计算机网络名词解释汇总

一、网络体系结构与基础

计算机网络体系结构：指将计算机网络复杂的通信功能划分为若干个层次，每一层通过定义好的接口与相邻层交互，并规定每层的功能、协议及数据格式。它是一种分层设计模型，旨在降低系统复杂度，实现模块化开发。主流模型包括OSI七层模型和TCP/IP四层模型。
协议 (Protocol)：为进行网络中的数据交换而建立的规则、标准或约定。它由三个要素组成：语法（数据与控制信息的结构或格式）、语义（需要发出何种控制信息，完成何种动作以及做出何种响应）、同步（事件实现顺序的详细说明）。
服务 (Service)：指下层通过层间接口向紧邻的上层提供的功能调用。服务只定义了"做什么"，而不涉及"怎么做"（即不涉及协议的实现细节）。服务分为面向连接的服务（如TCP）和无连接的服务（如UDP）。
接口（Interface）：在计算机网络中，接口通常指服务访问点（SAP）的同义词，即上层协议调用下层服务的逻辑入口。但在硬件层面，接口也指网络适配器（网卡）与传输介质的物理连接器（如RJ-45接口）。在协议栈中，接口定义了层与层之间交换数据的规范。。
封装与解封装：封装是指发送方在数据从高层向低层传输的过程中，逐层添加头部（有时还有尾部）控制信息的过程；解封装是指接收方在数据从低层向高层传输的过程中，逐层剥离头部控制信息，还原原始数据的过程。这是网络通信的基本机制。
PDU (协议数据单元) ：对等层之间传送的数据单位，由本层协议控制信息（首部）和上层交付的数据组成。不同层次的PDU名称不同：物理层称为比特，数据链路层称为帧，网络层称为包/分组，传输层称为段（TCP段或UDP数据报）。
冲突域：连接在同一共享介质上的所有节点的集合。在该区域内，任何两个节点同时发送数据都会产生信号冲突。集线器和交换机的所有端口属于同一个冲突域，而交换机每个端口隔离一个冲突域。
广播域：网络中能接收任一设备发出的广播帧的所有设备的集合。路由器可以隔离广播域，而交换机和集线器不能。
服务访问点（Service Access Point）：简称SAP。是同一系统内相邻层实体之间进行通信的逻辑接口。N层的SAP就是N+1层可以访问N层服务的地方。例如，传输层的服务访问点是端口号，网络层的服务访问点是IP地址，数据链路层的服务访问点是MAC地址。。
实体（Entity）：指任何可以发送或接收信息的硬件或软件进程。在分层网络模型中，第N层的活动元素称为第N层实体。例如，应用层实体可以是浏览器或Web服务器进程，传输层实体可以是TCP模块。位于不同机器上、处于同一层次的实体称为对等实体，它们通过协议进行逻辑通信。

二、物理层

奈奎斯特定理：描述了无噪声理想低通信道下的极限数据传输率。定理指出：为了保证信号不失真，采样频率必须大于等于信号最高频率的2倍。在数据传输中，极限码元传输速率Bmax=2W(Baud)，其中W 为信道带宽。若每个码元携带n比特信息，则极限数据率为2Wlog2Vbps。
香农定理：描述了有噪声信道的极限数据传输率（即信道容量）。定理指出：信道的极限信息传输速率C=Wlog2(1+S/N) bps。其中W是信道带宽，S/N是信噪比。该定理表明，只要信息传输速率低于信道极限，通过编码技术就能实现无差错传输；若超过此极限，则无法实现无差错传输。
波特率与比特率：波特率（码元传输速率）指单位时间内信号状态变化的次数，单位为波特（Baud）；比特率（信息传输速率）指单位时间内传输的二进制比特数，单位为bps。两者关系为：比特率=波特率×log2M（M为码元进制数）。只有当采用二进制调制时，两者数值才相等。
电路交换：一种面向连接的通信方式。通信过程分为三个阶段：建立连接（占用资源）、数据传输（独占通路，时延小）、释放连接。其特点是通信期间双方始终独占端到端的物理通路，资源利用率较低，但传输实时性好（如传统电话网络）。
分组交换：一种基于存储转发技术的通信方式。它将长报文划分为较短的、固定长度的分组（Packet），在网络中以分组为单位进行独立传输。每个分组包含首部（控制信息）和数据部分。其优点是线路利用率高、可靠性高、支持多路复用；缺点是存在排队时延和首部开销。
时分复用：将时间划分为若干个帧，每个用户在每个帧中占用固定的时隙。所有用户轮流使用信道，适合传输数字信号。缺点是即使某用户无数据发送，其时隙也会被浪费（统计时分复用解决了这个问题）。
频分复用：将整个传输频带划分为若干个互不重叠的子频带，每个子频带传输一路信号。所有用户在同样的时间内占用不同的带宽资源。常用于模拟信号传输（如ADSL、无线电广播）。
波分复用：光的频分复用。在光纤通信中，利用不同波长的光载波在同一根光纤中同时传输多路信号，极大地提高了光纤的传输容量。
中继器：工作在物理层的网络连接设备。其主要功能是对接收到的微弱信号进行放大、整形和再生，以延长信号的传输距离。它不涉及数据的过滤或寻址，只是简单地转发比特流。
全双工通信：通信双方可以同时发送和接收信息的通信方式。这要求通信双方的设备都具有独立的发送和接收通道（如网线中的两对线）。这种方式效率最高，不需要进行方向切换。
带宽：在数字信道中，指单位时间内通过信道的最高数据率（或吞吐量），单位通常是 bit/s。它代表了网络链路传输数据的"管道宽度"。在网络性能分析中，带宽越大，发送时延越小。
时延：指数据从网络的一端传送到另一端所需要的总时间。它由四部分组成：发送时延（主机/路由器发送数据帧所需时间）、传播时延（电磁波在信道中传播所需时间）、处理时延（路由器检查首部等处理时间）和排队时延（在路由器输入/输出队列等待的时间）。
码元：指用一个固定时长的信号波形（如不同电压电平）来表示的离散数值。它是数字信号的计量单位。一个码元可以携带多个比特的信息（取决于调制技术，如QAM-16一个码元携带4比特）。波特率是指每秒传输码元的个数。
时延带宽积：指链路的传播时延与带宽的乘积。计算公式：时延带宽积=传播时延×带宽。它表示在链路上传输的比特数量，即"正在传输但尚未到达终点"的数据量。常被比喻为管道的体积（带宽是横截面积，时延是长度）。该指标用于衡量网络链路的容量，对于TCP协议窗口大小的设置至关重要。

三、数据链路层

透明传输：指数据链路层对上层交付的数据没有任何限制，就好像链路不存在一样。无论数据中包含什么样的比特组合（例如出现了与"帧定界符"相同的比特串），都能原封不动地传输过去。为了实现透明传输，通常采用字节填充（面向字符的协议）或零比特填充（面向比特的协议，如HDLC）的方法。
MTU (最大传输单元)：数据链路层帧中能够承载的数据部分的最大长度（以太网通常为1500字节）。如果网络层传来的IP数据报超过MTU，需要进行分片处理。
循环冗余校验（CRC, Cyclic Redundancy Check）：一种广泛使用的检错码技术。发送方利用生成多项式对数据进行模2除法运算，得到的余数作为帧检验序列附加在数据后面；接收方进行同样的运算，若余数为0则认为传输无误。CRC具有很强的检错能力，能检测出所有奇数个错误、双比特错误以及长度小于等于校验位长度的突发错误。
停止-等待协议：一种最简单的可靠传输协议。发送方每发送一个数据帧，就停止发送并等待接收方的确认帧。若收到NACK或超时未收到ACK，则重传该帧。其优点是简单；缺点是信道利用率低，因为大部分时间都在等待。
后退N帧协议：一种基于滑动窗口的连续ARQ协议。当接收方检测到某个帧出错时，会丢弃该帧及后续所有已到达的帧，并要求发送方重传从出错帧开始的所有后续帧。它提高了信道利用率，但在误码率较高时会造成大量不必要的重传（Go-Back-N）。
选择重传协议：另一种基于滑动窗口的连续ARQ协议。当接收方检测到某个帧出错时，只要求发送方重传那个出错的帧，而缓存后续正确到达的帧。相比后退N帧协议，它的效率更高，但接收端的缓冲区管理和逻辑更复杂。
CSMA/CD：全称为载波监听多路访问/冲突检测。它是传统有线以太网（802.3标准）的介质访问控制协议。其核心工作原理概括为16字方针："先听后发，边听边发，冲突停止，随机重发"。它用于解决多点接入网络中的冲突问题，要求帧长必须大于最小帧长以保证能检测到冲突。
CSMA/CA：全称为载波监听多路访问/冲突避免（Carrier Sense Multiple Access with Collision Avoidance）。它是无线局域网（802.11标准）中使用的介质访问控制协议。核心原理：由于无线信道存在"隐蔽站"问题且无法像有线网络那样在发送时准确检测冲突，因此该协议采用"先听后说"和"主动避免"的策略。它通过能量检测判断信道是否空闲，若空闲则等待一个随机退避时间后再发送；同时利用RTS/CTS（请求发送/允许发送）机制预约信道，并利用ACK（确认帧）来确认数据是否正确到达，从而尽量避免数据碰撞。
媒体接入控制地址：也称为物理地址或硬件地址，是固化在网卡ROM中的唯一标识符，长度为48位（6字节）。它工作在数据链路层，用于在局域网内部标识不同的设备。MAC地址具有全球唯一性，但在某些情况下可以通过软件修改（MAC欺骗）。
虚拟局域网（VLAN）：一种将局域网内的设备从逻辑上划分成一个个网段的技术。VLAN不受物理位置的限制，可以根据功能、部门等因素进行划分。其主要作用是隔离广播域，提高网络的安全性和管理灵活性。
高级数据链路控制：ISO制定的面向比特的同步数据链路层协议。它使用零比特填充法实现透明传输，定义了三种类型的站（主站、从站、复合站）和三种数据传输方式。HDLC广泛应用于广域网连接中。
点对点协议（PPP，Point-to-Point Protocol）：用户计算机通过拨号或专线接入ISP时使用最广泛的数据链路层协议。PPP支持多种网络层协议，具备差错检测、身份验证（PAP/CHAP）等功能，但不提供流量控制和序号机制。
网桥：工作在数据链路层的网络互联设备。它根据MAC帧的目的地址对收到的帧进行过滤和转发。网桥可以隔离冲突域，扩大网络的物理范围，但不能隔离广播域。
差错检测（Error Detection）：指在数据传输过程中，接收方检测数据是否发生比特差错（0变1或1变0）的技术。由于物理链路存在噪声，差错不可避免，但可以通过增加冗余位来检测。计算机网络中广泛使用循环冗余校验（CRC）技术，它能以极低的漏检率检测出绝大多数错误，若检测到错误通常直接丢弃帧。
封装成帧（Framing）：是数据链路层的基本问题之一。指在一段数据的前后分别添加首部和尾部，从而构成一个完整的帧。首部和尾部中包含重要的控制信息，其中最重要的功能是进行帧定界（确定帧的界限），使接收端能从比特流中识别出一个个独立的数据帧。。
零比特填充法（Zero-bit Insertion）：一种在面向比特的协议（如HDLC）中实现透明传输的方法。为了避免数据载荷中碰巧出现与"帧标志字段"（如01111110）相同的比特组合，发送端在遇到连续5个"1"时自动插入一个"0"；接收端在收到连续5个"1"后自动删除后面的"0"。这样保证了数据中不会出现标志字段，从而实现透明传输。
交换机：交换机通常指二层交换机，是工作在OSI模型第二层（数据链路层）的网络设备。它根据数据帧中的MAC地址进行数据的过滤和转发。相比于集线器，交换机的每个端口都是独立的冲突域，能够提供独享带宽，从而显著提高网络的传输效率和性能。

四、网络层

IP地址：IP地址是因特网中每台主机的逻辑标识符，用于在网络层唯一标识一台设备。IPv4地址长度为32位，通常采用点分十进制表示法。IP地址由网络号和主机号两部分组成，网络号标识主机所连接到的具体网络，主机号标识该网络中的具体主机。
子网掩码：一种用来区分IP地址中网络位和主机位的32位二进制数。它不能单独存在，必须与IP地址结合使用。在子网掩码中，对应网络号的位全为1，对应主机号的位全为0。通过将IP地址与子网掩码进行按位与运算，可以得出该IP所在的网络地址（子网地址）。
CIDR：无分类域间路由选择，是为了消除传统的A、B、C类地址划分以及子网划分的界限而提出的技术。它采用"网络前缀"代替网络号，并使用斜线记法（如 /24）来表示网络前缀的长度。CIDR将网络前缀相同的连续IP地址块聚合为一个超网，有效地减少了路由表条目，减缓了IPv4地址耗尽的速度。
NAT：网络地址转换，是一种在IP数据包通过路由器或防火墙时重写源IP地址或目的IP地址的技术。它主要用于解决IPv4地址短缺问题，允许内部私有网络使用专用IP地址，通过NAT路由器转换为全球唯一的公网IP地址访问互联网。最常见的形式是NAPT（网络地址端口转换），利用端口号区分不同的内部主机。
ARP：地址解析协议，用于解决同一个局域网上的主机或路由器的IP地址到MAC地址的映射问题。当主机需要发送数据时，若只知道目标IP地址，会广播发送ARP请求，目标主机收到后单播回复其MAC地址。ARP缓存表会将IP-MAC映射关系暂时保存，以减少广播流量。
ICMP：网际控制报文协议，是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息（如网络通不通、主机是否可达、路由是否可用等）。虽然ICMP报文封装在IP数据报中，但它属于网络层协议。常见的应用包括Ping（测试连通性）和Traceroute（跟踪路由）。
路由聚合：也称为超网。指将一个大的IP地址块划分为多个小的子网，或者将多个小的子网汇聚成一个大的网络前缀。在路由表中，通过路由聚合可以将多条路由条目合并为一条，从而减小路由表的规模，提高路由查找效率。
距离向量路由算法：一种动态路由算法（如RIP协议使用）。每个路由器维护一张距离向量表，记录到各个目的网络的距离（跳数）和下一跳。路由器定期与相邻路由器交换路由信息，根据收到的信息更新自己的路由表。其特点是收敛慢，容易产生路由环路（通过水平分割、毒性逆转等方法解决）。
链路状态路由算法：一种动态路由算法（如OSPF协议使用）。每个路由器通过洪泛法向全网发送自己的链路状态信息（即与自己直连的邻居及开销）。所有路由器收集这些信息构建完整的网络拓扑图，然后利用Dijkstra最短路径算法计算到各目的地的最佳路径。其特点是收敛快，无路由环路。
RIP（Routing Information Protocol）：路由信息协议。是一种基于距离矢量算法的内部网关协议（IGP）。它使用跳数作为衡量路径开销的唯一度量标准，规定最大跳数为15（16跳视为不可达）。RIP通过周期性（默认30秒）地向相邻路由器广播整个路由表来交换路由信息。其优点是配置简单，缺点是收敛速度慢且容易产生路由环路（通过水平分割等机制防止）。
OSPF（Open Shortest Path First）：开放最短路径优先。是一种基于链路状态算法的内部网关协议（IGP）。它使用Dijkstra最短路径算法计算到达各目的地的最佳路径。OSPF支持区域划分（Area），能有效减少路由更新流量；支持VLSM和CIDR；且收敛速度快，无路由自环。它直接封装在IP数据报中传输（协议号89）。
分组转发（Packet Forwarding）：是指路由器根据收到的IP数据报首部中的目的IP地址，查找本地的转发表，从而决定将该数据报从哪个接口发送出去的物理过程。它是路由器最主要的功能。转发方式分为直接转发（目的主机在同一网段）和间接转发（需经过下一跳路由器）。。
自治系统（AS, Autonomous System）：简称AS。是指在互联网中，由同一个技术管理机构管理、使用统一选路策略的一组路由器的集合。每个AS必须分配一个全球唯一的编号（ASN），以便在与其他AS进行通信时被识别。AS内部的 routing 称为域内路由（如OSPF），AS之间的 routing 称为域间路由（如BGP）。
BGP（Border Gateway Protocol）：边界网关协议。是用于不同自治系统（AS）之间进行路由选择的外部网关协议（EGP），也是互联网事实上的标准域间路由协议。BGP基于路径矢量算法，旨在寻找一条能够到达目的网络且比较好的路由，而不是仅仅追求最短路径。它运行在TCP之上（端口179），具有极高的可靠性和丰富的路由策略控制能力。。
最长前缀匹配（Longest Prefix Match）：是路由器在进行分组转发时使用的核心规则。当路由表中存在多个可匹配的目的网络条目时（例如一个具体的子网和一个聚合的超网），路由器会选择网络前缀最长（即掩码最长、最具体）的那一项作为转发路径。这确保了数据包能被精确地交付到最接近目标的网络中。
路由器：路由器是工作在OSI模型第三层（网络层）的网络互联设备。它的主要功能是连接不同的网络（如局域网与广域网），根据路由表为数据包选择最佳路径进行转发。路由器具有隔离广播域的功能，能够处理复杂的网络拓扑结构，是互联网的核心设备。
TTL：生存时间。是IP数据报首部中的一个8位字段。它的初衷是按秒计算数据报在网络中的生存时间，但实际上现在指的是数据报经过路由器的最大跳数。每经过一个路由器，TTL值减1；当TTL值为0时，路由器丢弃该数据报并向源主机发送ICMP超时报文。其主要作用是防止无法交付的数据报在网络中无限循环。

五、传输层

TCP：传输控制协议，是传输层最重要的面向连接的协议。它提供可靠的、基于字节流的端到端数据传输服务。TCP通过三次握手建立连接，通过四次挥手释放连接；利用序号、确认应答、超时重传、流量控制和拥塞控制等机制来保证数据的可靠性和有序性。
UDP：用户数据报协议，是传输层的一种无连接的协议。它只提供不可靠的、尽最大努力交付的数据报传输服务。UDP不保证数据包的顺序，也不进行流量控制或拥塞控制。其优点是首部开销小、传输效率高、实时性好，适用于视频通话、DNS查询等对延迟敏感的应用。
三次握手：TCP建立连接的过程。第一次：客户端发送SYN报文，请求建立连接；第二次：服务器收到后回复SYN+ACK报文，表示同意连接；第三次：客户端收到后回复ACK报文，确认连接建立。三次握手的目的是同步双方的序列号，并防止已失效的连接请求突然传到服务器引起错误。
四次挥手：TCP释放连接的过程。第一次：主动关闭方发送FIN报文，表示数据发送完毕；第二次：被动关闭方回复ACK报文，确认收到关闭请求（此时连接处于半关闭状态）；第三次：被动关闭方数据发送完毕后发送FIN报文；第四次：主动关闭方回复ACK报文，经过2MSL等待后彻底关闭连接。
流量控制：一种让发送方的发送速率不要太快，以适应接收方处理能力和缓存大小的机制。TCP使用滑动窗口机制来实现流量控制。接收方在ACK报文中通告自己的接收窗口大小（rwnd），发送方根据该值调整发送窗口，从而避免接收方缓冲区溢出导致丢包。
拥塞控制：一种防止过多的数据注入到网络中，使网络中的路由器或链路不致过载的机制。TCP主要采用四种算法进行拥塞控制：慢开始、拥塞避免、快重传和快恢复。它关注的是整个网络的负载情况，而非单条连接的接收方能力。
端口（port）：传输层的服务访问点，用于标识主机中运行的应用进程。端口号长度为16位，范围0~65535。其中0~1023为熟知端口（如HTTP用80，FTP用21），1024~49151为登记端口，49152~65535为短暂端口（客户端临时使用）。
可靠传输：指发送方发送的数据能够准确、完整、有序地到达接收方。TCP通过序列号（解决乱序）、确认应答（解决丢包）、超时重传（解决丢包）以及校验和（解决差错）等机制来实现可靠传输。
滑动窗口：一种用于实现流量控制和可靠传输的机制。发送方和接收方分别维护一个发送窗口和接收窗口。窗口内的数据允许连续发送而无需等待确认，这提高了信道利用率；同时窗口大小随接收方处理能力动态调整，实现了流量控制。
复用与分用：复用指发送方不同的应用进程都可以使用同一个传输层协议（如TCP或UDP）传送数据；分用指接收方的传输层在收到数据后，根据首部中的目的端口号，将数据正确交付给对应的应用进程。
最大报文段长度：TCP报文段中数据字段的最大长度。在建立连接时，双方通常会协商MSS值，通常设置为不超过MTU减去IP首部和TCP首部后的长度，以避免分片，提高传输效率。

六、应用层

DNS：域名系统，是因特网的一项核心服务。它是一个分布式、层次化的数据库，采用客户/服务器模式工作。其主要功能是进行域名解析，即将人类易于记忆的域名（如http://www.example.com）转换为机器能够识别的IP地址（如192.0.2.1），从而实现对网络资源的访问。DNS通常使用UDP端口53。
HTTP：超文本传输协议，是万维网的数据传输基础协议。它基于请求/响应模式，运行在TCP连接之上。HTTP协议具有无状态（服务器不记忆之前的请求）、无连接（早期版本，现多用持久连接）的特点。它主要用于规定客户端浏览器与Web服务器之间如何传输超文本数据。
FTP：文件传输协议，用于在网络上进行文件的上传和下载。它基于客户/服务器模式，使用TCP进行可靠传输。FTP的一个显著特点是使用两个并行的TCP连接：一个是控制连接（端口21），用于发送指令；另一个是数据连接（端口20），用于实际传输文件数据。
SMTP：简单邮件传输协议，用于电子邮件的发送。它工作在TCP端口25上，是一种推（Push）协议。SMTP主要用于将邮件从发送方用户代理推送到发送方邮件服务器，以及在邮件服务器之间进行传输。它只能传送ASCII文本，扩展协议MIME支持了多媒体邮件的传输。
DHCP：动态主机配置协议，基于UDP的应用层协议（但在网络层发挥作用）。它采用客户/服务器模式，允许网络设备自动获取IP地址、子网掩码、默认网关和DNS服务器地址等配置信息。它实现了IP地址的动态管理和复用，简化了网络管理。
C/S架构：客户/服务器架构，是网络应用最常见的组织方式。在这种架构中，任务被分配到两类主机上：服务器是提供服务的一方，通常性能强大且始终在线；客户机是请求服务的一方，通常是用户的终端设备。这种架构集中管理，但服务器可能成为瓶颈。
P2P架构：对等网络架构，其核心思想是去中心化。在这种架构中，没有固定的服务器，所有节点（Peer）地位平等，既是客户机也是服务器。每个节点在消费资源的同时也为其他节点提供资源（如BitTorrent下载）。P2P具有高扩展性和低成本的优点。
Cookie：一种由Web服务器发送给浏览器并保存在浏览器本地的少量数据。当浏览器再次访问该服务器时，会将Cookie带回。Cookie主要用于弥补HTTP协议的无状态特性，实现会话跟踪、用户身份识别和个性化服务。
CDN：内容分发网络，旨在解决互联网拥塞和"最后一公里"瓶颈。它通过在现有网络中增加一层新的流量分配，将网站的内容发布到最接近用户的边缘服务器。当用户访问网站时，通过DNS重定向等技术，让用户从距离最近的节点获取内容，从而提高访问速度和用户体验。
Socket：套接字，是应用层与传输层之间的接口。它是支持TCP/IP网络通信的基本操作单元。一个Socket由IP地址和端口号唯一标识。应用程序通过Socket来发送和接收数据，就像通过插座插拔电器一样。
POP3：邮局协议版本3，用于电子邮件的读取。它工作在TCP端口110上，是一种拉（Pull）协议。用户使用用户代理（如Outlook）通过POP3从邮件服务器上下载邮件。POP3通常是无状态的，邮件下载到本地后，服务器上的副本通常会被删除。
WWW：万维网，是一个大规模的、联机式的信息储藏所。它不是一个具体的物理网络，而是运行在因特网上的一个分布式超媒体系统。WWW使用URL来定位资源，使用HTTP来传输数据，使用HTML来描述页面内容。
URL (统一资源定位符)：用来标识万维网上的各种文档；由协议、主机名、端口号、路径等部分组成（例如 http://www.example.com/index.html）。
SNMP (简单网络管理协议)：用于网络设备的管理和监控；由管理站和代理组成；使用UDP端口。
Telnet (远程终端协议)：标准的Internet远程登录协议；允许用户在本地计算机上操作远程主机；使用NVT（网络虚拟终端）格式。

七、网络安全

防火墙：防火墙是一种位于内部可信网络与外部不可信网络（如互联网）之间的网络安全系统。它由软件和硬件组合而成，依据预先设定的安全策略，对进出网络的所有流量进行监控、检查和过滤。其主要作用是防止未经授权的非法访问进入内部网络，同时允许合法的通信通过，是网络安全的第一道防线。
VPN：虚拟专用网，是指利用公共网络（如互联网）作为传输媒介，通过隧道技术、加密技术和认证机制，在公共网络上构建一个临时的、安全的、专用的逻辑网络。用户通过VPN进行通信时，感觉像是在使用一条专用的物理线路。其主要作用是实现低成本的远程安全访问或站点互联。
数字签名：基于非对称加密技术的一种用于鉴别数字信息真实性和不可抵赖性的技术。其基本原理是发送方使用自己的私钥对消息摘要进行加密形成签名，接收方使用发送方的公钥进行验证。它能够保证信息的完整性、认证发送方身份以及防止发送方事后抵赖。
入侵检测系统(IDS)：对网络或系统的运行状态进行实时监视的安全设备或软件。它通过分析网络流量或系统日志，发现各种攻击企图、违规行为或异常现象，并及时向管理员报警或主动采取措施。IDS通常被视为防火墙之后的第二道安全闸门，属于旁路监听设备，不直接阻断流量。
对称加密：指在加密和解密过程中使用同一个密钥的加密体制。其优点是算法公开、计算量小、加密速度快、效率高，适合大数据量的加密。缺点是密钥分发和管理困难，且安全性完全依赖于密钥的保密性。常见的算法有DES和AES。
非对称加密：也称为公钥加密，是指在加密和解密过程中使用一对密钥，即公钥和私钥的加密体制。公钥对外公开，私钥由用户自己秘密保存；用公钥加密的数据只能用私钥解密。其优点解决了密钥分发问题，便于实现数字签名，但计算复杂度高，速度较慢。常见的算法有RSA。
CIA三要素：信息安全保障体系的三个基本目标：机密性确保信息不泄露给未授权的用户；完整性确保信息在存储或传输过程中未经授权不被篡改；可用性确保授权用户在需要时能够正常访问和使用信息资源。
DDoS攻击：分布式拒绝服务攻击，是一种利用大量分布在互联网上的傀儡机（僵尸网络），同时向被攻击目标发送海量请求的攻击方式。其目的是耗尽目标系统的网络带宽、CPU或内存等资源，导致目标系统无法响应合法用户的请求，从而造成服务中断。
公钥基础设施（PKI）：利用公钥技术建立并提供通用安全服务的网络基础设施。它主要由认证中心、数字证书库、密钥备份及恢复系统等部分组成。PKI的主要功能是创建、管理、分发、使用、存储和撤销数字证书，为电子商务和网络通信提供身份认证和数据加密服务。
被动攻击与主动攻击：被动攻击指攻击者通过窃听、流量分析等手段获取信息，但不修改数据流（如嗅探），难以检测但可以预防（加密）；主动攻击指攻击者对数据流进行篡改、伪造、中断或重放（如DoS、中间人攻击），难以预防但可以检测。
消息认证码（MAC , Message Authentication Code）：一种用于确认消息完整性和真实性的技术。它通常基于哈希函数和通信双方共享的秘密密钥生成一个短小的数据块附加在消息后。接收方收到消息后重新计算MAC并与收到的MAC比对，以此判断消息是否被篡改。