计算机网络基础（三）

IP简介

 

Internet 上的每台主机(Host)都有一个惟一的IP地址。IP协议就是使用这个地址在主机之间传递信息，这是Internet 可以运行的基础。IP地址的长度为32位，分为4段，每段8位，用十进制数字表示，每段数字范围为0～255，段与段之间用句点隔开。例如159.226.1.1。IP地址有两部分组成，一部分为网络地址，另外一部分为主机地址。IP地址分为A、B、C、D、E5类。经常使用的是B和C两类。ip地址就像是咱们的家庭住址同样，若是你要写信给一我的，你就要知道他（她）的地址，这样邮递员才能把信送到，计算机发送信息是就比如是邮递员，它必须知道惟一的“家庭地址”才能不至于把信送错人家。只不过咱们的地址使用文字来表示的，计算机的地址用十进制数字表示。

 

众所周知，在电话通信中，电话用户是靠电话号码来识别的。一样，在网络中为了区别不一样的计算机，也须要给计算机指定一个号码，这个号码就是“IP地址”。

 

什么是IP地址

 

所谓IP地址就是给每一个链接在Internet上的主机分配的一个32bit地址。

 

按照TCP/IP（Transport Control Protocol/Internet Protocol，传输控制协议/Internet协议）协议规定，IP地址用二进制来表示，每一个IP地址长32bit，比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是“00001010000000000000000000000001”，这么长的地址，人们处理起来也太费劲了。为了方便人们的使用，IP地址常常被写成十进制的形式，中间使用符号“.”分开不一样的字节。因而，上面的IP地址能够表示为“10.0.0.1”。IP地址的这种表示法叫作“点分十进制表示法”，这显然比1和0容易记忆得多。

 

有人会觉得，一台计算机只能有一个IP地址，这种观点是错误的。咱们能够指定一台计算机具备多个IP地址，所以在访问互联网时，不要觉得一个IP地址就是一台计算机；另外，经过特定的技术，也可使多台服务器共用一个IP地址，这些服务器在用户看起来就像一台主机似的。

 

将IP地址分红了网络号和主机号两部分，设计者就必须决定每部分包含多少位。网络号的位数直接决定了能够分配的网络数（计算方法2^网络号位数）；主机号的位数则决定了网络中最大的主机数（计算方法2^主机号位数-2）。然而，因为整个互联网所包含的网络规模可能比较大，也可能比较小，设计者最后聪明的选择了一种灵活的方案：将IP地址空间划分红不一样的类别，每一类具备不一样的网络号位数和主机号位数。

 

如何分配IP地址

 

TCP/IP协议须要针对不一样的网络进行不一样的设置，且每一个节点通常须要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，能够经过动态主机配置协议（DHCP），给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。

 

那么，局域网怎么分配IP地址呢？互联网上的IP地址统一由一个叫“IANA”（Internet Assigned Numbers Authority，互联网网络号分配机构）的组织来管理。

 

IP是什么？

 

——IP是当前热门的技术。与此相关联的一批新名词，如IP网络、IP交换、IP电话、IP传真等等，也相继出现。那么，IP是什么呢？

 

——IP是英文Internet Protocol的缩写，意思是“网络之间互连的协议”，也就是为计算机网络相互链接进行通讯而设计的协议。在因特网中，它是能使链接到网上的全部计算机网络实现相互通讯的一套规则，规定了计算机在因特网上进行通讯时应当遵照的规则。任何厂家生产的计算机系统，只要遵照IP协议就能够与因特网互连互通。正是由于有了IP协议，因特网才得以迅速发展成为世界上最大的、开放的计算机通讯网络。所以，IP协议也能够叫作“因特网协议”。

 

——IP是怎样实现网络互连的？各个厂家生产的网络系统和设备，如以太网、分组交换网等，它们相互之间不能互通，不能互通的主要缘由是由于它们所传送数据的基本单元（技术上称之为“帧”）的格式不一样。IP协议其实是一套由软件程序组成的协议软件，它把各类不一样“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特色，使全部各类计算机都能在因特网上实现互通，即具备“开放性”的特色。

 

——那么，“数据报”是什么？它又有什么特色呢？数据报也是分组交换的一种形式，就是把所传送的数据分段打成“包”，再传送出去。可是，与传统的“链接型”分组交换不一样，它属于“无链接型”，是把打成的每一个“包”（分组）都做为一个“独立的报文”传送出去，因此叫作“数据报”。这样，在开始通讯以前就不须要先链接好一条电路，各个数据报不必定都经过同一条路径传输，因此叫作“无链接型”。这一特色很是重要，它大大提升了网络的坚固性和安全性。

 

——每一个数据报都有报头和报文这两个部分，报头中有目的地址等必要内容，使每一个数据报不通过一样的路径都能准确地到达目的地。在目的地从新组合还原成原来发送的数据。这就要IP具备分组打包和集合组装的功能。

 

——在实际传送过程当中，数据报还要能根据所通过网络规定的分组大小来改变数据报的长度，IP数据报的最大长度可达65535个字节。

 

——IP协议中还有一个很是重要的内容，那就是给因特网上的每台计算机和其它设备都规定了一个惟一的地址，叫作“IP地址”。因为有这种惟一的地址，才保证了用户在连网的计算机上操做时，可以高效并且方便地从千千万万台计算机中选出本身所需的对象来。

 

——如今电信网正在与IP网走向融合，以IP为基础的新技术是热门的技术，如用IP网络传送话音的技术（即VoIP）就很热门，其它如IP over ATM、IPover SDH、IP over WDM等等，都是IP技术的研究重点。

IP地址类型

 

最初设计互联网络时，为了便于寻址以及层次化构造网络，每一个IP地址包括两个标识码（ID），即网络ID和主机ID。同一个物理网络上的全部主机都使用同一个网络ID，网络上的一个主机（包括网络上工做站，服务器和路由器等）有一个主机ID与其对应。IP地址根据网络ID的不一样分为5种类型，A类地址、B类地址、C类地址、D类地址和E类地址。

 

IP地址分类

 

1．A类IP地址

 

一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”， 地址范围从0.0.0.1 到126.0.0.0。可用的A类网络有126个，每一个网络能容纳1亿多个主机。

 

2．B类IP地址

 

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个，每一个网络能容纳6万多个主机 。

 

3．C类IP地址

 

一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个，每一个网络能容纳254个主机。

 

 

 

IPv6

IPv6的长分布式结构图

IPv6的地址长度为128b，是IPv4地址长度的4倍。因而IPv4点分十进制格式再也不适用，采用十六进制表示。IPv6有3种表示方法。

1、冒分十六进制表示法
　　格式为X:X:X:X:X:X:X:X，其中每一个X表示地址中的16b，以十六进制表示，例如：
　　ABCD:EF01:2345:6789:ABCD:EF01:2345:6789
　　这种表示法中，每一个X的前导0是能够省略的，例如：
　　2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A

2、0位压缩表示法
　　在某些状况下，一个IPv6地址中问可能包含很长的一段0，能够把连续的一段0压缩为“::”。但为保证地址解析的惟一性，地址中”::”只能出现一次，例如：
　　FF01:0:0:0:0:0:0:1101 → FF01::1101
　　0:0:0:0:0:0:0:1 → ::1
　　0:0:0:0:0:0:0:0 → ::

3、内嵌IPv4地址表示法
　　为了实现IPv4-IPv6互通，IPv4地址会嵌入IPv6地址中，此时地址常表示为：X:X:X:X:X:X:d.d.d.d，前96b采用冒分十六进制表示，而最后32b地址则使用IPv4的点分十进制表示，例如::192.168.0.1与::FFFF:192.168.0.1就是两个典型的例子，注意在前96b中，压缩0位的方法依旧适用[3]  。

 

防火墙

防火墙（Firewall），也称防御墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防御系统，依照特定的规则，容许或是限制传输的数据经过。

 

网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运做在底层的TCP/IP协议堆栈上。咱们能够以枚举的方式，只容许符合特定规则的封包经过，其他的一律禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则一般能够经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

咱们也能以另外一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否认规则”就予以放行。操做系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 HTTP 或是 FTP）。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运做，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙能够拦截进出某应用程序的全部封包，而且封锁其余的封包（一般是直接将封包丢弃）。理论上，这一类的防火墙能够彻底阻绝外部的数据流进到受保护的机器里。

防火墙借由监测全部的封包并找出不符规则的内容，能够防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），因此大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

根据侧重不一样，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

数据库防火墙

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防御系统。基于主动防护机制，实现数据库的访问行为控制、危险操做阻断、可疑行为审计。

数据库防火墙经过SQL协议分析，根据预约义的禁止和许可策略让合法的SQL操做经过，阻断非法违规操做，造成数据库的外围防护圈，实现SQL危险操做的主动预防、实时审计。

数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。