第 4章 广域网学习要点:
l 广域网的基本概念
l 关于 TCP/IP协议的基本概念,安装与设置方法
l 局域网络的扩展方法
l 网络安全的防范措施第 4章 广域网
4.1 广域网的基本概念
4.2 TCP/IP协议
4.3 Internet的域名管理
4.4 局域网与 Internet的连接
4.5 计算机网络安全退出
4.1 广域网的基本概念
4.1.1 网络互连
4.1.2 网络互连层次
4.1.3 广域网提供的网络服务返回广域网是由一些结点交换机以及连接这些交换机的链路组成,这些链路一般采用光纤线路或点对点的卫星链路等高速链路,其距离没有限制。 结点交换机的交换方式采用报文分组的存贮转发方式,而且为了提高网络的可靠性,结点交换机同时与多个结点交换机相连,目的是给某两个结点交换机之间提供多条冗余的链路,这样当某个结点交换机或线路出现问题时不至于影响整个网络运行。在广域网内,这些结点交换机和它们之间的链路一般由电信部门提供,网络由多个部门或多个国家联合组建而成,并且网络的规模很大,能实现整个网络范围内的资源共享。另外,从体系结构上看,局域网与广域网的差别也很大,局域网的体系结构其主要层次有物理层和数据链路层两层,
而广域网目前主要采用是 TCP/IP体系结构,所以它的 主要层次是网络接口层、网络层、运输层和应用层,其中网络层的路由选择问题是广域网首先要解决的问题。在现实世界中,广域网往往由许多种不同类型的网络互连而成。如果仅是把几个网络在物理上连接在一起,它们之间如果不能进行通信的话,那么这种“互连”并没有实际意义。因为通常在谈到“互连”时,就已经暗示这些相互连接的计算机是可以进行通信的。
4.1 广域网的基本概念
4.1.1 网络互连网络互连需解决的主要问题有,
( 1) 在网络之间提供一条链路 。
( 2) 在不同的网络进程间提供合适的路由选择以便交换数据 。
( 3) 有一个记账服务,它始终记录着不同网络和不同网关的使用情况,
同时维护状态信息 。
在提供以上服务的同时,应尽量避免对互连网络的体系结构进行修改 。 为此要求互连网络能在以下一些方面适应这些 差别,
不同的寻址方案
不同的最大分组长度
不同的网络访问机制
不同的超时控制
不同的差错恢复方法
不同的状态报告方法
不同的路由选择技术
不同的用户访问控制
不同的服务 —— 面向连接和无连接服务
不同的管理与控制方式解决这些互连问题的具体方法很多,但最主要的是进行协议的转换:
包括物理层协议转换,数据链路层协议转换,网络层协议转换及高层的协议转换 。
在网络互连时,一般都不能简单地直接相连,而是要通过一个中间设备来实现 。 按照 ISO术语,这个中间设备称为 中继 ( relay) 系统 。 两个网络系统的互连可以有多个这样的中继系统 。 如果某中继系统在进行信息转发时与其他系统共享共同的第 n层协议,但是不共享第 n+1层协议,那么这个中继系统就称为第 n层中继系统 。
根据中继系统所在的层次,可以有以下五种中继系统:
( 1) 物理层中继系统,即转发器 ( repeater) 。
( 2) 数据链路层中继系统,即网桥或桥接器 ( bridge) 。
( 3) 网络层中继系统,即路由器 ( router) 。
( 4)网桥和路由器的混合物桥路器。
( 5)在网络层以上的中继系统,即称为网关( gateway)。
4.1.2 网络互连层次广域网向上提供的服务主要有 面向连接的网络服务 ( 虚电路 ) 和 无连接的网络服务 ( 数据报 ) 。
无连接的数据报服务的特点 是,某一主机想要发送数据就随时可以发送,每个报文分组独立地选择路由,这样做的好处是报文分组所经过的结点交换机不需要事先为该报文分组预先保留一些资源,而是对分组在进行传输时动态地分配给其资源 。 由于每个报文分组走不同的路径,所以 数据报服务不能保证先发送出去的报文分组先到达目的主机,也就是说这种数据报服务的报文分组不能按序交给目的主机,因此目的站就必须对收到的报文分组进行缓冲,并且重新组装成报文再传送给目的主机 。
当网络发生拥塞时,网络中的某个结点可以将一些分组丢弃,所以数据报的服务是不可靠的,它不能保证服务质量 。 另外 数据报服务的每一个报文分组都有一个报文分组头,它包含着一些控制信息,如源地址,目的主机地址和报文分组号等源信息,其中源地址,目的地址作用是,可使每个报文分组独立选择路由所必须的信息,报文分组号作用是为了使目的站能对收到的报文分组进行重新排序,但这个报文分组头无形中增加了网络传输的数据量 。
4.1.3 广域网提供的网络服务为减轻接收端对报文分组进行重新排序的负担,采用能保证报文分组按发送顺序到达的服务方式 —— 即 虚电路的服务方式 。 它不会发生报文丢失或重复的情况 。 虚电路服务与数据报不同,虚电路服务在双方进行通信之前,必须首先由源站发出一个请求的报文分组 ( 在该报文分组中要有源站和目的站的全部地址 ),请求与目的站建立连接,当目的站接受这个请求后,也发出一个报文分组作为应答,这样双方就 建立起来数据通路,然后 双方可以传送信息,当双方通信完成之后还必须拆除这个建立的连接 。 虚电路一经建立就要赋予虚电路号,它反映信息的传输通道,这样在传输信息报文分组时,就不必再注明源站和目的站的全部地址,相应地缩短了信息量,所以采用 虚电路服务就必须有连接建立,数据传输和连接释放这三个阶段 。 虚电路服务在传输数据时采用存储转发技术,即某个结点先把报文分组接收下来,进行验证,然后在把该报文分组转发出去 。 通过以上的叙述可以看出,虚电路和电路交换有很大的不同,我们通常打电话所采用的电路交换虽然也有连接建立,
数据传输和连接释放这三个阶段,但它是两个通话用户在通话期间自始自终地占用一条端到端的物理信道,即在通话期间这条物理信道是不允许其它用户使用的 。 如果两个计算机之间采用一条虚电路进行通信时,由于采用存贮转发的分组交换,所以只是断续地占用一段又一段的链路,虽然我们感觉到好象占用了一条端到端的物理通路,但并不是在通信期间的完全占用,所以这也就是为什么称之为,虚,电路的原因 。 在使用虚电路时,是由网络来保证报文分组按序到达,而且网络还要负责端到端的流量控制 。
4.2 TCP/IP协议
4.2.1 TCP/IP协议概述
4.2.2 Internet 网际协议 ( IP)
4.2.3 TCP/IP的配置
4.2.4 TCP/IP测试
4.2.5 下一代的网际协议 IPv6
返回
TCP/IP协议,即 传输控制协议 /网际协议 。 Internet网络的前身是
ARPANET,当时使用的并不是 TCP/IP协议,而是一种叫 NCP( Network
Control Protocol,网络控制协议 ) 的网络协议,但随着网络的发展和用户对网络的需求不断提高,设计者们发现,NCP协议存在着很多的缺点以至于不能充分支持 ARPANET网络,特别是 NCP仅能用于同构环境中
( 所谓同构环境是网络上的所有计算机都运行相同的操作系统 ),设计者就认为,同构,这一限制不应被加到一个分布广泛的网络上,这样在
20世纪 60年代后期开发出来了用于,异构,网络环境中的 TCP/IP协议,
也就是说,TCP/IP协议可以在各种硬件和操作系统上实现,并且 TCP/IP
协议已成为建立计算机局域网,广域网的首选协议,并将随着网络技术的进步和信息高速公路的发展而不断地完善 。
TCP/IP协议开发早于 OSI参考模型,故不甚符合 OSI参考标准 。 大致说来,TCP协议对应于 OSI参考模型的传输层,IP协议对应于网络层 。 虽然
OSI参考模型是计算机网络协议的标准,但由于其开销太大,所以真正采用它的并不多,TCP/IP协议则不然,由于它的简洁,实用,从而得到了广泛的应用,可以说,TCP/IP已成为事实上的工业标准和国际标准 。
4.2.1 TCP/IP协议概述在 TCP/IP网络中,每个主机都有唯一的地址,它是通过 IP协议来实现的 。 IP协议要求在每次与 TCP/IP网络建立连接时,每台主机都必须为这个连接分配一个唯一的 32位地址,因为在这个 32位 IP地址中,不但可以用来识别某一台主机,而且还隐含着网际间的路径信息 。 需要强调指出的,这里的主机是指网络上的一个节点,不能简单地理解为一台计算机,
实际上 IP地址是分配给计算机的网络适配器 ( 即网卡 ) 的,一台计算机可以有多个网络适配器,就可以有多个 IP地址,一个网络适配器就是一个节点 。
IP地址共有 32位地址,一般以 4个字节表示,每个字节的数字又用十进制表示,即每个字节的数的范围是 0~255,且每个数字之间用点隔开,
例如,192.168.101.5,这种记录方法称为,点 -分,十进制记号法 。 IP地址的结构如下所示:
4.2.2 Internet 网际协议 ( IP)
1,IP地址网络类型 网络 ID 主机 ID
按照 IP地址的结构和其分配原则,可以 在 Internet上很方便的寻址,先按 IP地址中的网络标识号找到相应的网络,再在这个网络上利用主机 ID找到相应的主机 。 由此可看出 IP地址并不只是一个计算机的代号,而是指出了某个网络上的某个计算机 。 当你组建一个网络,为了避免该网络所分配的 IP地址与其他网络上的 IP地址发生冲突,你必须为该网络向 InterNIC( Internet网络信息中心 ) 组织申请一个网络标识号,也就是这整个网络使用一个网络标识号,然后再给该网络上的每个主机设置一个唯一的主机号码,这样网络上的每个主机都拥有一个唯一的 IP地址 。 另外,国内用户可以通过 中国互联网络信息中心 ( CNNIC) 来申请 IP地址和域名 。 当然,如果网络不想与外界通信,就不必申请网络标识号,而自行选择一个网络标识号即可,只是网络内的主机的
IP地址不可相同 。
2,IP地址的分类为了充分利用 IP地址空间,Internet委员会定义了五种 IP地址类型以适合不同容量的网络,即 A类至 E类,如图 4-1所示 。 其中 A,B,C三类由
InterNIC( Internet网络信息信心 ) 在全球范围内统一分配,D,E类为特殊地址 。
网络类别 最大网络数第一个可用的网络号最后一个可用的网络号每个网络中的最大主机数
A 126 1 126 16777214
B 16382 128.1 191.254 65534
C 2097150 1 9 2,0,1 2 2 3,2 2 5,2 5 4 254
IP地址的使用范围
3.子网及子网掩码
( 1)子网子网是指在一个 IP地址上生成的逻辑网络,它使用源于单个 IP地址的
IP寻址方案,把一个网络分成多个子网,要求每个子网使用不同的网络 ID,通过把主机号 ( 主机 ID) 分成两个部分,为每个子网生成唯一的网络 ID。 一部分用于标识作为唯一网络的子网,另一部分用于标识子网中的主机,这样原来的 IP地址结构变成如下三层结构:
网络地址部分 子网地址部分 主机地址部分这样做的好处是可节省 IP地址 。 例如,某公司想把其网络分成四个部分,每个部分大约有 20台左右的计算机,如果为每部分网络申请一个
C类网络地址,这显然非常浪费 ( 因为 C类网络可支持 254个主机地址 ),而且还会增加路由器的负担,这时就可借助子网掩码,将网络进一步划分成若干个子网,由于其 IP地址的网络地址部分相同,则单位内部的路由器应能区分不同的子网,而外部的路由器则将这些子网看成同一个网络 。 这有助于本单位的主机管理,因为各子网之间用路由器来相连 。
( 2) 子网掩码子网掩码是一个 32位地址,它用于屏蔽 IP地址的一部分以区别网络 ID
和主机 ID;用来将网络分割为多个子网;判断目的主机的 IP地址是在本局域网还是在远程网 。 在 TCP/IP网络上的每一个主机都要求有子网掩码 。
这样当 TCP/IP网络上的主机相互通信时,就可用子网掩码来判断这些主机是否在相同的网络段内 。
如表 4-2所示为各类 IP地址所默认的子网掩码,其中值为 1的位用来定出网络的 ID号,值为 0的位用来定出主机 ID。 例如,如果某台主机的 IP地址为 192.168.101.5,通过分析可以看出它属于 C类网络,所以其子网掩码为 255.255.255.0,则将这两个数据作逻辑与 ( AND) 运算后结果为
192.168.101.0,所得出的值中非 0位的字节即为该网络的 ID。 默认子网掩码用于不分子网的 TCP/IP网络 。
类 子网掩码 子网掩码的二进制表示
A 2 5 5,0,0,0 11111111 00000000 00000000 00000000
B 2 5 5,2 5 5,0,0 11111111 11111111 00000000 00000000
C 2 5 5,2 5 5,2 5 5,0 11111111 11111111 00000000 00000000
4,IP路由路由是数据从一个节点传输到另一个节点的过程 。 例如,我们要出发到某地,一般先确定到达目的地的路线 。 在 TCP/IP网络中,同一网络区段中的计算机可以直接通信,不同网络区段中的计算机要相互通信,则必须借助于 IP路由 。
在网络中要实现 IP路由必须使用路由器,而路由器可以是专门的硬件设备,如 Cisco公司的路由器等;若没有专用的路由设备,可以采用将某台计算机设置为路由器 。 不论用何种方式实现,路由器都是靠路由表来确定数据报的流向的 。 IP路由表实际上是相互邻接的网络 IP地址的列表 。 当一个节点接收到一个数据报时,便查询路由表,判断目的地址是否在路由表中,如果是,则直接送给该网络,否则转发给其他网络,直到最后到达目的地 。
在 TCP/IP网络中,IP路由器又叫 IP网关 。 每一个节点都有自己的网关 。 IP报头指定的目的地址不在同一网络区段中,就会将数据报传送给该节点的网关,如果网关知道数据报的去向,就将其转发到目的地 。
每一网关都有一组定义好的路由表,指明网关到特定目的地的路由 。
网关不可能知道每一个 IP地址的位置,因此网关也有自己的网关,通过不断转发,寻找路径,直到数据报到达目的地为止 。
IP地址,标识 TCP/IP主机的唯一的 32位地址;
子网掩码,用来测试 IP地址是在本地网络还是远程网络;
默认网关,与远程网络互连的路由器的 IP地址 。 如果没有规定默认网关,则通信仅局限于局域网络内部 。
TCP/IP协议的安装在前面的章节中已经具体地讲述过了,在这节中将重点讲述怎样配置基本的 TCP/IP参数 。
4.2.3 TCP/IP的配置以下将就一个示例来讲述具体的配置过程 。 例如某主机所在网络段为
202.204.60,由此网络段值可知该网络段为一个 C类网段,所以子网掩码应设置为 255.255.255.0,并且分配给该主机的 IP地址为 202.204.60.11。 该网络段与其他网络段连接的网关地址为 202.204.60.1。
设置 IP地址的前提条件是必须安装 TCP/IP协议 。 具体的设置步骤如下,
( 1),开始,→,设置,→,控制面板,,打开了,控制面板,对话框 。
( 2) 双击,网络,图标,打开,网络,属性对话框 。
( 3)选择网卡的 TCP/IP协议(本例中主机的网卡为 NE2000
Compatible,所以选择 TCP/IP →NE2000 Compatible ),然后单击“属性”按钮。选择,IP地址”选项卡。如图 4-4所示。在其上首先选择
“指定 IP地址( S)”,然后在,IP地址”后输入 202.204.60.11,“子网掩码”后输入 255.255.255.0。
( 4) 选择,网关,选项卡 。 如图 4-5所示 。 在新网关的后面填入:
202.204.68.1,然后单击,添加,按钮 。
( 5) 单击,确定,按钮 。
4.2.4 TCP/IP测试
1,TCP/IP测试工具 Ping
( 1) Ping工具的格式
Ping命令的格式为,ping目的地址 [ 参数 1] [ 参数 2] ……
其中目的地址是指被测试计算机的 IP地址或域名 。 Ping工具主要参数有:
A:解析主机地址 。
N:数据,发出的测试包的个数,缺省值为 4。
L:数值,所发送缓冲区的大小 。
T:继续执行 Ping命令,直到用户按 Ctrl+C终止 。
有关 Ping的其他参数,可通过在 MS-DOS提示符下运行 Ping或 Ping/? 命令来查看 。
( 2) 用 Ping工具测试 TCP/IP协议的工作情况使用 Ping程序来验证计算机的配置和测试路由连接的一般步骤:
① Ping回环地址以验证 TCP/IP已经安装且正确装入 。
命令,Ping 127.0.0.1
② Ping 工作站的 IP地址以验证工作站是否正确加入,并检验 IP地址是否冲突 。
命令,ping 工作站 IP地址
③ Ping默认网关的 IP地址,以验证默认网关打开且在运行,验证你是否可以与本地网络通信 。
命令,Ping 默认网关 IP地址
④ Ping 远程网络上主机的 IP地址以验证你能通过路由器进行通信 。
命令,Ping 远程主机的 IP地址若直接运行第 4步并获成功,则步骤 1~3默认都成功 。 在配置 TCP/IP的示例完成后,就可以进行 TCP/IP的测试了,看上面列举的配置 TCP/IP的示例是否成功 。
2.测试 TCP/IP协议配置工具 Ipconfig/Winipcfg
利用 Ipconfig和 Winipcfg工具可以查看和修改网络中的 TCP/IP协议的有关配置,如 IP地址,网关,子网掩码等 。 这两个工具在 Windows 95/98中都能使用,功能基本相同,只是 Ipconfig是以 DOS的字符形式显示,而
Winipcfg则用图形界面显示 。 在 Windows NT中仅能使用 Ipconfig工具 。
( 1) Ipconfig工具的命令格式和应用
Ipconfig可运行在 Windows 95/98/NT的 DOS提示符下,其命令格式为:
Ipconfig [/参数 l][/参数 2]……
其中两个最实用的参数为:
all:显示与 TCP/IP协议相关的所有细节,其中包括主机名,节点类型,
是否启用 IP路由,网卡的物理地址,默认网关等 。
Batch [ 文本文件名 ],将测试的结果存入指定的文本文件中,以便于逐项查看 。
其他参数可在 DOS提示符下键入,Ipconfig/?,命令来查看 。
( 2) Winipcfg工具的使用
Winipcfg工具的功能与 Ipconfig基本相同,只是 Winipcfg在操作上更加方便,同时以图形界面方式显示 。
在需要查看任何一台机器上 TCP/IP协议的配置情况时,只需在 Windows
95/98上选择,开始 → 运行,,在出现的对话框中输入命令,winipcfg”,
将出现测试结果 。
3,网络协议统计工具 Netstat
Netstat同样是运行于 Windows 95/98/NT的 DOS提示符下的工具,利用该工具可以显示有关统计信息和当前 TCP/IP网络连接的情况,网络管理人员可以得到非常详尽的统计结果 。 当网络中没有安装网管软件,但要对网络的整体使用状况作个详细地了解时,该工具特别有效 。 Netstat工具的命令格式为:
Netstat [-参数 1 ] [-参数 2]
其中主要参数有:
A:显示所有与该主机建立连接的端口信息 。
E:显示以太网的统计信息,该参数一般与 S参数共同使用 。
N:以数字格式显示地址和端口信息 。
S:显示每个协议的统计情况 。
其他参数,可在 DOS提示符下键入,netstat/?,命令来查看 。 另外,在
Windows 95/98/NT下还集成了一个名为 Nbtstat的工具,此工具的功能与
Netstat基本相同,如需要用户可通过键入 "nbtstat/?。 来查看它的主要参数和使用方法 。
4.2.5 下一代的网际协议 IPv6
IP地址的设计确实有不够合理的地方,
第一,设计者没有预计到微型计算机会普及得如此之快,使得各种局域网和网上的主机数目急剧增长 。
第二,IP地址在使用时有很大的浪费 。
在 l992 年 6 月 就 提 出 要 制 订 下 一 代 的 IP,即 IPng ( IP Next
Generation) 。 由于 IPv5打算用作面向连接的网际层协议,因此 IPng现正式称为 IPv6。 1995年以后陆续公布了一系列有关 IPv6的协议,编址方法,路由选择以及安全等问题的 RFC文档 。 IPv6主要在以下几个方面进行扩充和改进:
( 1) IPv6把原来 IPv4地址增大到了 128bit
( 2) 这种下一代的 IP协议并不是完全抛弃了原来的 IPv4,且允许与 IPv4
在若干年内共存 。
( 3) IPv6对 IP数据报协议单元的头部与原来的 IPv4相比进行了相应的简化
( 4) IPv6另一个主要的改善方面是在它的安全方面 。
IPv6的一个显著特点是它的地址范围很广,但同时也给维护带来很多麻烦,主要体现在人们阅读和操纵这些地址上 。 例如用原来 IPv4的,点 -分,
十进制来书写 IPv6的 128个比特的 IP地址为:
255.254.0.12.0.0.0.0.12.0.0.0.0.0.0.12
这看起来非常复杂,为了使地址再稍简洁些,IPv6用,冒号十六进制,
记法,它把每个 16比特的量用十六进制值表示,各量之间用冒号分隔 。
例如,如果前面所给的点分十进制数记法的值改为冒号十六进制记法,
就变成了:
FFFE:000C:0000:0000:0C00:0000:0000:000C
另外,IPv6还允许对这种冒号十六进制的地址记法进行压缩:
( 1) 一组中的前导零可以忽略不写 。 例如上面这个 IPv6地址中的第二组 000C可以直接写成 C,则该地址可压缩为,FFFE:C:0:0:C00:0:0:C。
( 2) 冒号十六进制记法还可以允许零压缩,即一串连续的零可以为一对冒号所取代,为了保证零压缩有一个不含混的解释,建议中还规定,
在任一地址中,只能使用一次零压缩 。 该技术对已建议的分配策略特别有用,因为会有许多地址包含连续的零串 。 例如:上面这个 IPv6地址可压缩为,FFFE:C::C00:0:0:C。
其次,冒号十六进制记法结合有点分十进制记法的后缀,这种结合在
IPv4向 IPv6的转换阶段特别有用 。 例如,下面的串是一个合法的冒号十六进制记法:
0:0:0:0:0:0:192.168.101.5
请注意,在这种记法中,虽然为冒号所分隔的每个值是一个 16比特的量,
但每个点分十进制部分的值则指明一个字节的值 。 再使用零压缩即可得出:
::192.168.101.5
4.3 Internet的域名管理
4.3.1 域名系统概述
4.3.3 DNS的设置
4.3.2 DNS域名结构返回在用户与 Internet上的某个主机通信时,IP地址的,点 -分,十进制表示法,虽然简单,但当要与多个 Internet上的主机进行通信时,单纯数字表示的 IP地址非常难于记忆,能不能用一个有意义的名称来给主机命名,而且它还有助于记忆和识别呢? 于是就产生了,名称 — IP地址,的转换方案,只要用户输入一个主机名,计算机会很快地将其转换成机器能识别的二进制 IP地址 。 例如,Internet或
Intranet的某一个主机,其 IP地址为 192.168.0.1,按照这种域名方式可用一个有意义的名字,www.myweb.com”来代替 。
4.3.1 域名系统概述早在 Internet 的前身
ARPANET时代,整个网络仅有数百台计算机,这时使用了一个叫
Hosts的文件,在其中列出了所有的主机名字和 IP地址 。 Hosts文件是一个纯文本文件,可用文本编辑器软件来处理 。 例如图 4-10所示,主机名与 IP地址的对应关系 。
只要在 Hosts文件中建立了 IP地址与主机名的对应关系后,则要与该主机通信 ( 例如访问该主机的主页 ),可直接用该主机名称即可 。 从图 4-10中可以看出 localhost 和 www.myweb.com所对应的 IP 地址都是回送地址
127.0.0.1,所以在浏览器的地址栏输入 localhost,www.myweb.com和
127.0.0.1都是等价的,但有一点要说明的是不同的操作系统,Hosts文件存放的目录是不同的 。 例如:在 Windows 2000 Server和 Windows NT中
Hosts 文件存放的目录为 %System%\System32\Drivers\Etc 目录中
( %System%表示为 Windows 2000 Server和 Windows NT的安装目录 ) ;而在 Windows 98中,文件名为,Hosts.sam”,存放的目录是,C:\Windows”,
不过要使该功能生效还必须将 Hosts.sam改名成 Hosts。
但 Hosts文件的应用也存在着许多的不足,而且它仅适用于小型的网络 。
因为如果是在大型网络中应用 Hosts文件,那么就必须将所有主机的 IP地址及所对应的主机名都输入到 Hosts文件中,可以想象,这是一件多么痛苦的事情,并且还要求每一台上网的主机都要拥有这样一个 Hosts文件 。
另外,更可怕的一个问题是其更新非常烦琐,当主机与 IP地址的对应关系发生变化时,每台主机的 Hosts文件也都必须随着更改,只有这样才能保持对应关系的一到性 。
正是由于上面所述的 Hosts文件的种种不足,从而引出另一种解决方式 —— 域名系统 ( DNS),并且得到了广泛的应用 。 域名系统是一种基于分布式数据库系统,并采用客户 /服务器模式进行主机名称与 IP地址之间的转换 。 通过建立 DNS数据库,记录主机名称与 IP地址的对应关系,并驻留在服务器端为处于客户端的主机提供 IP地址的解析服务 。 这种主机名到 IP地址的映射是由若干个 DNS服务器程序完成的 。 DNS服务器程序在专设的结点上运行,因此,人们也把运行 DNS服务器程序的计算机称为域名服务器 。
在广域网络发展的初期,也就是在 Internet网络还未形成规模以前,主要是通过在网络中发布一个统一的 Hosts主机文件,就可完成所有的主机查找,而当 Internet网络的规模越来越大以后,这种使用主机文件查找主机的方法就很难适用了,主要原因,一个是维护和更新困难,另一个是它使用非等级的名字结构,虽然其名字简短,但当 Internet网络上的用户数急剧增加时,由于要控制主机不能重名,所以用非等级名字空间来管理一个经常变化的名字集合是非常困难的 。 因此,Internet网络后来采用了层次树状结构的命名方法 —— DNS域名服务,就象全球邮政系统和电信系统一样 。 例如,一个电话号码是 086-027-33445566,在这个电话中包含着几个层次,086表示中国,区号 027表示武汉市,
33445566又表示该市某一个电话分局的某一个电话号码 。 同样,
Internet网络也采用类似的命名方法,这样任何一个连接在 Internet网络上的主机或路由器,都有一个唯一的层次结构名字即域名 。 这里的,域,
( Domain) 是名字空间中一个可被管理的划分 。 域名只是个逻辑上的概念,并不反映计算机所在的物理地点 。
4.3.2 DNS域名结构
DNS数据库的结构如同一棵倒过来的树,它的根位于最顶部,紧接着在根的下面是一些主域,每个主域又进一步划分为不同的子域 。
由于 InterNIC( Internet网络信息中心 ) 负责管理世界范围的 IP地址分配,顺理成章,它也就管理着整个域结构,整个 Internet的域名服务都是由 DNS来实现的,与文件系统的结构类似,每个域都可以用相对的或绝对的名称来标识,相对于父域来表示一个域可以用相对域名,绝对域名指完整的域名,主机名指为每台主机指定的主机名称,
带有域名的主机名叫全称域名 。
这是整个 Internet的域结构图 。 最高层次是顶级域又叫主域,它的下面是子域,子域下面可以有主机,也可以再分子域,直到最后是主机 。 要在整个 Internet来识别特定的主机,必须用全称域名 。
顶级域名常见的有两类:
国家级顶级域名 。
通用的顶级域名
DNS的设置分为两个部分来完成,一个是服务器端的设置,另一个是客户端的设置 。 服务器端的设置将在第五章的有关章节给读者介绍,在本节中仅给大家来说明客户端 ( 即工作站 ) 上的 DNS设置方法 。
在工作站上设置 DNS可以使得 DNS服务器为工作站解析网络上其他主机名称,从而获得其他主机的 IP地址,另外,若 DNS服务器对 DNS工作站进行了主机名称的注册,则可以为网络上的其他主机解析该工作站的主机名称,提供该主机的 IP地址 。 下面以 Windows 98为例来说明 DNS的设置方法:
4.3.3 DNS的设置
( 1) 打开,控制面板,,双击,网络,
图标;
( 2 ) 双击,TCP/IP” 协议,选择
,DNS配置,选项卡,打开如图 4-12
所示的对话框 。
( 3) 在,DNS服务器搜索顺序,中输入要使用的 DNS服务器的 IP地址,
如 192.168.0.1,点击,添加,按钮,则该 DNS服务器即被设定,并且被显示在 DNS服务器列表框中 。 排在最前面的 DNS服务器将被该工作站首先使用,当该 DNS服务器进行地址解析失败后,将使用后面的 DNS服务器进行地址解析 。
4.4 局域网与 Internet的连接返回
4.4 局域网与 Internet的连接如果在局域网中必须为每台计算机提供访问因特网的方式,从经济实用的角度出发,让局域网中所有计算机共享一个账号上网是可取的 。 目前可提供高速因特网接入技术较多,但现在常见以下几种方案:
( 1普通电话线拨号上网和 ISDN( 综合业务数字网 )
DDN专线三网合一 ( Cable Modem)
ADSL 非对称数字用户线先进的接入方式必须要有当地 ISP( Internet服务提供商 ) 的支持,在此基础上还要权衡在选择了某一接入方式后的性能价格比 。 根据笔者的调查和对部分接入的实际测试,在 10 台以下计算机组成的局域网中,通过一台
56KModcm共享一个账号上网时速度基本上能够满足要求 。 在 10-20台计算机组成的局域网中,一般可通过一台 ISDN设备上网 。 一个 ADSL和 Cable
Modem设备在支持 35台左右的计算机同时上网时,其速度与单机通过
56KModem上网基本相当 。
目前用于小规模局域网共享 Modem上网的软件大体分为两类:一类是代理服务器 ( Proxy Server) 软件;另一类是网关类 ( Gateway) 软件 。 如 SyGate就是网关类软件 。 尽管都能达到多机共用一个账号,
一条电话线和一个 Modem同时上网的目的,但以上两种软件工作时所扮演的角色是不一样的 。 从下面对网络和浏览器的使用设置就可以看出 。
,网关,类软件一定要在网络中设置网关,并且在浏览器中禁止
Proxy;,代理服务器,类软件则刚好相反 。,网关,类软件的设置比较简单,,代理服务器,类软件的设置和使用相对来说要复杂一些 。 但其功能更为强大 。
代理服务器连接 Internet和 Intranet,位于二者之间 。 运行代理服务器的这台计算机上有两个网络适配器,其中一个是网卡,连接 Intranet内部网,具有属于内部网的 IP地址;另一个根据与 Internet的连接方式的不同可以是网卡,ISDN适配器,调制解调器,拥有 Internet上的公开地址,一般这个地址是自动获得的 。 它既属于 Internet,又属于 Intranet,所以也叫它双宿型主机,如图 4-13所示 。
客户机双宿主机
Int e rne t
代理服务器软件就工作在两个网络适配器之上 。 Intranet上的用户利用客户端软件向代理服务器发出请求,代理服务器通过网卡上的内部 IP地址接收从内部网络传来的请求,然后作为代理用的公开 IP地址与 Internet
的访问目标建立连接,取回结果 。 再经过代理服务器将地址转换为内部
IP地址,转送到发出请求的主机上 。
安装代理服务器首先要确定 Intranet的 TCP/IP方案 。 目前有些代理服务器如 WinGate Pro带有 DHCP服务功能,对于工作组的网络在没有
Windows NT的情况下也能使用 DHCP的动态分配 IP地址的功能 。
在安装完代理服务器软件之后,首先要配置和测试 Intranet的 TCP/IP是否畅通,这可以在每个客户机上用 Ping命令来 Ping代理服务器的内部 IP地址 。 然后测试代理服务器与 Internet能否连通,这同样可以用 Ping命令,
比如 Ping www.yahoo.com。
Intranet上的用户能够通过代理服务器享受的 Internet服务必须要在代理服务器上进行设置,否则用户是无法使用该项服务 。 不同的代理服务器软件提供的服务项目不完全相同 。 但主流的服务都有是一样的 。
最后要配置用户使用的客户端软件,比如浏览器,FTP客户端程序等 。
4.5 计算机网络安全
4.5.1 网络安全概述
4.5.2 防火墙返回计算机的应用使机密和财富高度集中于计算机,计算机网络的应用使这些机密和财富随时受到联网的计算机用户攻击的威胁 。 所谓的
,黑客,,是指以各种非法手段企图渗入计算机网络的人 。 由于只需有一台微机和一个调制解调器 ( Modem),通过电话线就可以连接到网上,黑客们在家里就可以随时尝试非法渗入某个计算机网络 。
国外有许多,黑客俱乐部,,并且有黑客出版的杂志,公开交流
,黑客,经验 。 有的黑客甚至在会议上公开宣称,世界上任何一个计算机网络都被人非法入侵过 。 事实上,美国五角大楼也无法避免被黑客攻击 。
对于普通的拨号上网用户来说,最关心的还是自己计算机上的文件资料是否会被黑客窃取或被破坏 。 那么黑客们是如何侵入到别人的计算机上的呢? 这涉及到一种特洛伊木马程序 。
木马程序泛指那些内部包含有为完成特殊任务而编制的代码的程序,
而这些特殊代码一般处于隐藏方式,执行时不为人发觉,而其功能完全和程序所标称的功能无关 。 目前最有名的木马程序是 Back
Orifice。
4.5.1 网络安全概述防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,它包括用于网络连接的软件和硬件以及控制访问的方案 。 通常在 Internet和
Intranet之间安装防火墙,对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,保护 Intranet的安全 。
防火墙是一类防范措施的总称 。 这类防范措施简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现 。 它可以在 IP层设置屏障,
也可以用应用层软件来阻止外来攻击 。
防火墙的主要功能如下:
l 过滤不安全服务和非法用户,禁止末授权的用户访问受保护网络 。
l 控制对特殊站点的访问 。
l 提供监视 Internet安全和预警的方便端点 。 防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据 。
4.5.2 防火墙防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:
l 不能防范绕过防火墙的攻击 。 例如,如果允许从受保护的 Intranet
内部不受限制地向外拨号,一些用户可以形成与 Internet的直接 SLIP或
PPP连接 。 从而绕过防火墙,造成一个潜在的受攻击渠道 。
l 一般的防火墙不能防止受到病毒感染的软件或文件的传输 。 因为现在存在的各类病毒,操作系统以及加密和压缩二进制文件的种类太多,
以致于不能指望防火墙逐个扫描每个文件查找病毒 。
l 不能防止数据驱动式攻击 。 当有些表面看来无害的数据被邮寄或复制到 Internet主机上并被执行发起攻击时,就会发生数据驱动式攻击 。
例如,一种数据驱动的攻击可以造成一台主机修改与安全有关的文件,
从而使入侵者下一次更容易入侵该系统 。
l 难以避免来自内部的攻击 。 俗话说,家贼难防,,内部人员的攻击根本就不经过防火墙 。
1.防火墙的三种类型
( 1) 网络级防火墙
( 2) 应用级防火墙
( 3) 电路级防火墙
2.防火墙的结构
( 1) 双宿主机网关客户机双宿主机
Int e rne t
( 2) 屏蔽主机网关客户机单堡垒主机路由器
Int e rne t
客户机双宿堡垒主机路由器
I n t e r n e t
个人用户只能使用应用级防火墙 。 这种防火墙一般都是使用包过滤和协议过滤等技术实现的,能有效地防止用户数据直接暴露在 Internet中,
并记录主机和 Internet数据交换的情况,从而保证了用户的安全 。 下面以
,天网防火墙,为例来介绍如何构建个人防火墙 。
,天网防火墙,能有效的防止黑客入侵,抵御来自外部网络的攻击,
保证内部系统的资料不被盗取;在防止不法分子入侵的同时,,天网防火墙,还能保证用户的安全高速地访问全球公共资源 。
4.5.3 构建个人防火墙
1,天网防火墙的设置在使用天网防火墙时,用户应该根据计算机的配置和使用情况灵活地配置防火墙,使之适合用户的使用规则,使防火墙的效率达到最高 。 天网防火墙的常规设置如下:
( 1 ) 单击主界面上的,系统设置,按钮,出现系统设置对话框,如图
4-36所示 。
( 2 ) 若选择,开机后自动启动防火墙,,那么每次开机后,防火墙会自动启动 。
( 3 ),防火墙自定义规则,中的,重置,按钮主要用于把程序本身所提供的默认规则覆盖掉当前的规则 。 如果用户把安全规则调乱了,可以用这个功能恢复系统默认规则 。
( 4 ) 单击,浏览,按钮,选择报警时的声音文件,在用户设置的规则中有报警设置时,将会以这个声音文件报警 。 单击,重置,按钮,可以将报警声音文件恢复成系统默认文件 。
4.5.3 构建个人防火墙
4.5.3 构建个人防火墙
2,安全规则设置安全设置是系统最重要的,也是最复杂的地方 。 如果用户不熟悉网络,
最好不要调整它,而是直接使用程序设计好的默认规则 。 但是,如果用户熟悉网络,应可以非常灵活的设计适合的使用规则 。
( 1 ) 启动天网防火墙
( 2 ) 单击主界面上的,自定义 IP规则,图形按钮,打开如图 4-37所示的对话框 。 这里列出了所有规则的名称,该规则所对应的数据包的方向,
该规则所控制的协议 。 在列表的左边为该规则是否有效的标志,如果标记为勾表示规则有效,否则表示无效 。
( 3 ) 用户可以单击,自定义 IP规则,后面的按钮来完成增加,修改,
删除,保存/应用,向上,向下等操作 。
4.5.3 构建个人防火墙
3,其它设置
( 1) 日志在天网防火墙的主界面单击,日志,按钮,如图 4-40所示 。 用户可单击
,保存,按钮来保存日志信息,也可按,清空,按钮清空日志 。
( 2) 接通 /断开网络连接按下,接通 /断开网络,按钮,那么用户的计算机就完全与网络断开了,
就好像拔下了网线一样 。 没有任何人可以访问用户的计算机,并且用户也不可以访问网络 。
( 3) 应用程序网络状态按下,应用程序网络状态,按钮,打开应用程序网络状态的窗口以显示当前用户的计算机上应用程序所使用的协议及所占用端口的情况 。
4.5.3 构建个人防火墙本章首先给读者介绍了一些关于广域网的基础知识,使读者对于广域网的形成以及如何划分有个明确的认识。同时对广域网所使用的
TCP/IP协议作了比较详细的介绍,从 IP地址的分类、子网的划分、实际应用中如何对 TCP/IP协议进行安装设置,以及如何对 TCP/IP协议进行测试,这些都是在实际的网络管理中经常会遇到的。另外,在本章还给读者介绍了关于在广域网中对域名是如何进行管理的,即在网络的实际通信使用的是 IP地址,但其非常难于记忆,所以采用一种有意义的名字来代替(叫域名),这样就存在一种从域名到 IP地址的转换关系,这种转换是由 DNS服务器来完成的。最后,在本章还给读者介绍了局域网络接入 Internet的几种接入方案,在这个方案中还考虑到计算机网络的安全,
即如何保护网络内部的安全。
本节小结
l 广域网的基本概念
l 关于 TCP/IP协议的基本概念,安装与设置方法
l 局域网络的扩展方法
l 网络安全的防范措施第 4章 广域网
4.1 广域网的基本概念
4.2 TCP/IP协议
4.3 Internet的域名管理
4.4 局域网与 Internet的连接
4.5 计算机网络安全退出
4.1 广域网的基本概念
4.1.1 网络互连
4.1.2 网络互连层次
4.1.3 广域网提供的网络服务返回广域网是由一些结点交换机以及连接这些交换机的链路组成,这些链路一般采用光纤线路或点对点的卫星链路等高速链路,其距离没有限制。 结点交换机的交换方式采用报文分组的存贮转发方式,而且为了提高网络的可靠性,结点交换机同时与多个结点交换机相连,目的是给某两个结点交换机之间提供多条冗余的链路,这样当某个结点交换机或线路出现问题时不至于影响整个网络运行。在广域网内,这些结点交换机和它们之间的链路一般由电信部门提供,网络由多个部门或多个国家联合组建而成,并且网络的规模很大,能实现整个网络范围内的资源共享。另外,从体系结构上看,局域网与广域网的差别也很大,局域网的体系结构其主要层次有物理层和数据链路层两层,
而广域网目前主要采用是 TCP/IP体系结构,所以它的 主要层次是网络接口层、网络层、运输层和应用层,其中网络层的路由选择问题是广域网首先要解决的问题。在现实世界中,广域网往往由许多种不同类型的网络互连而成。如果仅是把几个网络在物理上连接在一起,它们之间如果不能进行通信的话,那么这种“互连”并没有实际意义。因为通常在谈到“互连”时,就已经暗示这些相互连接的计算机是可以进行通信的。
4.1 广域网的基本概念
4.1.1 网络互连网络互连需解决的主要问题有,
( 1) 在网络之间提供一条链路 。
( 2) 在不同的网络进程间提供合适的路由选择以便交换数据 。
( 3) 有一个记账服务,它始终记录着不同网络和不同网关的使用情况,
同时维护状态信息 。
在提供以上服务的同时,应尽量避免对互连网络的体系结构进行修改 。 为此要求互连网络能在以下一些方面适应这些 差别,
不同的寻址方案
不同的最大分组长度
不同的网络访问机制
不同的超时控制
不同的差错恢复方法
不同的状态报告方法
不同的路由选择技术
不同的用户访问控制
不同的服务 —— 面向连接和无连接服务
不同的管理与控制方式解决这些互连问题的具体方法很多,但最主要的是进行协议的转换:
包括物理层协议转换,数据链路层协议转换,网络层协议转换及高层的协议转换 。
在网络互连时,一般都不能简单地直接相连,而是要通过一个中间设备来实现 。 按照 ISO术语,这个中间设备称为 中继 ( relay) 系统 。 两个网络系统的互连可以有多个这样的中继系统 。 如果某中继系统在进行信息转发时与其他系统共享共同的第 n层协议,但是不共享第 n+1层协议,那么这个中继系统就称为第 n层中继系统 。
根据中继系统所在的层次,可以有以下五种中继系统:
( 1) 物理层中继系统,即转发器 ( repeater) 。
( 2) 数据链路层中继系统,即网桥或桥接器 ( bridge) 。
( 3) 网络层中继系统,即路由器 ( router) 。
( 4)网桥和路由器的混合物桥路器。
( 5)在网络层以上的中继系统,即称为网关( gateway)。
4.1.2 网络互连层次广域网向上提供的服务主要有 面向连接的网络服务 ( 虚电路 ) 和 无连接的网络服务 ( 数据报 ) 。
无连接的数据报服务的特点 是,某一主机想要发送数据就随时可以发送,每个报文分组独立地选择路由,这样做的好处是报文分组所经过的结点交换机不需要事先为该报文分组预先保留一些资源,而是对分组在进行传输时动态地分配给其资源 。 由于每个报文分组走不同的路径,所以 数据报服务不能保证先发送出去的报文分组先到达目的主机,也就是说这种数据报服务的报文分组不能按序交给目的主机,因此目的站就必须对收到的报文分组进行缓冲,并且重新组装成报文再传送给目的主机 。
当网络发生拥塞时,网络中的某个结点可以将一些分组丢弃,所以数据报的服务是不可靠的,它不能保证服务质量 。 另外 数据报服务的每一个报文分组都有一个报文分组头,它包含着一些控制信息,如源地址,目的主机地址和报文分组号等源信息,其中源地址,目的地址作用是,可使每个报文分组独立选择路由所必须的信息,报文分组号作用是为了使目的站能对收到的报文分组进行重新排序,但这个报文分组头无形中增加了网络传输的数据量 。
4.1.3 广域网提供的网络服务为减轻接收端对报文分组进行重新排序的负担,采用能保证报文分组按发送顺序到达的服务方式 —— 即 虚电路的服务方式 。 它不会发生报文丢失或重复的情况 。 虚电路服务与数据报不同,虚电路服务在双方进行通信之前,必须首先由源站发出一个请求的报文分组 ( 在该报文分组中要有源站和目的站的全部地址 ),请求与目的站建立连接,当目的站接受这个请求后,也发出一个报文分组作为应答,这样双方就 建立起来数据通路,然后 双方可以传送信息,当双方通信完成之后还必须拆除这个建立的连接 。 虚电路一经建立就要赋予虚电路号,它反映信息的传输通道,这样在传输信息报文分组时,就不必再注明源站和目的站的全部地址,相应地缩短了信息量,所以采用 虚电路服务就必须有连接建立,数据传输和连接释放这三个阶段 。 虚电路服务在传输数据时采用存储转发技术,即某个结点先把报文分组接收下来,进行验证,然后在把该报文分组转发出去 。 通过以上的叙述可以看出,虚电路和电路交换有很大的不同,我们通常打电话所采用的电路交换虽然也有连接建立,
数据传输和连接释放这三个阶段,但它是两个通话用户在通话期间自始自终地占用一条端到端的物理信道,即在通话期间这条物理信道是不允许其它用户使用的 。 如果两个计算机之间采用一条虚电路进行通信时,由于采用存贮转发的分组交换,所以只是断续地占用一段又一段的链路,虽然我们感觉到好象占用了一条端到端的物理通路,但并不是在通信期间的完全占用,所以这也就是为什么称之为,虚,电路的原因 。 在使用虚电路时,是由网络来保证报文分组按序到达,而且网络还要负责端到端的流量控制 。
4.2 TCP/IP协议
4.2.1 TCP/IP协议概述
4.2.2 Internet 网际协议 ( IP)
4.2.3 TCP/IP的配置
4.2.4 TCP/IP测试
4.2.5 下一代的网际协议 IPv6
返回
TCP/IP协议,即 传输控制协议 /网际协议 。 Internet网络的前身是
ARPANET,当时使用的并不是 TCP/IP协议,而是一种叫 NCP( Network
Control Protocol,网络控制协议 ) 的网络协议,但随着网络的发展和用户对网络的需求不断提高,设计者们发现,NCP协议存在着很多的缺点以至于不能充分支持 ARPANET网络,特别是 NCP仅能用于同构环境中
( 所谓同构环境是网络上的所有计算机都运行相同的操作系统 ),设计者就认为,同构,这一限制不应被加到一个分布广泛的网络上,这样在
20世纪 60年代后期开发出来了用于,异构,网络环境中的 TCP/IP协议,
也就是说,TCP/IP协议可以在各种硬件和操作系统上实现,并且 TCP/IP
协议已成为建立计算机局域网,广域网的首选协议,并将随着网络技术的进步和信息高速公路的发展而不断地完善 。
TCP/IP协议开发早于 OSI参考模型,故不甚符合 OSI参考标准 。 大致说来,TCP协议对应于 OSI参考模型的传输层,IP协议对应于网络层 。 虽然
OSI参考模型是计算机网络协议的标准,但由于其开销太大,所以真正采用它的并不多,TCP/IP协议则不然,由于它的简洁,实用,从而得到了广泛的应用,可以说,TCP/IP已成为事实上的工业标准和国际标准 。
4.2.1 TCP/IP协议概述在 TCP/IP网络中,每个主机都有唯一的地址,它是通过 IP协议来实现的 。 IP协议要求在每次与 TCP/IP网络建立连接时,每台主机都必须为这个连接分配一个唯一的 32位地址,因为在这个 32位 IP地址中,不但可以用来识别某一台主机,而且还隐含着网际间的路径信息 。 需要强调指出的,这里的主机是指网络上的一个节点,不能简单地理解为一台计算机,
实际上 IP地址是分配给计算机的网络适配器 ( 即网卡 ) 的,一台计算机可以有多个网络适配器,就可以有多个 IP地址,一个网络适配器就是一个节点 。
IP地址共有 32位地址,一般以 4个字节表示,每个字节的数字又用十进制表示,即每个字节的数的范围是 0~255,且每个数字之间用点隔开,
例如,192.168.101.5,这种记录方法称为,点 -分,十进制记号法 。 IP地址的结构如下所示:
4.2.2 Internet 网际协议 ( IP)
1,IP地址网络类型 网络 ID 主机 ID
按照 IP地址的结构和其分配原则,可以 在 Internet上很方便的寻址,先按 IP地址中的网络标识号找到相应的网络,再在这个网络上利用主机 ID找到相应的主机 。 由此可看出 IP地址并不只是一个计算机的代号,而是指出了某个网络上的某个计算机 。 当你组建一个网络,为了避免该网络所分配的 IP地址与其他网络上的 IP地址发生冲突,你必须为该网络向 InterNIC( Internet网络信息中心 ) 组织申请一个网络标识号,也就是这整个网络使用一个网络标识号,然后再给该网络上的每个主机设置一个唯一的主机号码,这样网络上的每个主机都拥有一个唯一的 IP地址 。 另外,国内用户可以通过 中国互联网络信息中心 ( CNNIC) 来申请 IP地址和域名 。 当然,如果网络不想与外界通信,就不必申请网络标识号,而自行选择一个网络标识号即可,只是网络内的主机的
IP地址不可相同 。
2,IP地址的分类为了充分利用 IP地址空间,Internet委员会定义了五种 IP地址类型以适合不同容量的网络,即 A类至 E类,如图 4-1所示 。 其中 A,B,C三类由
InterNIC( Internet网络信息信心 ) 在全球范围内统一分配,D,E类为特殊地址 。
网络类别 最大网络数第一个可用的网络号最后一个可用的网络号每个网络中的最大主机数
A 126 1 126 16777214
B 16382 128.1 191.254 65534
C 2097150 1 9 2,0,1 2 2 3,2 2 5,2 5 4 254
IP地址的使用范围
3.子网及子网掩码
( 1)子网子网是指在一个 IP地址上生成的逻辑网络,它使用源于单个 IP地址的
IP寻址方案,把一个网络分成多个子网,要求每个子网使用不同的网络 ID,通过把主机号 ( 主机 ID) 分成两个部分,为每个子网生成唯一的网络 ID。 一部分用于标识作为唯一网络的子网,另一部分用于标识子网中的主机,这样原来的 IP地址结构变成如下三层结构:
网络地址部分 子网地址部分 主机地址部分这样做的好处是可节省 IP地址 。 例如,某公司想把其网络分成四个部分,每个部分大约有 20台左右的计算机,如果为每部分网络申请一个
C类网络地址,这显然非常浪费 ( 因为 C类网络可支持 254个主机地址 ),而且还会增加路由器的负担,这时就可借助子网掩码,将网络进一步划分成若干个子网,由于其 IP地址的网络地址部分相同,则单位内部的路由器应能区分不同的子网,而外部的路由器则将这些子网看成同一个网络 。 这有助于本单位的主机管理,因为各子网之间用路由器来相连 。
( 2) 子网掩码子网掩码是一个 32位地址,它用于屏蔽 IP地址的一部分以区别网络 ID
和主机 ID;用来将网络分割为多个子网;判断目的主机的 IP地址是在本局域网还是在远程网 。 在 TCP/IP网络上的每一个主机都要求有子网掩码 。
这样当 TCP/IP网络上的主机相互通信时,就可用子网掩码来判断这些主机是否在相同的网络段内 。
如表 4-2所示为各类 IP地址所默认的子网掩码,其中值为 1的位用来定出网络的 ID号,值为 0的位用来定出主机 ID。 例如,如果某台主机的 IP地址为 192.168.101.5,通过分析可以看出它属于 C类网络,所以其子网掩码为 255.255.255.0,则将这两个数据作逻辑与 ( AND) 运算后结果为
192.168.101.0,所得出的值中非 0位的字节即为该网络的 ID。 默认子网掩码用于不分子网的 TCP/IP网络 。
类 子网掩码 子网掩码的二进制表示
A 2 5 5,0,0,0 11111111 00000000 00000000 00000000
B 2 5 5,2 5 5,0,0 11111111 11111111 00000000 00000000
C 2 5 5,2 5 5,2 5 5,0 11111111 11111111 00000000 00000000
4,IP路由路由是数据从一个节点传输到另一个节点的过程 。 例如,我们要出发到某地,一般先确定到达目的地的路线 。 在 TCP/IP网络中,同一网络区段中的计算机可以直接通信,不同网络区段中的计算机要相互通信,则必须借助于 IP路由 。
在网络中要实现 IP路由必须使用路由器,而路由器可以是专门的硬件设备,如 Cisco公司的路由器等;若没有专用的路由设备,可以采用将某台计算机设置为路由器 。 不论用何种方式实现,路由器都是靠路由表来确定数据报的流向的 。 IP路由表实际上是相互邻接的网络 IP地址的列表 。 当一个节点接收到一个数据报时,便查询路由表,判断目的地址是否在路由表中,如果是,则直接送给该网络,否则转发给其他网络,直到最后到达目的地 。
在 TCP/IP网络中,IP路由器又叫 IP网关 。 每一个节点都有自己的网关 。 IP报头指定的目的地址不在同一网络区段中,就会将数据报传送给该节点的网关,如果网关知道数据报的去向,就将其转发到目的地 。
每一网关都有一组定义好的路由表,指明网关到特定目的地的路由 。
网关不可能知道每一个 IP地址的位置,因此网关也有自己的网关,通过不断转发,寻找路径,直到数据报到达目的地为止 。
IP地址,标识 TCP/IP主机的唯一的 32位地址;
子网掩码,用来测试 IP地址是在本地网络还是远程网络;
默认网关,与远程网络互连的路由器的 IP地址 。 如果没有规定默认网关,则通信仅局限于局域网络内部 。
TCP/IP协议的安装在前面的章节中已经具体地讲述过了,在这节中将重点讲述怎样配置基本的 TCP/IP参数 。
4.2.3 TCP/IP的配置以下将就一个示例来讲述具体的配置过程 。 例如某主机所在网络段为
202.204.60,由此网络段值可知该网络段为一个 C类网段,所以子网掩码应设置为 255.255.255.0,并且分配给该主机的 IP地址为 202.204.60.11。 该网络段与其他网络段连接的网关地址为 202.204.60.1。
设置 IP地址的前提条件是必须安装 TCP/IP协议 。 具体的设置步骤如下,
( 1),开始,→,设置,→,控制面板,,打开了,控制面板,对话框 。
( 2) 双击,网络,图标,打开,网络,属性对话框 。
( 3)选择网卡的 TCP/IP协议(本例中主机的网卡为 NE2000
Compatible,所以选择 TCP/IP →NE2000 Compatible ),然后单击“属性”按钮。选择,IP地址”选项卡。如图 4-4所示。在其上首先选择
“指定 IP地址( S)”,然后在,IP地址”后输入 202.204.60.11,“子网掩码”后输入 255.255.255.0。
( 4) 选择,网关,选项卡 。 如图 4-5所示 。 在新网关的后面填入:
202.204.68.1,然后单击,添加,按钮 。
( 5) 单击,确定,按钮 。
4.2.4 TCP/IP测试
1,TCP/IP测试工具 Ping
( 1) Ping工具的格式
Ping命令的格式为,ping目的地址 [ 参数 1] [ 参数 2] ……
其中目的地址是指被测试计算机的 IP地址或域名 。 Ping工具主要参数有:
A:解析主机地址 。
N:数据,发出的测试包的个数,缺省值为 4。
L:数值,所发送缓冲区的大小 。
T:继续执行 Ping命令,直到用户按 Ctrl+C终止 。
有关 Ping的其他参数,可通过在 MS-DOS提示符下运行 Ping或 Ping/? 命令来查看 。
( 2) 用 Ping工具测试 TCP/IP协议的工作情况使用 Ping程序来验证计算机的配置和测试路由连接的一般步骤:
① Ping回环地址以验证 TCP/IP已经安装且正确装入 。
命令,Ping 127.0.0.1
② Ping 工作站的 IP地址以验证工作站是否正确加入,并检验 IP地址是否冲突 。
命令,ping 工作站 IP地址
③ Ping默认网关的 IP地址,以验证默认网关打开且在运行,验证你是否可以与本地网络通信 。
命令,Ping 默认网关 IP地址
④ Ping 远程网络上主机的 IP地址以验证你能通过路由器进行通信 。
命令,Ping 远程主机的 IP地址若直接运行第 4步并获成功,则步骤 1~3默认都成功 。 在配置 TCP/IP的示例完成后,就可以进行 TCP/IP的测试了,看上面列举的配置 TCP/IP的示例是否成功 。
2.测试 TCP/IP协议配置工具 Ipconfig/Winipcfg
利用 Ipconfig和 Winipcfg工具可以查看和修改网络中的 TCP/IP协议的有关配置,如 IP地址,网关,子网掩码等 。 这两个工具在 Windows 95/98中都能使用,功能基本相同,只是 Ipconfig是以 DOS的字符形式显示,而
Winipcfg则用图形界面显示 。 在 Windows NT中仅能使用 Ipconfig工具 。
( 1) Ipconfig工具的命令格式和应用
Ipconfig可运行在 Windows 95/98/NT的 DOS提示符下,其命令格式为:
Ipconfig [/参数 l][/参数 2]……
其中两个最实用的参数为:
all:显示与 TCP/IP协议相关的所有细节,其中包括主机名,节点类型,
是否启用 IP路由,网卡的物理地址,默认网关等 。
Batch [ 文本文件名 ],将测试的结果存入指定的文本文件中,以便于逐项查看 。
其他参数可在 DOS提示符下键入,Ipconfig/?,命令来查看 。
( 2) Winipcfg工具的使用
Winipcfg工具的功能与 Ipconfig基本相同,只是 Winipcfg在操作上更加方便,同时以图形界面方式显示 。
在需要查看任何一台机器上 TCP/IP协议的配置情况时,只需在 Windows
95/98上选择,开始 → 运行,,在出现的对话框中输入命令,winipcfg”,
将出现测试结果 。
3,网络协议统计工具 Netstat
Netstat同样是运行于 Windows 95/98/NT的 DOS提示符下的工具,利用该工具可以显示有关统计信息和当前 TCP/IP网络连接的情况,网络管理人员可以得到非常详尽的统计结果 。 当网络中没有安装网管软件,但要对网络的整体使用状况作个详细地了解时,该工具特别有效 。 Netstat工具的命令格式为:
Netstat [-参数 1 ] [-参数 2]
其中主要参数有:
A:显示所有与该主机建立连接的端口信息 。
E:显示以太网的统计信息,该参数一般与 S参数共同使用 。
N:以数字格式显示地址和端口信息 。
S:显示每个协议的统计情况 。
其他参数,可在 DOS提示符下键入,netstat/?,命令来查看 。 另外,在
Windows 95/98/NT下还集成了一个名为 Nbtstat的工具,此工具的功能与
Netstat基本相同,如需要用户可通过键入 "nbtstat/?。 来查看它的主要参数和使用方法 。
4.2.5 下一代的网际协议 IPv6
IP地址的设计确实有不够合理的地方,
第一,设计者没有预计到微型计算机会普及得如此之快,使得各种局域网和网上的主机数目急剧增长 。
第二,IP地址在使用时有很大的浪费 。
在 l992 年 6 月 就 提 出 要 制 订 下 一 代 的 IP,即 IPng ( IP Next
Generation) 。 由于 IPv5打算用作面向连接的网际层协议,因此 IPng现正式称为 IPv6。 1995年以后陆续公布了一系列有关 IPv6的协议,编址方法,路由选择以及安全等问题的 RFC文档 。 IPv6主要在以下几个方面进行扩充和改进:
( 1) IPv6把原来 IPv4地址增大到了 128bit
( 2) 这种下一代的 IP协议并不是完全抛弃了原来的 IPv4,且允许与 IPv4
在若干年内共存 。
( 3) IPv6对 IP数据报协议单元的头部与原来的 IPv4相比进行了相应的简化
( 4) IPv6另一个主要的改善方面是在它的安全方面 。
IPv6的一个显著特点是它的地址范围很广,但同时也给维护带来很多麻烦,主要体现在人们阅读和操纵这些地址上 。 例如用原来 IPv4的,点 -分,
十进制来书写 IPv6的 128个比特的 IP地址为:
255.254.0.12.0.0.0.0.12.0.0.0.0.0.0.12
这看起来非常复杂,为了使地址再稍简洁些,IPv6用,冒号十六进制,
记法,它把每个 16比特的量用十六进制值表示,各量之间用冒号分隔 。
例如,如果前面所给的点分十进制数记法的值改为冒号十六进制记法,
就变成了:
FFFE:000C:0000:0000:0C00:0000:0000:000C
另外,IPv6还允许对这种冒号十六进制的地址记法进行压缩:
( 1) 一组中的前导零可以忽略不写 。 例如上面这个 IPv6地址中的第二组 000C可以直接写成 C,则该地址可压缩为,FFFE:C:0:0:C00:0:0:C。
( 2) 冒号十六进制记法还可以允许零压缩,即一串连续的零可以为一对冒号所取代,为了保证零压缩有一个不含混的解释,建议中还规定,
在任一地址中,只能使用一次零压缩 。 该技术对已建议的分配策略特别有用,因为会有许多地址包含连续的零串 。 例如:上面这个 IPv6地址可压缩为,FFFE:C::C00:0:0:C。
其次,冒号十六进制记法结合有点分十进制记法的后缀,这种结合在
IPv4向 IPv6的转换阶段特别有用 。 例如,下面的串是一个合法的冒号十六进制记法:
0:0:0:0:0:0:192.168.101.5
请注意,在这种记法中,虽然为冒号所分隔的每个值是一个 16比特的量,
但每个点分十进制部分的值则指明一个字节的值 。 再使用零压缩即可得出:
::192.168.101.5
4.3 Internet的域名管理
4.3.1 域名系统概述
4.3.3 DNS的设置
4.3.2 DNS域名结构返回在用户与 Internet上的某个主机通信时,IP地址的,点 -分,十进制表示法,虽然简单,但当要与多个 Internet上的主机进行通信时,单纯数字表示的 IP地址非常难于记忆,能不能用一个有意义的名称来给主机命名,而且它还有助于记忆和识别呢? 于是就产生了,名称 — IP地址,的转换方案,只要用户输入一个主机名,计算机会很快地将其转换成机器能识别的二进制 IP地址 。 例如,Internet或
Intranet的某一个主机,其 IP地址为 192.168.0.1,按照这种域名方式可用一个有意义的名字,www.myweb.com”来代替 。
4.3.1 域名系统概述早在 Internet 的前身
ARPANET时代,整个网络仅有数百台计算机,这时使用了一个叫
Hosts的文件,在其中列出了所有的主机名字和 IP地址 。 Hosts文件是一个纯文本文件,可用文本编辑器软件来处理 。 例如图 4-10所示,主机名与 IP地址的对应关系 。
只要在 Hosts文件中建立了 IP地址与主机名的对应关系后,则要与该主机通信 ( 例如访问该主机的主页 ),可直接用该主机名称即可 。 从图 4-10中可以看出 localhost 和 www.myweb.com所对应的 IP 地址都是回送地址
127.0.0.1,所以在浏览器的地址栏输入 localhost,www.myweb.com和
127.0.0.1都是等价的,但有一点要说明的是不同的操作系统,Hosts文件存放的目录是不同的 。 例如:在 Windows 2000 Server和 Windows NT中
Hosts 文件存放的目录为 %System%\System32\Drivers\Etc 目录中
( %System%表示为 Windows 2000 Server和 Windows NT的安装目录 ) ;而在 Windows 98中,文件名为,Hosts.sam”,存放的目录是,C:\Windows”,
不过要使该功能生效还必须将 Hosts.sam改名成 Hosts。
但 Hosts文件的应用也存在着许多的不足,而且它仅适用于小型的网络 。
因为如果是在大型网络中应用 Hosts文件,那么就必须将所有主机的 IP地址及所对应的主机名都输入到 Hosts文件中,可以想象,这是一件多么痛苦的事情,并且还要求每一台上网的主机都要拥有这样一个 Hosts文件 。
另外,更可怕的一个问题是其更新非常烦琐,当主机与 IP地址的对应关系发生变化时,每台主机的 Hosts文件也都必须随着更改,只有这样才能保持对应关系的一到性 。
正是由于上面所述的 Hosts文件的种种不足,从而引出另一种解决方式 —— 域名系统 ( DNS),并且得到了广泛的应用 。 域名系统是一种基于分布式数据库系统,并采用客户 /服务器模式进行主机名称与 IP地址之间的转换 。 通过建立 DNS数据库,记录主机名称与 IP地址的对应关系,并驻留在服务器端为处于客户端的主机提供 IP地址的解析服务 。 这种主机名到 IP地址的映射是由若干个 DNS服务器程序完成的 。 DNS服务器程序在专设的结点上运行,因此,人们也把运行 DNS服务器程序的计算机称为域名服务器 。
在广域网络发展的初期,也就是在 Internet网络还未形成规模以前,主要是通过在网络中发布一个统一的 Hosts主机文件,就可完成所有的主机查找,而当 Internet网络的规模越来越大以后,这种使用主机文件查找主机的方法就很难适用了,主要原因,一个是维护和更新困难,另一个是它使用非等级的名字结构,虽然其名字简短,但当 Internet网络上的用户数急剧增加时,由于要控制主机不能重名,所以用非等级名字空间来管理一个经常变化的名字集合是非常困难的 。 因此,Internet网络后来采用了层次树状结构的命名方法 —— DNS域名服务,就象全球邮政系统和电信系统一样 。 例如,一个电话号码是 086-027-33445566,在这个电话中包含着几个层次,086表示中国,区号 027表示武汉市,
33445566又表示该市某一个电话分局的某一个电话号码 。 同样,
Internet网络也采用类似的命名方法,这样任何一个连接在 Internet网络上的主机或路由器,都有一个唯一的层次结构名字即域名 。 这里的,域,
( Domain) 是名字空间中一个可被管理的划分 。 域名只是个逻辑上的概念,并不反映计算机所在的物理地点 。
4.3.2 DNS域名结构
DNS数据库的结构如同一棵倒过来的树,它的根位于最顶部,紧接着在根的下面是一些主域,每个主域又进一步划分为不同的子域 。
由于 InterNIC( Internet网络信息中心 ) 负责管理世界范围的 IP地址分配,顺理成章,它也就管理着整个域结构,整个 Internet的域名服务都是由 DNS来实现的,与文件系统的结构类似,每个域都可以用相对的或绝对的名称来标识,相对于父域来表示一个域可以用相对域名,绝对域名指完整的域名,主机名指为每台主机指定的主机名称,
带有域名的主机名叫全称域名 。
这是整个 Internet的域结构图 。 最高层次是顶级域又叫主域,它的下面是子域,子域下面可以有主机,也可以再分子域,直到最后是主机 。 要在整个 Internet来识别特定的主机,必须用全称域名 。
顶级域名常见的有两类:
国家级顶级域名 。
通用的顶级域名
DNS的设置分为两个部分来完成,一个是服务器端的设置,另一个是客户端的设置 。 服务器端的设置将在第五章的有关章节给读者介绍,在本节中仅给大家来说明客户端 ( 即工作站 ) 上的 DNS设置方法 。
在工作站上设置 DNS可以使得 DNS服务器为工作站解析网络上其他主机名称,从而获得其他主机的 IP地址,另外,若 DNS服务器对 DNS工作站进行了主机名称的注册,则可以为网络上的其他主机解析该工作站的主机名称,提供该主机的 IP地址 。 下面以 Windows 98为例来说明 DNS的设置方法:
4.3.3 DNS的设置
( 1) 打开,控制面板,,双击,网络,
图标;
( 2 ) 双击,TCP/IP” 协议,选择
,DNS配置,选项卡,打开如图 4-12
所示的对话框 。
( 3) 在,DNS服务器搜索顺序,中输入要使用的 DNS服务器的 IP地址,
如 192.168.0.1,点击,添加,按钮,则该 DNS服务器即被设定,并且被显示在 DNS服务器列表框中 。 排在最前面的 DNS服务器将被该工作站首先使用,当该 DNS服务器进行地址解析失败后,将使用后面的 DNS服务器进行地址解析 。
4.4 局域网与 Internet的连接返回
4.4 局域网与 Internet的连接如果在局域网中必须为每台计算机提供访问因特网的方式,从经济实用的角度出发,让局域网中所有计算机共享一个账号上网是可取的 。 目前可提供高速因特网接入技术较多,但现在常见以下几种方案:
( 1普通电话线拨号上网和 ISDN( 综合业务数字网 )
DDN专线三网合一 ( Cable Modem)
ADSL 非对称数字用户线先进的接入方式必须要有当地 ISP( Internet服务提供商 ) 的支持,在此基础上还要权衡在选择了某一接入方式后的性能价格比 。 根据笔者的调查和对部分接入的实际测试,在 10 台以下计算机组成的局域网中,通过一台
56KModcm共享一个账号上网时速度基本上能够满足要求 。 在 10-20台计算机组成的局域网中,一般可通过一台 ISDN设备上网 。 一个 ADSL和 Cable
Modem设备在支持 35台左右的计算机同时上网时,其速度与单机通过
56KModem上网基本相当 。
目前用于小规模局域网共享 Modem上网的软件大体分为两类:一类是代理服务器 ( Proxy Server) 软件;另一类是网关类 ( Gateway) 软件 。 如 SyGate就是网关类软件 。 尽管都能达到多机共用一个账号,
一条电话线和一个 Modem同时上网的目的,但以上两种软件工作时所扮演的角色是不一样的 。 从下面对网络和浏览器的使用设置就可以看出 。
,网关,类软件一定要在网络中设置网关,并且在浏览器中禁止
Proxy;,代理服务器,类软件则刚好相反 。,网关,类软件的设置比较简单,,代理服务器,类软件的设置和使用相对来说要复杂一些 。 但其功能更为强大 。
代理服务器连接 Internet和 Intranet,位于二者之间 。 运行代理服务器的这台计算机上有两个网络适配器,其中一个是网卡,连接 Intranet内部网,具有属于内部网的 IP地址;另一个根据与 Internet的连接方式的不同可以是网卡,ISDN适配器,调制解调器,拥有 Internet上的公开地址,一般这个地址是自动获得的 。 它既属于 Internet,又属于 Intranet,所以也叫它双宿型主机,如图 4-13所示 。
客户机双宿主机
Int e rne t
代理服务器软件就工作在两个网络适配器之上 。 Intranet上的用户利用客户端软件向代理服务器发出请求,代理服务器通过网卡上的内部 IP地址接收从内部网络传来的请求,然后作为代理用的公开 IP地址与 Internet
的访问目标建立连接,取回结果 。 再经过代理服务器将地址转换为内部
IP地址,转送到发出请求的主机上 。
安装代理服务器首先要确定 Intranet的 TCP/IP方案 。 目前有些代理服务器如 WinGate Pro带有 DHCP服务功能,对于工作组的网络在没有
Windows NT的情况下也能使用 DHCP的动态分配 IP地址的功能 。
在安装完代理服务器软件之后,首先要配置和测试 Intranet的 TCP/IP是否畅通,这可以在每个客户机上用 Ping命令来 Ping代理服务器的内部 IP地址 。 然后测试代理服务器与 Internet能否连通,这同样可以用 Ping命令,
比如 Ping www.yahoo.com。
Intranet上的用户能够通过代理服务器享受的 Internet服务必须要在代理服务器上进行设置,否则用户是无法使用该项服务 。 不同的代理服务器软件提供的服务项目不完全相同 。 但主流的服务都有是一样的 。
最后要配置用户使用的客户端软件,比如浏览器,FTP客户端程序等 。
4.5 计算机网络安全
4.5.1 网络安全概述
4.5.2 防火墙返回计算机的应用使机密和财富高度集中于计算机,计算机网络的应用使这些机密和财富随时受到联网的计算机用户攻击的威胁 。 所谓的
,黑客,,是指以各种非法手段企图渗入计算机网络的人 。 由于只需有一台微机和一个调制解调器 ( Modem),通过电话线就可以连接到网上,黑客们在家里就可以随时尝试非法渗入某个计算机网络 。
国外有许多,黑客俱乐部,,并且有黑客出版的杂志,公开交流
,黑客,经验 。 有的黑客甚至在会议上公开宣称,世界上任何一个计算机网络都被人非法入侵过 。 事实上,美国五角大楼也无法避免被黑客攻击 。
对于普通的拨号上网用户来说,最关心的还是自己计算机上的文件资料是否会被黑客窃取或被破坏 。 那么黑客们是如何侵入到别人的计算机上的呢? 这涉及到一种特洛伊木马程序 。
木马程序泛指那些内部包含有为完成特殊任务而编制的代码的程序,
而这些特殊代码一般处于隐藏方式,执行时不为人发觉,而其功能完全和程序所标称的功能无关 。 目前最有名的木马程序是 Back
Orifice。
4.5.1 网络安全概述防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,它包括用于网络连接的软件和硬件以及控制访问的方案 。 通常在 Internet和
Intranet之间安装防火墙,对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,保护 Intranet的安全 。
防火墙是一类防范措施的总称 。 这类防范措施简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现 。 它可以在 IP层设置屏障,
也可以用应用层软件来阻止外来攻击 。
防火墙的主要功能如下:
l 过滤不安全服务和非法用户,禁止末授权的用户访问受保护网络 。
l 控制对特殊站点的访问 。
l 提供监视 Internet安全和预警的方便端点 。 防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据 。
4.5.2 防火墙防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:
l 不能防范绕过防火墙的攻击 。 例如,如果允许从受保护的 Intranet
内部不受限制地向外拨号,一些用户可以形成与 Internet的直接 SLIP或
PPP连接 。 从而绕过防火墙,造成一个潜在的受攻击渠道 。
l 一般的防火墙不能防止受到病毒感染的软件或文件的传输 。 因为现在存在的各类病毒,操作系统以及加密和压缩二进制文件的种类太多,
以致于不能指望防火墙逐个扫描每个文件查找病毒 。
l 不能防止数据驱动式攻击 。 当有些表面看来无害的数据被邮寄或复制到 Internet主机上并被执行发起攻击时,就会发生数据驱动式攻击 。
例如,一种数据驱动的攻击可以造成一台主机修改与安全有关的文件,
从而使入侵者下一次更容易入侵该系统 。
l 难以避免来自内部的攻击 。 俗话说,家贼难防,,内部人员的攻击根本就不经过防火墙 。
1.防火墙的三种类型
( 1) 网络级防火墙
( 2) 应用级防火墙
( 3) 电路级防火墙
2.防火墙的结构
( 1) 双宿主机网关客户机双宿主机
Int e rne t
( 2) 屏蔽主机网关客户机单堡垒主机路由器
Int e rne t
客户机双宿堡垒主机路由器
I n t e r n e t
个人用户只能使用应用级防火墙 。 这种防火墙一般都是使用包过滤和协议过滤等技术实现的,能有效地防止用户数据直接暴露在 Internet中,
并记录主机和 Internet数据交换的情况,从而保证了用户的安全 。 下面以
,天网防火墙,为例来介绍如何构建个人防火墙 。
,天网防火墙,能有效的防止黑客入侵,抵御来自外部网络的攻击,
保证内部系统的资料不被盗取;在防止不法分子入侵的同时,,天网防火墙,还能保证用户的安全高速地访问全球公共资源 。
4.5.3 构建个人防火墙
1,天网防火墙的设置在使用天网防火墙时,用户应该根据计算机的配置和使用情况灵活地配置防火墙,使之适合用户的使用规则,使防火墙的效率达到最高 。 天网防火墙的常规设置如下:
( 1 ) 单击主界面上的,系统设置,按钮,出现系统设置对话框,如图
4-36所示 。
( 2 ) 若选择,开机后自动启动防火墙,,那么每次开机后,防火墙会自动启动 。
( 3 ),防火墙自定义规则,中的,重置,按钮主要用于把程序本身所提供的默认规则覆盖掉当前的规则 。 如果用户把安全规则调乱了,可以用这个功能恢复系统默认规则 。
( 4 ) 单击,浏览,按钮,选择报警时的声音文件,在用户设置的规则中有报警设置时,将会以这个声音文件报警 。 单击,重置,按钮,可以将报警声音文件恢复成系统默认文件 。
4.5.3 构建个人防火墙
4.5.3 构建个人防火墙
2,安全规则设置安全设置是系统最重要的,也是最复杂的地方 。 如果用户不熟悉网络,
最好不要调整它,而是直接使用程序设计好的默认规则 。 但是,如果用户熟悉网络,应可以非常灵活的设计适合的使用规则 。
( 1 ) 启动天网防火墙
( 2 ) 单击主界面上的,自定义 IP规则,图形按钮,打开如图 4-37所示的对话框 。 这里列出了所有规则的名称,该规则所对应的数据包的方向,
该规则所控制的协议 。 在列表的左边为该规则是否有效的标志,如果标记为勾表示规则有效,否则表示无效 。
( 3 ) 用户可以单击,自定义 IP规则,后面的按钮来完成增加,修改,
删除,保存/应用,向上,向下等操作 。
4.5.3 构建个人防火墙
3,其它设置
( 1) 日志在天网防火墙的主界面单击,日志,按钮,如图 4-40所示 。 用户可单击
,保存,按钮来保存日志信息,也可按,清空,按钮清空日志 。
( 2) 接通 /断开网络连接按下,接通 /断开网络,按钮,那么用户的计算机就完全与网络断开了,
就好像拔下了网线一样 。 没有任何人可以访问用户的计算机,并且用户也不可以访问网络 。
( 3) 应用程序网络状态按下,应用程序网络状态,按钮,打开应用程序网络状态的窗口以显示当前用户的计算机上应用程序所使用的协议及所占用端口的情况 。
4.5.3 构建个人防火墙本章首先给读者介绍了一些关于广域网的基础知识,使读者对于广域网的形成以及如何划分有个明确的认识。同时对广域网所使用的
TCP/IP协议作了比较详细的介绍,从 IP地址的分类、子网的划分、实际应用中如何对 TCP/IP协议进行安装设置,以及如何对 TCP/IP协议进行测试,这些都是在实际的网络管理中经常会遇到的。另外,在本章还给读者介绍了关于在广域网中对域名是如何进行管理的,即在网络的实际通信使用的是 IP地址,但其非常难于记忆,所以采用一种有意义的名字来代替(叫域名),这样就存在一种从域名到 IP地址的转换关系,这种转换是由 DNS服务器来完成的。最后,在本章还给读者介绍了局域网络接入 Internet的几种接入方案,在这个方案中还考虑到计算机网络的安全,
即如何保护网络内部的安全。
本节小结
