計算機網絡基礎（三）

IP簡介

 

Internet 上的每臺主機(Host)都有一個惟一的IP地址。IP協議就是使用這個地址在主機之間傳遞信息，這是Internet 可以運行的基礎。IP地址的長度爲32位，分爲4段，每段8位，用十進制數字表示，每段數字範圍爲0～255，段與段之間用句點隔開。例如159.226.1.1。IP地址有兩部分組成，一部分爲網絡地址，另外一部分爲主機地址。IP地址分爲A、B、C、D、E5類。經常使用的是B和C兩類。ip地址就像是咱們的家庭住址同樣，若是你要寫信給一我的，你就要知道他（她）的地址，這樣郵遞員才能把信送到，計算機發送信息是就比如是郵遞員，它必須知道惟一的「家庭地址」才能不至於把信送錯人家。只不過咱們的地址使用文字來表示的，計算機的地址用十進制數字表示。

 

衆所周知，在電話通信中，電話用戶是靠電話號碼來識別的。一樣，在網絡中爲了區別不一樣的計算機，也須要給計算機指定一個號碼，這個號碼就是「IP地址」。

 

什麼是IP地址

 

所謂IP地址就是給每一個鏈接在Internet上的主機分配的一個32bit地址。

 

按照TCP/IP（Transport Control Protocol/Internet Protocol，傳輸控制協議/Internet協議）協議規定，IP地址用二進制來表示，每一個IP地址長32bit，比特換算成字節，就是4個字節。例如一個採用二進制形式的IP地址是「00001010000000000000000000000001」，這麼長的地址，人們處理起來也太費勁了。爲了方便人們的使用，IP地址常常被寫成十進制的形式，中間使用符號「.」分開不一樣的字節。因而，上面的IP地址能夠表示爲「10.0.0.1」。IP地址的這種表示法叫作「點分十進制表示法」，這顯然比1和0容易記憶得多。

 

有人會覺得，一臺計算機只能有一個IP地址，這種觀點是錯誤的。咱們能夠指定一臺計算機具備多個IP地址，所以在訪問互聯網時，不要覺得一個IP地址就是一臺計算機；另外，經過特定的技術，也可使多臺服務器共用一個IP地址，這些服務器在用戶看起來就像一臺主機似的。

 

將IP地址分紅了網絡號和主機號兩部分，設計者就必須決定每部分包含多少位。網絡號的位數直接決定了能夠分配的網絡數（計算方法2^網絡號位數）；主機號的位數則決定了網絡中最大的主機數（計算方法2^主機號位數-2）。然而，因爲整個互聯網所包含的網絡規模可能比較大，也可能比較小，設計者最後聰明的選擇了一種靈活的方案：將IP地址空間劃分紅不一樣的類別，每一類具備不一樣的網絡號位數和主機號位數。

 

如何分配IP地址

 

TCP/IP協議須要針對不一樣的網絡進行不一樣的設置，且每一個節點通常須要一個「IP地址」、一個「子網掩碼」、一個「默認網關」。不過，能夠經過動態主機配置協議（DHCP），給客戶端自動分配一個IP地址，避免了出錯，也簡化了TCP/IP協議的設置。

 

那麼，局域網怎麼分配IP地址呢？互聯網上的IP地址統一由一個叫「IANA」（Internet Assigned Numbers Authority，互聯網網絡號分配機構）的組織來管理。

 

IP是什麼？

 

——IP是當前熱門的技術。與此相關聯的一批新名詞，如IP網絡、IP交換、IP電話、IP傳真等等，也相繼出現。那麼，IP是什麼呢？

 

——IP是英文Internet Protocol的縮寫，意思是「網絡之間互連的協議」，也就是爲計算機網絡相互鏈接進行通訊而設計的協議。在因特網中，它是能使鏈接到網上的全部計算機網絡實現相互通訊的一套規則，規定了計算機在因特網上進行通訊時應當遵照的規則。任何廠家生產的計算機系統，只要遵照IP協議就能夠與因特網互連互通。正是由於有了IP協議，因特網才得以迅速發展成爲世界上最大的、開放的計算機通訊網絡。所以，IP協議也能夠叫作「因特網協議」。

 

——IP是怎樣實現網絡互連的？各個廠家生產的網絡系統和設備，如以太網、分組交換網等，它們相互之間不能互通，不能互通的主要緣由是由於它們所傳送數據的基本單元（技術上稱之爲「幀」）的格式不一樣。IP協議其實是一套由軟件程序組成的協議軟件，它把各類不一樣「幀」統一轉換成「IP數據報」格式，這種轉換是因特網的一個最重要的特色，使全部各類計算機都能在因特網上實現互通，即具備「開放性」的特色。

 

——那麼，「數據報」是什麼？它又有什麼特色呢？數據報也是分組交換的一種形式，就是把所傳送的數據分段打成「包」，再傳送出去。可是，與傳統的「鏈接型」分組交換不一樣，它屬於「無鏈接型」，是把打成的每一個「包」（分組）都做爲一個「獨立的報文」傳送出去，因此叫作「數據報」。這樣，在開始通訊以前就不須要先鏈接好一條電路，各個數據報不必定都經過同一條路徑傳輸，因此叫作「無鏈接型」。這一特色很是重要，它大大提升了網絡的堅固性和安全性。

 

——每一個數據報都有報頭和報文這兩個部分，報頭中有目的地址等必要內容，使每一個數據報不通過一樣的路徑都能準確地到達目的地。在目的地從新組合還原成原來發送的數據。這就要IP具備分組打包和集合組裝的功能。

 

——在實際傳送過程當中，數據報還要能根據所通過網絡規定的分組大小來改變數據報的長度，IP數據報的最大長度可達65535個字節。

 

——IP協議中還有一個很是重要的內容，那就是給因特網上的每臺計算機和其它設備都規定了一個惟一的地址，叫作「IP地址」。因爲有這種惟一的地址，才保證了用戶在連網的計算機上操做時，可以高效並且方便地從千千萬萬臺計算機中選出本身所需的對象來。

 

——如今電信網正在與IP網走向融合，以IP爲基礎的新技術是熱門的技術，如用IP網絡傳送話音的技術（即VoIP）就很熱門，其它如IP over ATM、IPover SDH、IP over WDM等等，都是IP技術的研究重點。

IP地址類型

 

最初設計互聯網絡時，爲了便於尋址以及層次化構造網絡，每一個IP地址包括兩個標識碼（ID），即網絡ID和主機ID。同一個物理網絡上的全部主機都使用同一個網絡ID，網絡上的一個主機（包括網絡上工做站，服務器和路由器等）有一個主機ID與其對應。IP地址根據網絡ID的不一樣分爲5種類型，A類地址、B類地址、C類地址、D類地址和E類地址。

 

IP地址分類

 

1．A類IP地址

 

一個A類IP地址由1字節的網絡地址和3字節主機地址組成，網絡地址的最高位必須是「0」， 地址範圍從0.0.0.1 到126.0.0.0。可用的A類網絡有126個，每一個網絡能容納1億多個主機。

 

2．B類IP地址

 

一個B類IP地址由2個字節的網絡地址和2個字節的主機地址組成，網絡地址的最高位必須是「10」，地址範圍從128.0.0.0到191.255.255.255。可用的B類網絡有16382個，每一個網絡能容納6萬多個主機 。

 

3．C類IP地址

 

一個C類IP地址由3字節的網絡地址和1字節的主機地址組成，網絡地址的最高位必須是「110」。範圍從192.0.0.0到223.255.255.255。C類網絡可達209萬餘個，每一個網絡能容納254個主機。

 

 

 

IPv6

IPv6的長分佈式結構圖

IPv6的地址長度爲128b，是IPv4地址長度的4倍。因而IPv4點分十進制格式再也不適用，採用十六進制表示。IPv6有3種表示方法。

1、冒分十六進制表示法
　　格式爲X:X:X:X:X:X:X:X，其中每一個X表示地址中的16b，以十六進制表示，例如：
　　ABCD:EF01:2345:6789:ABCD:EF01:2345:6789
　　這種表示法中，每一個X的前導0是能夠省略的，例如：
　　2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A

2、0位壓縮表示法
　　在某些狀況下，一個IPv6地址中問可能包含很長的一段0，能夠把連續的一段0壓縮爲「::」。但爲保證地址解析的惟一性，地址中」::」只能出現一次，例如：
　　FF01:0:0:0:0:0:0:1101 → FF01::1101
　　0:0:0:0:0:0:0:1 → ::1
　　0:0:0:0:0:0:0:0 → ::

3、內嵌IPv4地址表示法
　　爲了實現IPv4-IPv6互通，IPv4地址會嵌入IPv6地址中，此時地址常表示爲：X:X:X:X:X:X:d.d.d.d，前96b採用冒分十六進制表示，而最後32b地址則使用IPv4的點分十進制表示，例如::192.168.0.1與::FFFF:192.168.0.1就是兩個典型的例子，注意在前96b中，壓縮0位的方法依舊適用[3]  。

 

防火牆

防火牆（Firewall），也稱防禦牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。它是一種位於內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防禦系統，依照特定的規則，容許或是限制傳輸的數據經過。

 

網絡層防火牆

網絡層防火牆可視爲一種 IP 封包過濾器，運做在底層的TCP/IP協議堆棧上。咱們能夠以枚舉的方式，只容許符合特定規則的封包經過，其他的一律禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則一般能夠經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。

咱們也能以另外一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項「否認規則」就予以放行。操做系統及網絡設備大多已內置防火牆功能。

較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源端口號、目的 IP 地址或端口號、服務類型（如 HTTP 或是 FTP）。也能經由通訊協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火牆

應用層防火牆是在 TCP/IP 堆棧的「應用層」上運做，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。應用層防火牆能夠攔截進出某應用程序的全部封包，而且封鎖其餘的封包（一般是直接將封包丟棄）。理論上，這一類的防火牆能夠徹底阻絕外部的數據流進到受保護的機器裏。

防火牆藉由監測全部的封包並找出不符規則的內容，能夠防範電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜（軟件有千千百百種啊），因此大部分的防火牆都不會考慮以這種方法設計。

XML 防火牆是一種新型態的應用層防火牆。

根據側重不一樣，可分爲：包過濾型防火牆、應用層網關型防火牆、服務器型防火牆。

數據庫防火牆

數據庫防火牆是一款基於數據庫協議分析與控制技術的數據庫安全防禦系統。基於主動防護機制，實現數據庫的訪問行爲控制、危險操做阻斷、可疑行爲審計。

數據庫防火牆經過SQL協議分析，根據預約義的禁止和許可策略讓合法的SQL操做經過，阻斷非法違規操做，造成數據庫的外圍防護圈，實現SQL危險操做的主動預防、實時審計。

數據庫防火牆面對來自於外部的入侵行爲，提供SQL注入禁止和數據庫虛擬補丁包功能。