NAT服务器与防火墙可用.pdf资源-CSDN文库

版权申诉

网络文档

136 浏览量 2022-02-01 15:03:37 上传评论收藏 2.15MB PDF 举报

资源推荐

资源详情

资源评论

NAT服务器与防火墙

-NAT 服务器与防火墙

▓　浅谈 IP

▓ NAT原理及主要功能

▓ NAT服务器的安装与使用

▓ iptables在防火墙上的运用

▓　实例练习

▓　防火墙的简单设置

▓ iptables 设置文件参考范例

Squid 服务器有着快速读取功能，减少了客户端直接连接 Internet 的机会，不足，这在目前以 IPv

4 为主流的网络环境中，的确困扰着许多系统及网络设计人员。因此本章将使用 NAT 的方式来

提供这一问题的解决方案。除此之外，利用 NAT 概念的扩展，我们也将介绍防火墙的基本概念

以及它对企业网络安全性的影响。

◆ 浅谈 IP

因为 NAT 的使用主要是为了解决 IP 地址不足的问题，所以在学习 NAT 的内容前，必须先对 IP

地址的意义及功能要有基本的了解。本节将就 IP 的基本特性逐一介绍以帮助读者建立正确的概

念。

◆ IP 的定义

IP 是位于 OSI 网络模型中的网络层（ Network Layer）能信协议，它也是 TCP/IP 通信协议，它

也是 TCP/IP 通信协议组件中最重要的两个通信协议之一，目前 Internet 中使用的版本是 IPv4 ，

有关它的标准都定义在 RFC 791 中。

◆ IP 主要定义 3 个基本概念：

●　在 TCP/IP 网络中定义数据传输的基本单位 - -数据报（Datagram），所有数据在网络上传递都有

特定的格式。

● IP运行路由（ Routing ）的功能，它会选择一条最佳路径供数据传输之用。

●　订立数据报在不可靠（ Unreliable ）的网络上传递时应该遵循的原则。

通常 IP 是利用以下的运作模式将数据发送到网络上的：

① 源主机 IP 层之上的传输服务会选将数据以 TCP 或 UDP 的格式发送到 IP 层上。

② IP 层再将来源及目地的地信息（用来在网络上路由的数据）与 IP 数据报组合。

③ 接下来 IP 层将数据报向下发送到网络接口层，在这一层中，数据链路服务会将 IP 数据报转

换成框架，以便在物理网络中的特定媒体上进行传递。

④ 因为每个 IP 数据报都包含来源及目的的地址，然后将这个地址与区域维护的路由表相比较，

再判定需进一步采取的转送动作，而在目的地主机上则要运行反向处理。

◆ IP 寻址

除了路由之外， IP 的另一项重要功能为寻址（ Addressing ）目前 Internet 上都使用这套标准来表

示主机和网络点的逻辑地址，而通过这个管理模式，可以确定每台主机或网络都拥有惟一的识别

方法，这可避免地址重复问题的发生。

有一点请大家注意的，每个网络设备的物理地址（ MAC ）也具有惟一性，可以用来精确表示网

络上的主机位置，但因为无法利用其地址来建立一套管理方法，所以通常无法达到寻址的功能所

以才设计出 IP 的寻址方法。

在 IPv4 中，每台主机所使用的 IP 地址都是以 32 个二进制的数字来表示，如

011110101011001010010110101101111 ，这种表示法可以确保 Internet 上的每台主机都有惟一的地

址，因为这些地址都需要经过 InterNIC 的授权才可以使用。如果知道特定的 IP 地址，就可以利

用这个地址来连接到此主机。

以上的例子中使用 32 个二进制的数字来表示 IP 地址，当然也可以使用十六进制（ 75652D6F ）

或十进制（ 196965039 ）来表示，但这些表示法都很难让一般用户记忆。所以 IP 地址通常使用

Dotted Decimal Notation(DDN) 表示法，它是将 32 个二进制的位分为 4 个字节（有时也称为 Octet ），

然后将每个字节以十进制来表示，而每个字节之间以一具句点（ .）来分隔。因此，上例中的 IP

地址 DDE 表示法为 117.101.45.111，这个表示法并没有什么特殊意义，只是利于识别的方便，如

图 1-1 所示。

根据 IP 的定义，每个 IP 地址都是由两个部分所组成：网络识别码（ Network ID ）及主机识别码

（Host ID ）。例如，网络识别码包含 8 位，则主机识别码就有 32-8=24 个位。而用来判断网络识

别码的主机识别码包含的位数，就必须使用 ―子网掩码 ‖（Subet Mask）和 IP 地址来运算，举例来

说，在一般情形下， IP 地址为 150.23.51.36 的网络识别码是 ―150.23 ‖，而主机识别码为 ―51. 36 ‖，

如图 1-2 所示。

网络识别码在网络中是相当重要的概念，因为它可用来识别 TCP/IP 网络中的网络节点，而所有

位于同一具网络节点中的主机，都拥有相同的网络识别码。换句话说，如果两台主机的 IP 地址

中包含相同的网络识别码，则它们可以互相传递信息，而无需通过路由器或网关转送。反之，如

果两台主机的 IP 地址经过子网掩码运算后的网络识别码不同，则它们必须通过路由器或网关转

送才可彼此通信。当在规划局域网时须特别注意这一点，否则随意地指定 IP 地址，可能会产生

无法通信的问题。

而主机识别码是用来识别 TCP/IP 网络中的节点（可能是工作站、服务器、路由器或其他 TCP/IP

设备），每台设备的主机识别码在本地的网络节点都必须惟一，如果同一个网络节点中的两台主

机具有相同的主机识别码，则它们会发生无法连接网络的问题，但是在不同网络节点中的两台主

机可以使用相同的主机识别码。例如， 150.128.3.11 和 150.128.3.11 不以同时存在网络中，因为

它们的网络识别码和主机识别码都相同，但是 150.128.3.11 和 145.200.3.11 可以同时存在不同的

网络中，因为它们的主机识别码虽然相同，但是网络识别码却不同。

◆ IP 地址类别

因为每个 IP 地址都是由 32 个二进制的数字组成，所以理论上来说，应该会存在 2 的 32 次方个

合法 IP 地址（ 232=4294967296 ），但是事实上并没有如此多的 IP 地址。目前 InterNIC 利用控制

IP 地址中的第一个字节（前 8 个位）来区分为 5 个 IP 类别，我们称它们为 Class A 、 Class B 、

Class C、Class D、和 Class E、如图 1-3 所示。

● Class A

在 Class A 的网络中，每个网络都是利用前 8 个位来定义，因此有时也称为 ―/8网络 ‖。因为第一

个位已被事先定义为二进制的 0，所以 ClassA 的第 1 个字节是由 00000001~01111111，也就是十

进制的 1~127，但因为 127 是个特殊的网络识别码（ Lookback Address ），所以目前 Internet 上具

有 126 个 Class A 网络。

Class A 使用最后 3 个字节（ 24 个位）来表示主机识别码，因此每个 Class A 网络可以包含的主

机数目为 224，也就是 16777216 台主机。但是主机识别码全为 1 和 0 表示广播网络地址，因此

每个 Class A 网络实际的主机机数目为 16777214 ，由此可知，所有 Vlass A 的主机数目是

126*16777214=2113928964 。

● Class B

在 Class B 网络中，每个网络都是利用前 16 个位来定义，因此有时也称为 ―/16网络 ‖。因为前 2

个位已被事先定义为二进制的 10，所以 Class B 的第一个字节是由 10000001~10111111, 也就是十

进制的 128~191 ，而第二个字节也是网络识别码，所以 Internet 上具有 64*28=16384 个 Class B

网络。

Class B 使用最后 2 个字节（ 16 个位）来表示主机识别码，因此每个 Class B 网络可以包含的主

机数目为 216 ，也就是 65536 台主机。但是主机识别码，因此每个 Class B 网络可以包含的主机

数目为 65534，由此可知，所有 Class B 的主机数目是 167384 * 65534=1073709056 。

● Class C

在 Class C 的网络中，每个网络都是利用前 24 个位来定义，因此有时也称为 ―/24网络 ‖。因为前

3 个位已被事先定义为二进制的 110，所以 Class C 的第一具个字节是由 11000001~11011111，也

就是十进制的 192~223，而第 2 和第 3 个字节也是网络识别码，所以目前 Internet 上具有 32 *

216=2097152 个 Class C 网络。

Class C 使用最后 1 个字节（ 8 个位）来表示主机识别码，因此每个 Class C 网络可以包含的主机

数目为 28，也就是 256 台主机。但是主机识别码全为 1 和 0 表示广播及网络地址因此实际的主

机数目为 254，而所有 Class C 的主机数目是 254 *2097152=532676608 。

● Class D

Class D 的 IP 地址只供多点发送（ Multicast ）的群组计算机使用，也就是说以这些地址发送的信

息可以同时发送到多台主机，这些地址是用在某些特殊的软件组或服务。

Class D 网络的前 4 个位已被事先定义为二进制的 1110，所以 Class D 的第一个字节是由

11100001~1101111，也就是十进制 224~239 ，所以目前有 16 个 Class D 网络，但这些地址并不提

供给一般的 Internet 主机使用，它可以不具有子网掩码。

● Class E

Class E 的 IP 地址是属于实验用的地址，这些地址并不提供给一般的 Internet 主机使用，它的前

5 个位已被子事先定义为二进制的 11110，所以 Class E 的第一个字节是由 11110001~11110111，

也就是十进制的 240~254 ，所以目前有 15 个 Class E 网络。

●　私有 IP 地址（ Private IP Address ）

如果用户的网络不不连接 Internet ，那么无湎为了使用 TCP/IP 通信协议而向 InterNIC 或 ISP 取得

已登录的 IP 地址使用权，在此情形下， IANA （Internet Assigned Numbers Authority ）建议使用 ―私

有 IP 地址 ‖。这些地址都是由 IANA 所保留，主要是提供在 TCP/IP 网络上的私人使用， Internet

上的主机也不可使用这些地址，而这些私有 IP 地址正是 NAT 运作上所使用的地址。

这些私有 IP 地址的范围如表 1-2 所示

注：

有些人习惯将这些 IANA 保留 IP 地址称为虚拟 IP，而开放在 Internet 上的地址则称为物理 IP 地

址，但是作者认为这些名称并不合适。因为这些保留的 IP 地址也是由 RFC 正式定义的 IP 地址，

何称 ―虚拟 ‖呢？所以我们将用 ―内部 IP‖表示从 IANA 所保留的 IP 地址，而在 Internet 上使用的 IP

地址则是以 ―外部 IP‖来表示。

◆ 子网掩码（ Subnet Mask ）

子掩码和一般的 IP 地址相同，都是由 32 个二进制的数字所组成，它的惟一功能就是辨别 IP 地

址中网络识别码和主机识别码部分为什么，这在网络传输上相当重要，因为具有相同网络识别码

的主机要以直接地通信，而不同网络识别码的主机就需要通过网关来转送信息。

在利用子网掩码判断 IP 地址的网络识别码和主机识别码的部分时，要按以下的步骤来运算我们

在此以一个 Class B 的 IP 地址 —— 150.23.56.25 和 Clalss B 默认的子网掩码 ---255.255.0.0 为例。

将 IP 地址转换为二进制表示法

剩余23页未读，继续阅读

评论收藏

内容反馈

版权申诉

csh18750931974

粉丝: 0
资源: 8万+

NAT服务器与防火墙可用.pdf

NAT服务器与防火墙.pdf

NAT服务器与防火墙借鉴.pdf

NAT服务器与防火墙收集.pdf

NAT服务器与防火墙.doc

NAT服务器与防火墙整理.pdf

策略路由和NAT实现负载均衡实例(华为防火墙).pdf

防火墙RTSP协议处理流程及RTSPALG应用.pdf

LVS+KeepAlived+Nginx高可用实现方案.pdf

局域网中代理服务器、路由器的配置方案参照.pdf

阿里云产品手册2022-2023版.pdf

NAT服务器与防火墙归类.pdf

NAT和防火墙实验.pdf

NAT和防火墙实验借鉴.pdf

实验九防火墙和NAT服务器配置整理.pdf

防火墙／NAT路由器.pdf

一种新的基于Linux的邮件服务器集群系统.pdf

深信服应用交付AD 产品技术白皮书.pdf

RedHat_Linux_9_安装手册_介绍.pdf

SANGFOR_AF_v6.8_如何配置端口映射指导书.pdf

A10负载均衡白皮书

实验7：防火墙配置与NAT配置(2).pdf

Linux防火墙及NAT.pdf

防火墙NAT功能的典型配置.pdf

FreeBSD搭建大型网站架构的实验环境(虚拟机篇)借鉴.pdf

百问FreeSwitch.pdf

IT运维工程师笔试题[参考].pdf

linux运维笔试面试题.pdf

ROS多线路端口映射完美解决[汇编].pdf

最新资源