一、IP地址

（一）什么是IP地址？

连入互联网的计算机，每台计算机或者路由器都有一个由授权机构分配的号码，IP地址代表这一台计算机在网络中的地址

在同一个网络中IP地址是唯一的

IP（IPV4）地址是一个32位的二进制数的逻辑地址，将32位二进制数划分成4个字节，每个字节间以“.”区分

例如，IP地址11000000 10101000 11001000 10000000，用十进制表示就是192.168.200.128，这就是”点分十进制表示法“

IP地址 = 网络号 + 主机号

网络号：标识一个逻辑网络

主机号：标识网络中的一台主机

网络号相同的主机可以直接相互访问，网络号不同的主机需通过路由器才能相互访问

TCP/IP协议规定，根据网络规模的大小将IP地址分为5类（A、B、C、D、E）

（二）IPV4的分类

目前大量使用的IP地址仅是A、B和C类3种，不同类别的IP地址在使用上并没有好坏优劣等级之分

1、A类IP地址

第一个字节表示网络号：0xxxxxxx，可以表示的网络号数量 $2^{7}$ = 128个
全0的地址用来表示整个网络，是网络地址；全1的地址用于广播，是广播地址。这样可使用的网络号范围是1~126
后三个字节表示主机号： $2^{24}$ -2个，大约有1600万个主机号
全0是网络地址，用于表示整个网络中所有的主机，全1用作广播地址
常用于大型规模的网络

2、B类IP地址

前两个字节用做网络号，后两个字节用做主机号，且最高位为10

最大网络数为 $2^{14}$ -2=16382，范围是128.1~191.254

可以容纳的主机数为 $2^{16}$ -2，大约有6万多台主机

B类IP地址常用于中等规模的网络

3、C类IP地址

前3个字节用作网络号，最后一个字节用作主机号，且最高位为110

最大的网络数位 $2^{21}$ -2，大约有200多万，范围是：191.0.1.0~223.255.254

可以容纳的主机数为 $2^{8}$ -2，等于254台主机

C类IP地址通常用于小型网络

4、D类IP地址

最高位1110，是多播地址，主要是留给Internet体系结构居委会（IAB）使用的

5、E类IP地址

最高位为1111，保留在今后使用

（三）IPV6

下一代IP地址，共128位，以16位为一段，共为8段，每段的16位转换为一个4位的十六进制数，每段之间用“:”分开
例如，2001:0da8:d001:0001:0000:0000:0000:0001，还可以表示为：2001：da8：d001：1：0：0：0：1与2001：da8：d001：1：：1
与IPv4比，IPv6的优势：

IPv6有更大的地址空间

IPv6使用更小的路由表

IPv6增加了组播支持与对流支持

IPv6加入了自动配置的支持

IPv6具有更高的安全性

二、子网划分

（一）子网掩码

考虑到仅靠网络号不够用或因为单位限制使用浪费的情况，提出子网字段

把一个大网络划分为多个小网络，我们把划分出来的小网络称为此网络的“子网”，要分辨IP地址是属于哪个子网的那就得依靠“子网掩码”了

子网掩码由一串‘1’和一串‘0’组成，‘1’表示网络号，‘0’表示主机号
1’是包含了16位网络号和新划分的4位子网号，也就是在B类地址16位网络号的基础上，又从主机号中划出了4位作为子网号，和网络号一起组成了新的网络号

（二）为什么要进行子网划分？

由于计算机和网络的普及速度过快，连接上网络的主机数量越来越多，前期IP地址设计的不合理，造成了IP地址的浪费，利用率较低
子网可以按照不同单位的不同需求来自由的划分，使得单位对IP地址的管理和对网络的建设变得更加的方便，能够借助防火墙限制或控制外网访问本单位的内网，屏蔽许多有不良企图的网络访问信号

（三）子网划分的方法

确定需要划分的子网个数以及子网掩码
确定每个子网的子网号
根据子网号确定每个子网可使用的IP地址的范围及个数

划分子网后IP地址的组成为：网络号 + 子网号 + 主机号

注意

子网划分是属于单位内部的事，本单位以外是看不见这样的划分的。从外部看，这个单位只有一个网络号

外面的主机需要访问内部的主机，只有当外面的分组进入到本单位的网络范围的时候，再通过本单位的路由器根据子网号进行路由选择，最后才能找到并访问目的主机

例：某一小型公司申请了一个C类IP地址，其网络号为192.168.1.0，公司有五个部门，要求每个部门都要有自己的网络，并使每个部门能使用的IP地址的数量尽可能的多，请问此网络如何划分最好？

子网划分后，如何判断两个IP地址是否在一个子网中呢？

将两个IP地址分别和子网掩码做二进制的“与”运算。如果得到的结果相同，则属于同一个子网，结果不同则不属于同一个子网

例如：129.47.16.254、129.47.17.01、129.47.31.454、129.47.33.01，这四个B类IP地址如果在默认子网掩码的情况下是属于同一个子网的，但如果划分子网以后，子网掩码为255.255.240.0，则129.47.16.254和129.47.17.01是属于同一个子网的，另外两个IP地址是属于另外一个子网的

三、域名地址

（一）域名概念

计算机网络中利用IP地址唯一标识一台计算机，但是一组IP地址数字很不容易记忆，因此，我们会在网上的服务器取一个有意义并且相对而言比较容易记的名字，这个名字就叫域名（domain name）。
例如：百度的域名为www.baidu.com，这个大家应该都比较熟悉，但是你知道百度的IP地址吗？这个的话我相信大多数人都不清楚，14.215.177.39（112.80.248.76）就是百度的IP地址（电脑通过cmd命令提示符的ping命令能够查看到）
当然，由于在互联网中真正区分主机的还是IP地址，所以当使用者输入域名后，浏览器必须先到一台有包含域名和IP地址相互对应关系数据库的主机上去查询这台计算机的IP地址，这台被查询的主机就是域名服务器（Domain Name server，DNS）。例如：当我们在浏览器输入www.baidu.com时，浏览器会将www.baidu.com这个名字传送到离他最近的一台DNS服务器上去分析，如果找到了，就会传回这台计算机的IP地址，如果没查到，系统就会提示“DNS NOT FOUND”（没找到DNS服务器）。DNS服务器就像是网络中一张地图，地图上面标明了各个网址的地址，如果DNS服务器不工作了，就相当于地图丢了，找不到方向和地点了，就不知道该把信息发送到哪里了。

（二）域名的结构

一台主机的主机名由它所属各级域的域名和分配给该主机的名称共同构成，书写的时候，应该按照由小到大的顺序，顶级域名放在最右面，分配给的主机名称放在最左面，各级名字之间用‘.’隔开。

在域名系统中，常见的顶级域名是以组织模式划分的。例如：www.baidu.com这个域名，它的顶级域名为com，可以推论出它是一家公司的网站地址。除了组织模式顶级域名外，其他的顶级域名对应于地理模式。例如：www.chsi.com.cn这个域名，因为它的顶级域名为cn，所以可以推出它是中国的网站地址。

1、常见的顶级域名

顶级域的管理权被分派给指定的管理机构，各管理机构对其管理的域继续进行划分，即划分为二级域并将二级域名的管理权授予其下属管理机构，这样层层划分，就形成了层次状的域名结构。
互联网的域名由互联网网络协会负责网络地址分配的委员会进行登记和管理。全世界现有的三大网络信息中心分别为：INTER-NIC（负责美国及其他地区）、RIPE-NIC（负责欧洲地区）、APNIC（负责亚太地区）。中国互联网络信息中心（China Internet Network Information Center，CNNIC）负责管理我国顶级域名cn，负责为我国的网络服务商（ISP）和网络用户提供IP地址、自治系统AS号码和中文域名的分配管理服务。

2、互联网域名结构

3、域名地址的寻址过程

域名服务器的工作就是专门从事域名和IP地址之间的转换翻译。域名地址结构本身是分级的，所以域名服务器也是分级的。
域名服务器分析域名地址的过程实际上也就是找到与域名地址相对应的IP地址的过程，找到IP地址后，路由器再通过选定的端口在电路上构成连接，从这方面可以把域名服务器看成是一个数据库，一个存储了一定范围内主机和网络的域名与其IP地址对应关系的数据库。

举个例子：假如一个国外用户需要访问一台域名为host.edu.cn的中国主机，其大概过程如下图所示：

四、网路安全---系统安全性分析与设计

信息系统安全属性及策略手段

保密性：最小授权原则、防暴露、信息加密、物理保密
完整性：安全协议、校验码、密码校验、数字签名、公证
可用性：综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
不可抵赖性：数字签名

五、加密技术

（一）概念

加密技术是常用的安全保密手段
数据加密技术的关键：加密/解密算法、密钥管理
数据加密的基本过程：对原来的明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段代码，通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容，通过这样的途径使数据在传输过程中避免被窃取
数据加密和数据解密：加密和解密是一对逆过程

（二）密码体制

在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络信息的通信安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种

1、对称加密技术

约定一个加密密钥，加密和解密都用同一个密钥进行

缺点：加密强度不高，密钥分发困难
常见的对称加密算法

DES：替换+移位，56位密钥，64位数据块，速度快，密钥产生容易。

3DES（三重DES）：两个56位的密钥K1、K2

加密：K1加密→K2解密→K1加密

解密：K1解密→K2加密→K1解密

AES：高级加密标准Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，要求至少与3DES一样安全。

RC-5：RSA数据安全公司的很多产品都使用了RC-5。

IDEA算法：128位密钥，64位数据块，比DES的加密性更好，对计算机功能要求相对低，PGP

2、非对称加密技术

约定两个密钥，一个公钥，一个私钥，使用公钥加密，使用私钥解密

缺点：由于加密位数增多，加密速度慢，效率太低，不适用于内容庞大的数据加密
常见的非对称加密算法

RSA：512位（或1024位）密钥，计算量极大，难以破解

Elgamal：其基础是Diffie-Hellman密钥交换算法

ECC：椭圆曲线算法

其它非对称算法包括：背包算法、Rabin、D-H

3、什么情况用对称加密技术，什么情况用非对称加密技术呢？

对称加密技术和非对称加密技术是互补的：一般用对称加密技术发送数据，而用非对称加密技术发送密钥

六、防火墙技术

所谓的防火墙是建立再内外网络边界之间得过滤封锁机制，它认为内部网络是安全的可信赖的，而外部网络被认为是不安全的和不可信赖的。防火墙的作用是防止不希望的、未经授权的、未经允许的信息通信进出被保护的内部网络，它是通过边界控制强化内部网络的一种安全策略。它的实现有多种形式，但原理很简单，可以把它想象为两张门，其中一张门用来阻止传输，另一张门用来允许传输。防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，还要面对各种安全威胁，因此，选用一个安全、可靠、稳定的防火墙产品是很重要的

（一）防火墙技术的分类

（二）防火墙技术的发展

防火墙技术经历了包过滤、应用代理网关和状态检测３个发展阶段

1、包过滤型防火墙

（1）定义

包过滤防火墙一般有一个包检查块（通常称为包过滤器），数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤处在网络层和数据链路层之间。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定此包是否符合包过滤规则，并进行记录。对于不符合规则的包，进行警报并丢弃

（2）优点

防火墙对每条传入和传出网络的包实行低水平控制，每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙可以识别和丢弃带欺骗性源IP地址的包，包过滤防火墙是两个网络之间访问的唯一通道，包过滤通常被包含在路由器数据包中，所有不必额外的系统来处理这个特征。

（3）缺点

不能防范黑客攻击，因为网管不可能区分出可信网络与不可信网络的界限，它不支持应用层协议，因为它不认识数据包中的应用层协议，访问控制力度太粗糙，不能处理新的安全威胁。

2、应用代理网关防火墙

应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网的用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层的协议特征，对数据包的检测能力比较强。缺点是难于配置且处理速度非常慢，不能支持大规模的并发连接，对速度要求高的行业不能使用这类防火墙。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新应用在代理防火墙内被阻断，不能很好的支持新应用

3、状态检测技术防火墙

状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了十倍
状态检测防火墙摒弃了包过滤防火墙仅参考数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。它提供了完整的对传输层的控制能力，同时也改进了流量处理速度。因为它采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。

（三）典型防火墙的体系结构

一个防火墙系统通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器，它能够拦截和检查所有出站和进站的数据。代理服务器防火墙使用一个客户程序与特定的中间节点（防火墙）连接，然后中间节点再与期望的服务器进行实际连接的方法，内部与外部网络之间不存在直接连接，因此，及时防火墙发生了故障，外部网络也无法获得与被保护网络的连接。
典型防火墙的体系结构包括过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等类型。

1、包过滤路由器

包过滤路由器又称屏蔽路由器，是最简单、最常用的防火墙。它一般作用在网络层，对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法设计。包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包作出允许或拒绝的决定
采用包过滤路由器的防火墙的优点在于速度快、实现方便。缺点是安全性能差，不同操作系统下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差，没有或只有较少的日志记录能力

2、双宿主主机结构

双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机（又称堡垒主机）而构成的，每一个接口都连接在物理的逻辑上分离的不同的网段，代理服务器软件在双宿主主机上运行。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外网络之间的IP数据流被双宿主主机完全切断。主机结构采用主机取代路由器执行安全控制功能，受保护的网络除了看到堡主主机外，不能看到其他任何系统。同时堡垒主机不转发TCP／IP通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。
双宿主主机防火墙的优势是：堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等，有利于网络管理员的日后检查
其缺点是：由于唯一隔开内部网和外部因特网之间的屏障，若入侵者得到了双宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双宿主主机首先要禁止网络层的路由功能，还应具有强大的身份认证系统，尽量减少防火墙上用户的账户数目

3、屏蔽主机网关

屏蔽主机网关防火墙由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤，应用网关的作用是代理服务，即在内部网络与外部网络之间建立两道安全屏障
对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一网络，内部系统是允许直接访问Internet，还是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，使其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务
屏蔽主机网关防火墙的优点使安全等级较高。可以提供公开的信息服务的服务器，如Web、FTP等，可以放置在由包过滤路由器和堡垒主机共同的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置为允许外部用户直接访问公共的信息服务器。缺点是配置工作复杂。过滤路由器配置是否正确是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果遭到破坏，则数据包就不会被路由到堡垒主机上。

4、被屏蔽子网

被屏蔽子网防火墙系统由两个包过滤路由器和一个应用网关（堡垒主机）组成。包过滤路由器分别位于周边网与内部网之间，而应用网关居于两个包过滤路由器的中间，形成了一个“非军事区”（DMZ）,从而建立一个最安全的防火墙系统。
对于进来的信息，外部路由器用于防范通常的外部攻击，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机（还可能由信息服务器）。内部路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。对于去往Internet的数据包，内部路由器管理内部网络到DMZ网络的访问，它允许内部系统只访问堡垒主机。外部路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机去往Internet的数据包）
被屏蔽子网防火墙系统的优势：①入侵者必须突破3个不同的设备（外部路由器、堡垒主机、内部路由器）才能侵袭内部网络。②由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放。③由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。④包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。⑤内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。⑥由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）软件可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网