没有合适的资源?快使用搜索试试~ 我知道了~
NAT服务器与防火墙.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 44 浏览量
2022-07-06
08:25:32
上传
评论
收藏 448KB DOC 举报
温馨提示
试读
24页
NAT服务器与防火墙
资源推荐
资源详情
资源评论
NAT 服务器与防火墙
-NAT 服务器与防火墙
▓ 浅谈 IP
▓ NAT 原理及主要功能
▓ NAT 服务器的安装与使用
▓ iptables 在防火墙上的运用
▓ 实例练习
▓ 防火墙的简单设置
▓ iptables 设置文件参考范例
Squid 服务器有着快速读取功能,减少了客户端直接连接 Internet 的机会,不足,这在目前以 IPv
4 为主流的网络环境中,的确困扰着许多系统及网络设计人员。因此本章将使用 NAT 的方式来
提供这一问题的解决方案。除此之外,利用 NAT 概念的扩展,我们也将介绍防火墙的基本概念
以及它对企业网络安全性的影响。
◆ 浅谈 IP
因为 NAT 的使用主要是为了解决 IP 地址不足的问题,所以在学习 NAT 的内容前,必须先对 IP
地址的意义及功能要有基本的了解。本节将就 IP 的基本特性逐一介绍以帮助读者建立正确的概
念。
◆ IP 的定义
IP 是位于 OSI 网络模型中的网络层(Network Layer)能信协议,它也是 TCP/IP 通信协议,它
也是 TCP/IP 通信协议组件中最重要的两个通信协议之一,目前 Internet 中使用的版本是 IPv4,
有关它的标准都定义在 RFC 791 中。
◆ IP 主要定义 3 个基本概念:
● 在 TCP/IP 网络中定义数据传输的基本单位- -数据报(Datagram),所有数据在网络上传递都有
特定的格式。
● IP 运行路由(Routing)的功能,它会选择一条最佳路径供数据传输之用。
● 订立数据报在不可靠(Unreliable)的网络上传递时应该遵循的原则。
通常 IP 是利用以下的运作模式将数据发送到网络上的:
① 源主机 IP 层之上的传输服务会选将数据以 TCP 或 UDP 的格式发送到 IP 层上。
② IP 层再将来源及目地的地信息(用来在网络上路由的数据)与 IP 数据报组合。
③ 接下来 IP 层将数据报向下发送到网络接口层,在这一层中,数据链路服务会将 IP 数据报转
换成框架,以便在物理网络中的特定媒体上进行传递。
④ 因为每个 IP 数据报都包含来源及目的的地址,然后将这个地址与区域维护的路由表相比较,
再判定需进一步采取的转送动作,而在目的地主机上则要运行反向处理。
◆ IP 寻址
除了路由之外,IP 的另一项重要功能为寻址(Addressing)目前 Internet 上都使用这套标准来表
示主机和网络点的逻辑地址,而通过这个管理模式,可以确定每台主机或网络都拥有惟一的识别
方法,这可避免地址重复问题的发生。
有一点请大家注意的,每个网络设备的物理地址(MAC)也具有惟一性,可以用来精确表示网
络上的主机位置,但因为无法利用其地址来建立一套管理方法,所以通常无法达到寻址的功能所
以才设计出 IP 的寻址方法。
在 IPv4 中 , 每 台 主 机 所 使 用 的 IP 地 址 都 是 以 32 个 二 进 制 的 数 字 来 表 示 , 如
011110101011001010010110101101111,这种表示法可以确保 Internet 上的每台主机都有惟一的
地址,因为这些地址都需要经过 InterNIC 的授权才可以使用。如果知道特定的 IP 地址,就可以
利用这个地址来连接到此主机。
以上的例子中使用 32 个二进制的数字来表示 IP 地址,当然也可以使用十六进制(75652D6F)
或十进制(196965039)来表示,但这些表示法都很难让一般用户记忆。所以 IP 地址通常使用
Dotted Decimal Notation(DDN)表示法,它是将 32 个二进制的位分为 4 个字节(有时也称为
Octet),然后将每个字节以十进制来表示,而每个字节之间以一具句点(.)来分隔。因此,上例
中的 IP 地址 DDE 表示法为 117.101.45.111,这个表示法并没有什么特殊意义,只是利于识别的
方便,如图 1-1 所示。
根据 IP 的定义,每个 IP 地址都是由两个部分所组成:网络识别码(Network ID)及主机识别码
(Host ID)。例如,网络识别码包含 8 位,则主机识别码就有 32-8=24 个位。而用来判断网络识
别码的主机识别码包含的位数,就必须使用“子网掩码”(Subet Mask)和 IP 地址来运算,举例来
说,在一般情形下,IP 地址为 150.23.51.36 的网络识别码是“150.23”,而主机识别码为“51. 36”,
如图 1-2 所示。
网络识别码在网络中是相当重要的概念,因为它可用来识别 TCP/IP 网络中的网络节点,而所有
位于同一具网络节点中的主机,都拥有相同的网络识别码。换句话说,如果两台主机的 IP 地址
中包含相同的网络识别码,则它们可以互相传递信息,而无需通过路由器或网关转送。反之,如
果两台主机的 IP 地址经过子网掩码运算后的网络识别码不同,则它们必须通过路由器或网关转
送才可彼此通信。当在规划局域网时须特别注意这一点,否则随意地指定 IP 地址,可能会产生
无法通信的问题。
而主机识别码是用来识别 TCP/IP 网络中的节点(可能是工作站、服务器、路由器或其他 TCP/IP
设备),每台设备的主机识别码在本地的网络节点都必须惟一,如果同一个网络节点中的两台主
机具有相同的主机识别码,则它们会发生无法连接网络的问题,但是在不同网络节点中的两台主
机可以使用相同的主机识别码。例如,150.128.3.11 和 150.128.3.11 不以同时存在网络中,因为
它们的网络识别码和主机识别码都相同,但是 150.128.3.11 和 145.200.3.11 可以同时存在不同的
网络中,因为它们的主机识别码虽然相同,但是网络识别码却不同。
◆ IP 地址类别
因为每个 IP 地址都是由 32 个二进制的数字组成,所以理论上来说,应该会存在 2 的 32 次方个
合法 IP 地址(232=4294967296),但是事实上并没有如此多的 IP 地址。目前 InterNIC 利用控制 IP
地址中的第一个字节(前 8 个位)来区分为 5 个 IP 类别,我们称它们为 Class A、 Class B、Class
C、Class D、和 Class E、如图 1-3 所示。
● Class A
在 Class A 的网络中,每个网络都是利用前 8 个位来定义,因此有时也称为“/8 网络”。因为第一
个位已被事先定义为二进制的 0,所以 ClassA 的第 1 个字节是由 00000001~01111111,也就是十
进制的 1~127,但因为 127 是个特殊的网络识别码(Lookback Address),所以目前 Internet 上具
有 126 个 Class A 网络。
Class A 使用最后 3 个字节(24 个位)来表示主机识别码,因此每个 Class A 网络可以包含的主
机数目为 224,也就是 16777216 台主机。但是主机识别码全为 1 和 0 表示广播网络地址,因此
每个 Class A 网络实际的主机机数目为 16777214,由此可知,所有 Vlass A 的主机数目是
126*16777214=2113928964。
● Class B
在 Class B 网络中,每个网络都是利用前 16 个位来定义,因此有时也称为“/16 网络”。因为前 2
个位已被事先定义为二进制的 10,所以 Class B 的第一个字节是由 10000001~10111111,也就是十
进制的 128~191,而第二个字节也是网络识别码,所以 Internet 上具有 64*28=16384 个 Class B
网络。
Class B 使用最后 2 个字节(16 个位)来表示主机识别码,因此每个 Class B 网络可以包含的主
机数目为 216 ,也就是 65536 台主机。但是主机识别码,因此每个 Class B 网络可以包含的主机
数目为 65534,由此可知,所有 Class B 的主机数目是 167384 * 65534=1073709056。
● Class C
在 Class C 的网络中,每个网络都是利用前 24 个位来定义,因此有时也称为“/24 网络”。因为前 3
个位已被事先定义为二进制的 110,所以 Class C 的第一具个字节是由 11000001~11011111,也
就是十进制的 192~223,而第 2 和第 3 个字节也是网络识别码,所以目前 Internet 上具有 32 *
216=2097152 个 Class C 网络。
Class C 使用最后 1 个字节(8 个位)来表示主机识别码,因此每个 Class C 网络可以包含的主机
数目为 28,也就是 256 台主机。但是主机识别码全为 1 和 0 表示广播及网络地址因此实际的主
机数目为 254,而所有 Class C 的主机数目是 254 *2097152=532676608。
● Class D
Class D 的 IP 地址只供多点发送(Multicast)的群组计算机使用,也就是说以这些地址发送的信
息可以同时发送到多台主机,这些地址是用在某些特殊的软件组或服务。
Class D 网络的前 4 个位已被事先定义为二进制的 1110,所以 Class D 的第一个字节是由
11100001~1101111,也就是十进制 224~239,所以目前有 16 个 Class D 网络,但这些地址并不提
供给一般的 Internet 主机使用,它可以不具有子网掩码。
● Class E
Class E 的 IP 地址是属于实验用的地址,这些地址并不提供给一般的 Internet 主机使用,它的前
5 个位已被子事先定义为二进制的 11110,所以 Class E 的第一个字节是由 11110001~11110111,
也就是十进制的 240~254,所以目前有 15 个 Class E 网络。
● 私有 IP 地址(Private IP Address)
如果用户的网络不不连接 Internet,那么无湎为了使用 TCP/IP 通信协议而向 InterNIC 或 ISP 取得
已登录的 IP 地址使用权,在此情形下,IANA(Internet Assigned Numbers Authority)建议使用“私
有 IP 地址”。这些地址都是由 IANA 所保留,主要是提供在 TCP/IP 网络上的私人使用,Internet
上的主机也不可使用这些地址,而这些私有 IP 地址正是 NAT 运作上所使用的地址。
这些私有 IP 地址的范围如表 1-2 所示
注:
有些人习惯将这些 IANA 保留 IP 地址称为虚拟 IP,而开放在 Internet 上的地址则称为物理 IP 地
址,但是作者认为这些名称并不合适。因为这些保留的 IP 地址也是由 RFC 正式定义的 IP 地址,
何称“虚拟”呢?所以我们将用“内部 IP”表示从 IANA 所保留的 IP 地址,而在 Internet 上使用的 IP
地址则是以“外部 IP”来表示。
◆ 子网掩码(Subnet Mask)
子掩码和一般的 IP 地址相同,都是由 32 个二进制的数字所组成,它的惟一功能就是辨别 IP 地
址中网络识别码和主机识别码部分为什么,这在网络传输上相当重要,因为具有相同网络识别码
的主机要以直接地通信,而不同网络识别码的主机就需要通过网关来转送信息。
在利用子网掩码判断 IP 地址的网络识别码和主机识别码的部分时,要按以下的步骤来运算我们
在此以一个 Class B 的 IP 地址——150.23.56.25 和 Clalss B 默认的子网掩码---255.255.0.0 为例。
将 IP 地址转换为二进制表示法
在所有的子网掩码运算和子网分割运算中,所有的 IP 地址及子网掩码都必须先转换为二进制表
示法。在本例中 150.23.56.25 的二进制表示法为
10010110000101110011100000011001
注:
在转换为二进制表示法时须注意一点,如果不足 8 位时须以 0 补足,例如 56 的二进制表示法应
写成“00111000”,而不是“111000”。
将子网掩码转换为二进制表示法
在本例中子网掩码 255.255.0.0 的二进制表示法为 1111111111111110000000000000000,而各种类
型网络默认的子网掩码如表 1-3 所示。
将以二进制表示法的 IP 地址和子网掩码利用“AND”运算
所谓“AND”运算是指真值表中“与”的运算,只要二者其中有一个是 0,则运算后值就为 0,只有
在二者都为 1 的情形下才会为 1。有关“AND”运算的结果如下所示:
1 AND 1 = 1 1 AND 0 = 0
0 AND 1 = 0 0 AND 0 = 0
在了解“AND”运算后,就可以将以二进制表示法的 IP 地址和子网掩码利用“AND”来运算,运算
的过程及结果如图 1-4 所示。
运算结果中非 0 的部分为网络识别码
在 IP 地址和子网掩码利用“AND”运算后,它的结果中不是 0 的部分就是网络识别码,在本例中
为 150.23,但是通常习惯用 0 来将它写成类似 IP 地址的形态,如 150.23.0.0。在发送信息前,IP
即是以这种方法来判断目的地的主机是否存在本地网络,如果目的地主机位于远程网络,IP 就
会将此信息发送到路由或默认的网关,如图 1-5 所示。
剩余23页未读,继续阅读
资源评论
老帽爬新坡
- 粉丝: 82
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功