5.计算机网络基础知识
5.1防火墙的概念和功能
5.1.1防火墙的定义与分类
防火墙是一个由软件和硬件设备组合而成的,在内部和外部网之间,以及专用网与公共网的界面上构造的保护屏障。它是一种计算机软件与硬件的组合,在Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的入侵
防火墙的组成:服务访问规则、验证工具、包过滤、应用网关4这个部分组成
防火墙的分类
(1)网络层防火墙
(2)应用层防火墙
5.1.2防火墙的功能
防火墙的基本功能是控制计算机在计算机网络中不同信任程度区域间传送的数据流,如Internet是不可信任的区域,而内部网络是高度信任的区域。
防火墙的功能:
(1)网络安全的屏障
(2)强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
5.2网络设备简介
5.2.1路由的相关概念
5.2.1.1路由
路由是把信息从源穿过网络传递到目的地的行为,在路径中至少遇到一个中间节点。
路由的两个基本动作:
(1)确定最佳路径(选择路径)
(2)通过网络传输信息(也成为“交换”)
5.2.1.2路由器
路由器是工作在OSI第3层网络层上,具有连接不同类型的网络的能力并能够选择数据传送给路径的网络设备
路由器的3个特征:
(1)工作在网络层
(2)能连接不同类型的网络
(3)具有路径选择能力
常见的路由器的种类如下:
(1)接入路由器
(2)企业级路由器
(3)骨干级路由器
5.2.1.3路由表
路由表保存了子网的标志信息,网上路由器的个数和下一个路由器的名字
路由表分为如下两类:
(1)静态路由表
(2)动态路由表
5.2.1.4路由协议
RIP是Internet中常用的路由协议
OSPF是一种基于链路状态的路由协议
默认路由的作用是:当没有其他路由可选时最后选择的路由
5.2.2集线器
集线器是对接收到的信号进行整形放大,以扩大网络的传输距离,它工作在OSI的第1层物理层,与网卡网线的介质一样,属于局域网中基础设备,采用CSMA/CD协议访问,集线器属于纯硬件网络底层设备,它发送的数据没有针对性,采用广播的方式
广播发送数据的缺陷:
(1)可能带来数据通信的不安全因素
(2)采用共享带宽的广播方式可能造成网络塞车现象(即广播风暴),降低了执行效率
(3)非双工传输,网络通信效率低
集线器工作时的两个特点:
(1)在网络中只是起到信号放大作用和重发作用,不具备信号定向传输功能
(2)只与上联设备通信,与同层各个端口不会直接通信
集线器按照处理输入信号的方式分为以下3类:
(1)无源集线器
(2)有源集线器
(3)智能集线器
当一个集线器提供的端口不够,两种扩展方式:(1)堆叠、(2)级联
5.2.3光纤
光纤是一种利用光在玻璃或塑料制成的玻璃纤维的全反射原理制成的光传导工具
光纤的优点:频带宽、损耗低、重量轻、抗干扰、保真度高、工作性能强、成本下降
光纤按传输模式的分类:
(1)单模光纤:可以传输一种模式的光
(2)多模光纤:可以传输多种模式的光
单模光纤比多模光纤传输率高、传输距离长、成本高
5.3网络Internet协议层次
5.3.1网络协议相关概念
5.3.1.1网络协议
网络协议是指计算机网络中相互通信的对象实体间交换数据而建立的规则、标准或约定的集合
一个网络协议包含3个要素:
(1)语法
(2)语义
(3)时序
5.3.1.2网络协议的OSI参考模型
OSI计算机网络体系的通信协议划分为7层模型
物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
TCP/IP的4个层次
接口层、网络层、传输层、应用层
表5-2 TCP/IP模型与OSI模型的对应关系
|
OSI参考模型 |
TCP/IP参考模型 |
||
|
7 |
应用层 |
4 |
应用层 |
|
6 |
表示层 |
||
|
5 |
会话层 |
||
|
4 |
传输层 |
3 |
传输层 |
|
3 |
网络成 |
2 |
网络层 |
|
2 |
数据链路层 |
1 |
接口层 |
|
1 |
物理层 |
||
5.3.1.3网络协议的TCP/IP常见协议
TCP/IP各层常见的协议:
(1)接口层协议
Ethernet802.3、Token Ring 802.5、X.25、Frame reley、HDLC、PPP
(2)网络层协议
·IP(Internet Protocol 网际协议)
·ICMP(Internet Control Message Protocol 控制报文协议)
·ARP(Address Resolution Protocol 地址转换协议)
(3)传输层协议
·TCP(Transmission Control Protocol 传输控制协议)
·UDP(User Datagram Protocol 用户数据报协议)
(4)应用层协议
·FTP(File Transfer Protocol 文件传输协议)
·Telnet(用户远程登陆服务)
·DNS(Domain Name Service 域名解析服务)
·SMTP(Simple Mail Transfer Protocol 简单邮件传输协议)
·POP3(Post Office Protocol 3 邮局协议第3版本)
·SNMP(Simple Network Manager Protocol 简单网络管理协议)
·HTTP(Hypertext Transfer Protocol 超文本传输协议)
·TFTP(Trivial File Transfer Protocol 简单文件传输协议)
·SSL(Secure Socket Layer 安全套接字协议)
·HTTPS(Secure Hypertext Transfer Protocol 安全超文本传输协议)
5.3.2网络端口
TCP/IP将端口分为两类
(1)熟知端口(保留端口,0-1023)
(2)自由端口(一般端口,1024-65535)
熟知端口是事先规定的,为用户熟知的
自由端口是可以随时分配给用户进程所用的端口
表5-3 常见的熟知端口
|
端口号码 |
名称 |
注释 |
|
1 |
TCPMUX |
TCP端口服务多路复用 |
|
5 |
RJE |
远程作业入口 |
|
7 |
ECHO |
Echo服务 |
|
9 |
DISCARD |
用于连接测试的空服务 |
|
11 |
SYSTAT |
用于列举连接端口的系统状态 |
|
13 |
DAYTIME |
为请求主机发送日期和时间 |
|
20 |
FTP-DATA |
FTP数据端口 |
|
21 |
FTP |
FTP端口 |
|
22 |
SSH |
SSH服务 |
|
23 |
TELNET |
Telnet服务 |
|
25 |
SMTP |
简单邮件传输协议 |
|
37 |
TIME |
时间协议 |
|
39 |
RLP |
资源定位协议 |
|
42 |
NAMESERVER |
互联网名称协议 |
|
43 |
NICNAME |
WHOIS目录服务 |
|
50 |
RE-MAIL-CK |
远程邮件检查协议 |
|
53 |
DOMAIN |
域名服务 |
|
63 |
WHOIS++ |
扩展WHOIS服务 |
|
69 |
TETP |
小文件传输协议 |
|
70 |
GOPHER |
Gopher互联网文档查询和检索 |
|
80 |
HTTP |
超文本传输协议 |
|
88 |
KERBEROS |
网络验证系统 |
|
95 |
SUPDUP |
Telnet协议扩展 |
|
101 |
HOSTNAME |
SRI-NIC机器上主机名服务 |
|
107 |
RTELNET |
远程Telnet |
|
109 |
POP2 |
邮局协议版本2 |
|
110 |
POP3 |
邮局协议版本3 |
|
111 |
SUNRPC |
远程过程调用 |
|
112 |
AUTH |
验证身份识别协议 |
|
115 |
SFTP |
安全文件传输协议 |
|
123 |
NTP |
网络时间协议 |
|
143 |
IMAP |
互联网消息存取协议 |
|
161 |
SNMP |
简单网络管理协议 |
|
162 |
SNMPTRAP |
SNMP陷阱 |
|
194 |
IRC |
互联网中继聊天 |
|
199 |
SMUX |
SNMP Unix多路复用 |
|
209 |
QMTP |
快速邮件传输协议 |
|
220 |
IMAP3 |
互联网消息存取协议版本3 |
|
389 |
LDAP |
轻型目录存取协议 |
|
427 |
SVRLOC |
服务位置协议 |
|
443 |
HTTPS |
安全超文本传输协议 |
|
444 |
SNPP |
小型网络分页协议 |
|
487 |
SAFT |
简单不对称文件传输协议 |
|
535 |
IIOP |
互联网内部对象请求代理协议 |
|
546 |
DHCPV6-CLIENT |
动态主机配置协议版本6客户 |
|
547 |
DHCPV6-SERVER |
动态主机配置协议版本6服务 |
|
554 |
RTSP |
实时流播协议 |
|
563 |
NNTPS |
通过安全套接字层网络新闻传输协议 |
|
565 |
WHOAMI |
Whoami用户ID列表 |
|
587 |
SUBMISSION |
邮件消息提交代理 |
|
631 |
IPP |
互联网打印协议 |
|
636 |
LDAPS |
通过安全套接字层的轻型目录访问协议 |
|
674 |
ACAP |
应用程序配置存取协议 |
|
992 |
TELNETS |
通过安全套接字层的Telnet |
|
993 |
IMAPS |
通过安全套接字层的互联网消息存取协议 |
|
994 |
IRCS |
通过安全套接字层的互联网中继聊天 |
|
995 |
POP3S |
通过安全套接字层的邮局协议版本3 |
5.4网络IP地址和子网掩码的概念和计算
5.4.1网络IP地址
IP地址是一个32位的二进制地址,分为4组,每组8位,每个字节数值为0-255
IP地址按节点计算机所在网络规模分为5类:A、B、C、D、E类
(1)A类地址
A类地址由1个字节的网络地址和3个字节的主机地址组成,网络地址的最高位必须是0,表示范围是:1.0.0.1-126.255.255.254 默认的网络掩码为255.0.0.0
(2)B类地址
B类地址由2个字节的网络地址和2个字节的主机地址组成,网络地址的最高位必须是10,表示范围是:128.1.0.1-191.255.255.254 默认的网络掩码为255.255.0.0
(3)C类地址
C类地址由3个字节的网络地址和1个字节的主机地址组成,网络地址的最高位必须是110,表示范围是:192.0.1.1-223.255.255.254 默认的网络掩码为255.255.255.0
(4)D类地址
D类地址是第一个字节以1110开头,它是一个专门保留的地址,并不指向特定网络,目前用于多点广播
(5)E类地址
E类地址以1111开头,为将来使用保留
5.4.2子网掩码
子网掩码是一个32位的二进制数,用于屏蔽IP地址的一部分以区别网络标识与主机标识,左边是网络位,以二进制数字1表示,右边是主机位,用二进制数字0表示
例:求解一个C类地址为192.9.200.13网络号与主机号的步骤:
(1)将IP地址192.9.200.13转换为二进制11000000.00001001.11001000.00001101
(2)将子网掩码255.255.255.0转换为二进制11111111.11111111.11111111.00000000
(3)将两个二进制数逻辑与(AND)得到11000000.00001001.11001000.00000000,转化为十进制表示,即192.9.200.0,即网络号为192.9.200.0
(4)将子网掩码取反再与IP地址逻辑与(AND)得到00000000.00000000. 00000000 . 00001101 ,转化为十进制表示,即0.0.0.13,即主机号为0.0.0.13
子网的划分
未做划分的IP地址:网络号+主机号
做划分的IP地址:网络号+子网号+子网主机号
计算子网内包含的机器数目公式为2^n-2,其中n为子网掩码中主机位的长度
5.4.3下一代互联网IPV6
IPV6是下一代互联网的协议,大大扩展了地址空间,IPV6采用128位地址
与IPV4相比,IPV6的优势:
(1)明显扩大了地址空间
(2)提高了网络整体的吞吐量
(3)使得整个服务质量得到很大改善
(4)安全性有了很大的保证
(5)支持即插即用的移动性
(6)更好的实现了多播功能
5.5网络HTTP协议及网络故障检查方法
5.5.1网络HTTP协议
所有HTTP协议第一行都是状态行,依次是HTTP版本号,3位数字组成的状态代码,以及描述的短语,彼此间用空格展开
状态代码的第一个数字表示相应的类型:
(1)1×× 消息:请求已被服务器接受,继续处理
(2)2×× 成功:请求已被服务器接受,理解并接受
(3)3×× 重定向:需要后续操作才能完成这次请求
(4)4×× 请求错误:请求含有语法错误或无法被执行
(5)5×× 服务器错误:服务器在处理某个正确请求时发生错误
常见的HTTP错误代码如下:
表5-4 常见的HTTP错误代码
|
错误代码 |
说明 |
|
100 |
Continue,客户端继续请求 |
|
101 |
Witch Protocols,切换协议 |
|
200 |
OK, |
|
201 |
Created,请求已成功,且创建了新资源 |
|
202 |
Accepted,请求已接受处理,但还没完成 |
|
203 |
Non-Authoritative Information,实体头部返回信息不是有效的 |
|
204 |
No Content,服务器已完成请求,但不需要返回实体 |
|
205 |
Reset Content, 服务器已完成请求,用户代理应该复位 |
|
206 |
Partial Content, 服务器已完成局部请求 |
|
300 |
Multiple Choices,所请求的资源符合集合的任何一个 |
|
301 |
Moved Permanently,锁清秋的资源已经指到一个新的永久URI |
|
302 |
Found,,所请求的资源临时存在不同的URI |
|
303 |
See Other,请求的相应可以在不同的URI中发现 |
|
304 |
Not Modified,没有变化 |
|
305 |
Use Proxy,请求的资源必须通过代理访问 |
|
307 |
Temporary Redirect,所请求的资源临时存在不同的URI |
|
400 |
Bad Request,请求无效 |
|
401 |
Unauthorized,未授权 |
|
402 |
Payment Required,保留 |
|
403 |
Forbidden,禁止访问 |
|
404 |
Not Found,无法找到文件 |
|
405 |
Method Not Allowed,资源禁止 |
|
406 |
Not Accepted,无法接受 |
|
407 |
Proxy Authentication Required,要求代理身份验证 |
|
408 |
Request Time-out,请求超时 |
|
409 |
Conflict,冲突 |
|
410 |
Gone,永远不可用 |
|
411 |
Length Required,没有定义长度,服务器拒绝 |
|
412 |
Precondition Failed,先决条件失败 |
|
413 |
Request Entity Too Large, 请求URI太长,服务器拒绝 |
|
414 |
Request URI Too Large,请求URI太长 |
|
415 |
Unsupported Media Type,不支持媒体类型,服务器拒绝 |
|
416 |
Requested range not satisfied,请求范围不对 |
|
417 |
Expectation Failed,请求头部域不对 |
|
500 |
Internet Server Error,内部服务器错误 |
|
501 |
Not Implemented,未实现 |
|
502 |
Bad Gateway,,网关错误 |
|
503 |
Service Unavailable,服务器当前不能处理请求 |
|
504 |
Gateway Time-out,网关超时 |
|
505 |
HTTP Version Supported ,不支持的版本 |
5.5.2网络故障检查方法
Ping是检查网络是否通畅或者网络连接速度
Tracert是跟踪IP数据报的访问路径来确定从一个主机到网络上其他主机的路由
Netstat是显示网络连接,路由表,网络接口信息的命令,可以让用户得到目前哪些网络连接正在运行
ARP是确定对应IP地址的物理网卡地址
采用ping命令检测网络故障的步骤:
(1)先输入ping127.0.0.1,本地循环地址,如无法ping通,则表明本地机的TCP/IP协议不能正常工作
(2)如果操作成功,接下来ping本机IP。若通,则表明网络适配器(网卡或调制解调器)工作正常,否则是网络适配器的问题
(3)最后ping同网段中某计算机的IP,如果ping不通,则表明网络线路故障
在IIS下多站点和配置
采用虚拟主机的3种方式
(1)使用不同的IP地址
(2)使用不同的端口号
(3)使用不同的主机头
SNMP(简单网络管理协议)的5种协议数据单元
(1)get-request操作
(2)get-next-request操作
(3)set-request操作
(4)get-response操作
(5)trap操作
一个SNMP报文由3部分组成:公共SNMP首部,get/set首部,trap首部和变量绑定