什么是网络的基础知识Word格式文档下载.docx

什么是网络的基础知识Word格式文档下载.docx

《什么是网络的基础知识Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《什么是网络的基础知识Word格式文档下载.docx（10页珍藏版）》请在冰豆网上搜索。

　　IP地址层次：

分为网络号和主机号两个层次。

网络号表示主机所属网络，主机号表示主机本身。

网络号与主机号的位数与IP地址分类有关。

　　3、IP地址分配

　　IP地址分配的基本原则是：

要为同一网络（子网、网段）内不同主机分配相同的网络号，不同的主机号。

　　4、IP地址常见分类

　　A类IP地址

　　一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”，地址范围从1.0.0.0到126.0.0.0。

可用的A类网络有126个，每个网络能容纳1亿多个主机。

　　B类IP地址

　　一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从128.0.0.0到191.255.255.255。

可用的B类网络有16382个，每个网络能容纳6万多个主机。

　　C类IP地址

　　一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。

范围从192.0.0.0到223.255.255.255。

C类网络可达209万余个，每个网络能容纳254个主机。

　　D类地址用于多点广播（Multicast）。

　　D类IP地址第一个字节以“1110”开始，它是一个专门保留的地址。

它并不指向特定的网络，目前这一类地址被用在多点广播（Multicast）中。

多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。

　　E类IP地址

　　以“llll0”开始，为将来使用保留。

　　5、特殊的IP地址

　　**受限的广播地址：

**32位全“1”的IP地址，只能做目的地址，用于向本网内部所有主机发送数据包（路由器拒绝向外网发送广播，隔离数据包在本网内）。

　　直接广播地址：

网络号全“1”，只能作目的地址，用于向目标网内所有主机发送数据包（路由器接受向外网转发数据包，意为广播在全网有效），如C类IP所有主机255.255.255.主机号、B类IP所有主机255.255.主机号。

　　**本网络本主机地址：

**32位全零的IP地址对应于当前主机，只能做源地址。

　　本网特定主机地址：

网络号全零的IP地址表示本网络内的特定主机（路由器拒绝目的地址为本网特定主机的数据包，意为只能向本网内特定主机发送数据包），只能做目的地址。

　　环回地址就是网络ID为127的IP地址，用于一台主机的客户端与服务器端通过TCP\IP进行通信或者本机进程间通信，一般在自己的主机上进行软件开发测试时候会用到的localhost（127.0.0.1）就是环回地址。

　　在IP地址3种主要类型里，各保留了3个区域作为私有地址，其地址范围如下：

　　A类地址：

10.0.0.0～10.255.255.255

　　B类地址：

172.16.0.0～172.31.255.255

　　C类地址：

192.168.0.0～192.168.255.255

　　二、子网掩码

　　子网掩码又叫网络掩码、地址掩码

　　上面我们说到IP地址分为网络号与主机号，但是路由如何区分网络号与主机号呢?

就需要通过子网掩码。

子网掩码必须与IP地址结合使用，A、B、C类的子网掩码分别为255.0.0.0，255.255.0.0与255.255.255.0（网络号字节为255，主机号字节为0）。

　　也就是说给你一个IP地址，那么怎么知道它的网络号和主机号各是多少位呢?

　　如果不指定，就不知道哪些位是网络号、哪些是主机号，这就需要通过子网掩码来实现

　　子网掩码的重要作用：

就是将某个IP地址划分成网络地址和主机地址两部分。

　　子网掩码的位数就是网络的位数。

A类网络的网络位数是8位，子网掩码就是255.0.0.0，B类网络的网络位数是16位，子网掩码是255.255.0.0，C类是24位，255.255.255.0。

　　以C类IP地址192.168.1.2为例使用子网掩码划分网络号与主机号。

　　当然，在计算主机号时，可不用取反子网掩码二进制，直接令其与IP地址异或即可。

　　例1不同子网下的主机能否直接通信（是否在同一网络/段下）

　　假设两个IP地址分别是172.20.0.18和172.20.1.16，子网掩码都是255.255.255.0。

　　我们可以知道两者的网络标识分别是172.20.0和172.20.1，无法直接通信，也就无法PING通。

要想能相互通信，需要将子网掩码改成255.255.0.0

　　例2如何理解172.20.1.0/26

　　上文中的26代表主机ID的掩码地址长度，从前往后有26位，即子网掩码的地址是255.255.255.192。

　　子网掩码还可以用来将网络划分为更小的子网，将IP的两极结构扩充成三级结构，节约地址空间，减轻路由器负担。

　　子网掩码的划分

　　如果要将一个网络划分为多个子网，如何确定子网掩码?

步骤如下：

　　第一步：

将要划分的子网数目转换为2的m次方。

如果不是恰好是2的多少次方，则按照取大原则。

　　第二步：

将上一步确定的幂m按照高序占用主机地址前m位，再转化为十进制。

如m为3，表示主机位中有3位被划分为网络标识号占用，因网络标识号都为1，故如是C类地址，主机号对应的字节变为11100000，转化为十进制后为224，故子网掩码为255.255.255.224，如果是B类网络，则子网掩码为255.255.224.0。

　　网关

　　网关（Gateway）又称网间连接器，就是一个网络连接到另一个网络的“关口”。

　　网关实质上是一个网络通向其他网络的IP地址。

比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192.168.1.254”，子网掩码为255.255.255.0;

网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。

在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。

而要实现这两个网络之间的通信，则必须通过网关。

如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机（如附图所示）。

网络B向网络A转发数据包的过程。

　　所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。

那么这个IP地址是哪台机器的IP地址呢?

网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。

什么是网络的基础知识

（二）

　　在计算机和网络化、信息化高速发展的今天，网络安全对一个国家很多领域都是牵一发而动全身的，网络安全已经成为了人们共同关注的内容。

这里我们来介绍下关于网络安全技术的基础知识。

网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。

　　防火墙技术

　　防火墙是一种较早使用、实用性很强的网络安全防御技术，它阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多网络安全的威胁。

在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。

防火墙主要是实现网络安全的安全策略，而这种策略是预先定义好的，所以是一种静态安全技术。

在策略中涉及的网络访问行为可以实施有效管理，而策略之外的网络访问行为则无法控制。

　　防火墙将网络划分为三个不同的区域：

内部网络（可信区域，防火墙要保护的对象，包括企业全部的网络设备和用户主机）、外部网络（非可信区域，防火墙要防护的对象，包括外部的网络设备和主机）、DMZ（隔离区/非军事化区域，从企业内部网络中划分出来的一个小区域，为Internettig某些信息服务，包含Web服务器、邮件服务器、FTP服务器、外部DNS服务器等）。

　　入侵检测与防护

　　入侵检测与防护的技术主要有两种：

入侵检测系统和入侵防护系统。

　　入侵检测系统（IDS）注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全策略的行为或攻击对象，并发出报警。

因此绝大多数IDS系统是被动的。

入侵防护系统（IPS）倾向于提供主动防护，注重对入侵行为的控制。

IPS通过直接嵌入到网络流量中实现这一功能，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

　　入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

如果把防火墙比喻是小区的保安，在门口拦截一切可疑人等，而入侵检测像是小区里的监控，监控在小区里发生的异常。

当攻击发生时，入侵检测系统只能发出警报，它并不能防止攻击的发生。

而入侵防御系统却能有效地组织攻击行为的发生，因为所有的网络流量在达到目标服务器之前，都需要流经入侵防御系统。

　　网络入侵方法

　　入侵检测的典型网络入侵方法包括：

　　1）拒绝服务器攻击:

阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。

广义上讲，任何能够导致用户的服务器不能正常提供服务的攻击都属于拒绝服务攻击，比如向对方的计算机和路由器等发送不正当的数据使其陷入不能使用。

　　2）IP地址欺骗:

产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。

这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台计算机的IP地址，从而冒充另外一台机器与服务器打交道。

　　3）会话劫持:

结合了嗅探以及欺骗技术在内的攻击手段。

例如在一次正常的会话过程中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。

　　蜜罐技术

　　我们介绍的防火墙和入侵检测技术、加密及数据恢复技术等均为被动式的防护模式，而蜜罐（Honeypot）技术属于新型主动防御技术，这项技术可有效地改善以往防护技术的纰漏。

蜜罐系统是一个包含漏洞的诱骗系统，通常使其伪装成一个看似有利用价值的网络、数据、电脑系统等，并且故意设置了可被利用的Bug或者系统漏洞，来吸引目标的攻击。

因为我们的蜜罐实质并没有提供有价值的服务，所以任何对蜜罐的访问尝试操作都是可疑的，通过蜜罐中的监控软件，我们可以监控到入侵者的行为，收集其入