- 📢博客主页:盾山狂热粉的博客_CSDN博客-C、C++语言,机器视觉领域博主
- 📢努力努力再努力嗷~~~✨
一、IP地址
(一)什么是IP地址?
连入互联网的计算机,每台计算机或者路由器都有一个由授权机构分配的号码,IP地址代表这一台计算机在网络中的地址
在同一个网络中IP地址是唯一的
IP(IPV4)地址是一个32位的二进制数的逻辑地址,将32位二进制数划分成4个字节,每个字节间以“.”区分。例如,IP地址11000000 10101000 11001000 10000000,用十进制表示就是192.168.200.128,这就是”点分十进制表示法“
IP地址 = 网络号 + 主机号
网络号:标识一个逻辑网络
主机号:标识网络中的一台主机
网络号相同的主机可以直接相互访问,网络号不同的主机需通过路由器才能相互访问
(二)IPV4的分类(需要做到记住对应的网络号与主机号以及对应位数)
-
TCP/IP协议规定,根据网络规模的大小将IP地址分为5类(A、B、C、D、E)
-
目前大量使用的IP地址仅是A、B和C类3种
1、A类IP地址
- 第一个字节表示网络号:0xxxxxxx,可以表示的网络号数量 = 128个
- 全0的地址用来表示整个网络,是网络地址,表示整个网络中所有的主机;全1的地址用于广播,是广播地址。这样可使用的网络号范围是1~126
- 后三个字节表示主机号:-2个 ,大约有1600万个主机号
- 常用于大型规模的网络
2、B类IP地址
前两个字节用做网络号,后两个字节用做主机号,且最高位为10
最大网络数为-2=16382,范围是128.1~191.254
可以容纳的主机数为-2,大约有6万多台主机
B类IP地址常用于中等规模的网络
3、C类IP地址
前3个字节用作网络号,最后一个字节用作主机号,且最高位为110
最大的网络数位-2,大约有200多万,范围是:191.0.1.0~223.255.254
可以容纳的主机数为-2,等于254台主机
C类IP地址通常用于小型网络
二、子网划分
(一)子网掩码
考虑到仅靠网络号不够用或因为单位限制使用浪费的情况,提出子网字段
把一个大网络划分为多个小网络,我们把划分出来的小网络称为此网络的“子网”,要分辨IP地址是属于哪个子网的那就得依靠“子网掩码”了
-
子网掩码由一串‘1’和一串‘0’组成,‘1’表示网络号,‘0’表示主机号
-
1’是包含了16位网络号和新划分的4位子网号,也就是在B类地址16位网络号的基础上,又从主机号中划出了4位作为子网号,和网络号一起组成了新的网络号(对于需要使用的主机数量,推算出对应的位数,剩余的主机号可以作为子网划分)
-
全0、全1的主机号地址一般不使用
(二)为什么要进行子网划分?
-
由于计算机和网络的普及速度过快,连接上网络的主机数量越来越多,前期IP地址设计的不合理,造成了IP地址的浪费,利用率较低
-
子网可以按照不同单位的不同需求来自由的划分,使得单位对IP地址的管理和对网络的建设变得更加的方便,能够借助防火墙限制或控制外网访问本单位的内网,屏蔽许多有不良企图的网络访问信号
(三)子网划分的方法
- 确定需要划分的子网个数以及子网掩码
- 确定每个子网的子网号
- 根据子网号确定每个子网可使用的IP地址的范围及个数
- 划分子网后IP地址的组成为:网络号 + 子网号 + 主机号
子网划分是属于单位内部的事,本单位以外是看不见这样的划分的。从外部看,这个单位只有一个网络号
外面的主机需要访问内部的主机,只有当外面的分组进入到本单位的网络范围的时候,再通过本单位的路由器根据子网号进行路由选择,最后才能找到并访问目的主机
📑例:某一小型公司申请了一个C类IP地址,其网络号为192.168.1.0,公司有五个部门,要求每个部门都要有自己的网络,并使每个部门能使用的IP地址的数量尽可能的多,请问此网络如何划分最好?
🗣️计算得到3个字节的空间为1
-
子网划分后,如何判断两个IP地址是否在一个子网中呢?
将两个IP地址分别和子网掩码做二进制的“与”运算。如果得到的结果相同,则属于同一个子网,结果不同则不属于同一个子网
例如:129.47.16.254、129.47.17.01、129.47.31.454、129.47.33.01,这四个B类IP地址如果在默认子网掩码的情况下是属于同一个子网的,但如果划分子网以后,子网掩码为255.255.240.0,则129.47.16.254和129.47.17.01是属于同一个子网的,另外两个IP地址是属于另外一个子网的(划分四个,则算出2个字节空间为1)
三、域名地址
(一)域名概念——网上的服务器的名字
- 百度的域名为www.baidu.com,百度的IP地址为14.215.177.39(112.80.248.76)
- 当然,由于在互联网中真正区分主机的还是IP地址,所以当使用者输入域名后,浏览器必须先到一台有包含域名和IP地址相互对应关系数据库的主机上去查询这台计算机的IP地址,这台被查询的主机就是域名服务器(Domain Name server,DNS)
(二)域名的结构
主机的主机名 = 所属各级域的域名 + 分配给该主机的名称。书写的时候按照由小到大的顺序,顶级域名放在最右面,分配给的主机名称放在最左面,各级名字之间用‘.’隔开。
在域名系统中,常见的顶级域名是以组织模式划分的。例如:www.baidu.com这个域名,它的顶级域名为com,可以推论出它是一家公司的网站地址
除了组织模式顶级域名外,其他的顶级域名对应于地理模式。例如:www.chsi.com.cn这个域名,因为它的顶级域名为cn,所以可以推出它是中国的网站地址。
1、常见的顶级域名
2、互联网域名结构
- 每层级域名都有对应的管理机构,层层管理
3、域名地址的寻址过程
- 举个例子:假如一个国外用户需要访问一台域名为host.edu.cn的中国主机,其大概过程如下图所示:
四、网路安全---信息系统安全属性及策略手段
- 保密性:最小授权原则、防暴露、信息加密、物理保密
- 完整性:安全协议、校验码、密码校验、数字签名、公证
- 可用性:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
- 不可抵赖性:数字签名
五、加密技术
(一)概念
- 加密技术是常用的安全保密手段
- 数据加密技术的关键:加密/解密算法、密钥管理
- 数据加密的基本过程:对原来的明文的文件或数据按某种加密算法进行处理,使其成为不可读的一段代码,通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容,通过这样的途径使数据在传输过程中避免被窃取
- 数据加密和数据解密:加密和解密是一对逆过程
(二)密码体制
-
在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络信息的通信安全
-
密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种
1、对称加密技术
-
双方约定一个加密密钥,加密和解密都用同一个密钥进行
-
缺点:加密强度不高,密钥分发困难(密码容易流露出去)
-
常见的对称加密算法
DES:替换(密码对应替换,一个密码本)+移位,56位密钥,64位数据块,速度快,密钥产生容易
3DES(三重DES):两个56位的密钥K1、K2
加密:K1加密→K2解密→K1加密(K2解密其实也是加密)
解密:K1解密→K2加密→K1解密
AES:高级加密标准Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,要求至少与3DES一样安全
RC-5:RSA数据安全公司的很多产品都使用了RC-5
IDEA算法:128位密钥,64位数据块,比DES的加密性更好,对计算机功能要求相对低,PGP
2、非对称加密技术
- 约定两个密钥,一个公钥,一个私钥,使用公钥加密,使用私钥解密
-
甲方(公、私)和乙方(公、私),甲方要以乙方的公钥来发送给乙方,乙方用私钥解密
-
缺点:由于加密位数增多,加密速度慢,效率太低,不适用于内容庞大的数据加密
-
常见的非对称加密算法
RSA:512位(或1024位)密钥,计算量极大,难以破解
Elgamal:其基础是Diffie-Hellman密钥交换算法
ECC:椭圆曲线算法
其它非对称算法包括:背包算法、Rabin、D-H
3、什么情况用对称加密技术,什么情况用非对称加密技术呢?
对称加密技术和非对称加密技术是互补的
一般用对称加密技术发送数据,而用非对称加密技术发送密钥
六、防火墙技术(防外不防内)
(一)防火墙技术的分类
(二)防火墙技术的发展
- 防火墙技术经历了包过滤、应用代理网关和状态检测3个发展阶段
1、包过滤型防火墙
- 定义:通过检查模块,防火墙能够拦截和检查所有出站和进站的数据,它首先打开包,取出包头,根据包头的信息确定此包是否符合包过滤规则,并进行记录。对于不符合规则的包,进行警报并丢弃
- 优点:每个IP包的字段都被检查,包过滤防火墙是两个网络之间访问的唯一通道
- 缺点:不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁
2、应用代理网关防火墙
- 应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网的用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
- 优点:可以检查应用层、传输层的协议特征,对数据包的检测能力比较强
- 缺点:难于配置且处理速度非常慢,不能支持大规模的并发连接,对速度要求高的行业不能使用这类防火墙,不能很好的支持新应用
3、状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了十倍
(三)典型防火墙的体系结构
-
一个防火墙系统通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器,它能够拦截和检查所有出站和进站的数据。代理服务器防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点再与期望的服务器进行实际连接的方法,内部与外部网络之间不存在直接连接,因此,及时防火墙发生了故障,外部网络也无法获得与被保护网络的连接。
-
典型防火墙的体系结构包括过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等类型。
⭕被屏蔽子网
被屏蔽子网防火墙系统由两个包过滤路由器和一个应用网关(堡垒主机)组成。包过滤路由器分别位于周边网与内部网之间,而应用网关居于两个包过滤路由器的中间,形成了一个“非军事区”(DMZ),从而建立一个最安全的防火墙系统。
对于进来的信息,外部路由器用于防范通常的外部攻击,并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能由信息服务器)。内部路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。对于去往Internet的数据包,内部路由器管理内部网络到DMZ网络的访问,它允许内部系统只访问堡垒主机。外部路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机去往Internet的数据包)
被屏蔽子网防火墙系统的优势
①入侵者必须突破3个不同的设备(外部路由器、堡垒主机、内部路由器)才能侵袭内部网络
②由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放
③由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet
④包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要
⑤内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量
⑥由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换)软件可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网
📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!