事务、API调用)来衡量可用性和性能,在真实用户受到影响之前提前发现问题。
网络上成功传输数据的实际速率,以比特每秒为单位。与理论最大值(带宽)不同,吞吐量反映了考虑延迟、丢包和协议开销后的真实网络性能。
网络链路的最大数据传输速率,通常以每秒比特数(Mbps、Gbps)为单位。带宽表示容量而非实际速度,实际传输速率取决于延迟、拥塞和协议开销。
数据包从源端传输到目的端所需的时间延迟,通常以毫秒(ms)为单位衡量。较低的延迟对于视频通话、游戏和金融交易等实时应用至关重要。
系统或服务处于可运行和可访问状态的时间百分比。通常以"几个九"来表示(如99.99% = "四个九" = 每年约52分钟停机时间)。是互联网服务SLA中的核心指标。
通用 (25)
自治系统号(Autonomous System Number)。由地区互联网注册机构分配给自治系统的唯一标识符(例如Cloudflare的AS13335)。ASN在BGP路由中用于标识互联网上的网络。
一种攻击或错误配置,使网络虚假宣告其并不控制的IP前缀的所有权,导致互联网流量被重新路由经过攻击者的网络。可用于监控、流量拦截或拒绝服务攻击。
隔离区(Demilitarized Zone)。位于组织内部网络和公共互联网之间的网络段,用于托管面向公众的服务(Web服务器、电子邮件),同时将内部网络与外部直接访问隔离开来。
物联网(Internet of Things)。由嵌入了连接功能和软件的物理设备(传感器、摄像头、家电、车辆)组成的网络,通过互联网收集和交换数据。IoT设备通常使用MQTT和CoAP等协议。
使用数据库和网络元数据估算与IP地址关联的地理位置(国家、城市、坐标)的过程。准确度从国家级别(可靠)到城市级别(近似)不等。
互联网服务提供商(Internet Service Provider)。向消费者和企业提供互联网接入、分配公共IP地址并将流量路由到广域互联网的公司。例如Comcast、AT&T和SK宽带。
网络访问控制(Network Access Control)。一种对试图接入网络的设备强制执行策略的安全方法,在授予访问权限之前验证设备的身份、健康状态(防病毒、补丁)和合规性。可与RADIUS和802.1X集成。
网络功能虚拟化(Network Functions Virtualization)。将专用网络硬件设备(防火墙、负载均衡器、路由器)替换为运行在通用服务器上的软件的实践,可降低资本支出并实现快速服务部署。
服务质量(Quality of Service)。一组技术和手段,通过优先处理特定类型的网络流量(语音、视频、关键应用)来保证性能水平。QoS使用流量整形、队列管理和标记等机制。
软件定义网络(Software-Defined Networking)。一种将网络控制平面与数据平面解耦的架构,通过软件控制器实现集中式、可编程的网络管理。SDN提升了大型网络的敏捷性和自动化水平。
虚拟局域网(Virtual Local Area Network)。一种逻辑网络分段技术,利用IEEE 802.1Q标记将设备划分到独立的广播域,与物理位置无关。VLAN可提升网络安全性、性能和可管理性。
一种用于查询域名、IP地址和自治系统注册信息的查询-响应协议。WHOIS记录包含注册人、注册商、名称服务器及到期日期等信息。
多个ISP和网络相互连接以直接交换流量的物理设施,无需通过上游中转提供商。IXP可降低延迟、减少成本并提高冗余性。
一种付费服务,一个网络(客户)向另一个网络(传输服务商)付费,以获得访问整个互联网的能力。与对等互联不同,传输提供完整路由表访问权限,是小型网络连接全球互联网的主要方式。
设备和基础设施同时支持IPv4和IPv6协议的网络配置。这是在不破坏现有连接性的情况下从IPv4迁移到IPv6最常见的过渡策略。
使用VXLAN或GRE等封装协议构建在现有物理(底层)网络之上的虚拟网络。叠加网络在不修改底层基础设施的情况下提供逻辑隔离和灵活性。
用于标识互联网上的网站或服务的人类可读地址(例如example.com)。域名通过注册商注册,并由DNS系统解析为IP地址。
一种经过加固的可公开访问的服务器,作为对内部网络进行管理性SSH或RDP访问的唯一入口点。堡垒机(或跳板机)通过集中化和审计远程访问来减少攻击面。
实现容器之间、容器与主机之间以及与外部网络通信的网络层。Docker桥接网络、Kubernetes CNI和覆盖网络等技术提供了容器连接能力。
两个网络之间的相互协议,在互联点直接免费交换流量(免结算对等互联),绕过第三方传输提供商。对等互联可降低双方的成本和延迟。
承载覆盖网络和虚拟网络的物理网络基础设施(路由器、交换机、线缆、光纤)。底层网络负责实际的数据包转发,而覆盖网络则在其上提供逻辑抽象。
容纳联网计算机系统、存储设备和网络设备,并配备冗余电源、冷却和连接设施的物理场所。AWS、Azure和GCP等云提供商在全球各地区运营数据中心。
将网络划分为更小的隔离区段,以限制安全漏洞的爆炸半径并提升性能的实践。通过VLAN、子网、防火墙或零信任架构中的微分段来实现。
一种分布式计算范式,在数据生成的地方(网络边缘)而非集中式数据中心处理数据。可降低物联网、游戏和实时分析的延迟及带宽消耗。
云计算的一种扩展,将处理、存储和网络服务分布在边缘设备与云之间。雾计算弥合了IoT终端与集中式数据中心之间的差距。