计算机网络笔记-3
防火墙
常用两种防火墙:代理防火墙和包过滤防火墙
主要区别:所操作的协议栈层次及由此决定的IP地址和端口号的使用
代理防火墙
代理防火墙是一个运行多应用层网关的主机,能在应用层中继两个连接之间的流量。终止在TCP和UDP之间的连接
对外网接口分配一个全局路由的IP,对内网接口分配一个私有的IP
代理防火墙有两种形式,HTTP防火墙和SOCKS防火墙
- HTTP防火墙
HTTP防火墙类似Web服务器,提供Web缓存功能,也作为内容过滤器,能基于黑名单阻止用户访问某些Web网站。 - SOCKS防火墙
SOCKS防火墙应用广泛,支持代理传输,IPv6寻址等。
包过滤防火墙
- 包过滤防火墙作为互联网路由器,配置为丢弃或转发数据包头中符合(或不符合)特定标准的数据包,这些标准成为过滤器
- 访问控制列表ACT列出什么类型的数据包需要被丢弃或转发的基本政策
- 过滤器会拦截外网到内网的恶意流量,但不会限制从内网到外网。
DMZ
DMZ是网络的一个区域,介于外网与内网之间的一个特殊区域,也成隔离区。是为了解决安装防火墙后外网不能访问内网的问题而设立的一个缓冲区。
一般情况下,外部网络访问内部网络有两种方法:
- 一、主机放在内部网络LAN中,在路由器或者防火墙上做端口映射,开放路由器或者防火墙的端口和主机的端口。这种情况是在防火墙上开放了端口后,防火墙变得不安全。
- 二、服务器放在DMZ区域,建立DMZ网络,直接在路由器或者防火墙上做DMZ设置。
访问规则
- 内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 - 内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。 - 外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 - 外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 - DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。 - DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
DMZ与端口映射的区别
NAT的DMZ和端口映射本质上是不同的。因为NAT本身是个防火墙,防止外部非授权数据包通过路由器。
- 在没有打开DMZ功能的前提下,所有没有符合NAT表记录项的外部数据包到达路由器时,均作为非授权数据包,全部被抛弃。
- 当路由器打开DMZ功能时,这种非授权数据包将直接转发给DMZ主机,此时,DMZ实际上是完全暴露在互联网上,可以认为是互联网上的一台主机,比较危险;若DMZ主机IP为不存在时,功能相当不开DMZ,但路由器多了个转发的负担。
端口映射只是单个外部端口与单个内部主机端口之间的映射,实际上是在NAT转换表里面建立一个静态的项目,任何符合该NAT表项的外部数据包直接转发给内部某主机.
端口映射只是映射指定的端口,DMZ相当于映射所有的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。
NAT
NAT将内部系统的地址空间和互联网地址空间分隔开,所有内部系统都可以使用本地分配的私有IP访问互联网。
NAT的工作原理就是重写通过路由器的数据包的识别信息。(将数据包的源IP地址修改为面向internet的网络接口地址,同时修改校验码)
NAT分为基本NAT和NAPT
- 基本NAT利用地址池中的地址重写IP,来自同一端口需要两个IP
- NAPT会重写端口号以区分不同主机的流量
NAT内主机发起TCP连接过程
- 目标是Web服务器主机(IPv4地址212.110.167.157),数据包表示为(源IP:端口为10.0.0.126:9200,目的IP:端口为212.110.167.157:80)。
- NAT作为默认路由器,会收到这个包。注意到TCP报头中的SYN标志位是打开的,是一个新连接。会把数据包中的源IP修改为NAT路由器外部接口的IP(源IP:端口为63.204.134.177:9200,目的IP:端口为212.110.167.157:80),然后转发此数据包。
- NAT还创建一个内部状态(NAT会话)表示处理新连接,状态至少包括客户端的源端口和IP,称为NAT映射。
- 服务器以NAT外部地址和初始端口(端口保留)来回复,NAT收到后比对映射,确定内部主机。
网关和路由
网关
网关实质上是一个网络通向其他网络的IP地址,只有设置好网关的IP地址,TCP/IP协议才能实现不同网络之间的通信。
网关的IP地址是具有路由功能的设备的IP地址,包括:路由器、启用了路由协议的服务器、代理服务器
网关用于连接网络层之上执行不同协议的子网,能实现异构设备的通信。主要功能是:转换协议、转换数据格式、转换速率以实现统一。
默认网关是网络层的概念,主机本身不具有路由寻址能力,所以PC把所有的IP包发送到一个默认的中转地址上进行转发,也就是默认网关。
路由
路由是把数据从一个地方传送到另一个地方的行为和动作。路由器是执行这种行为动作的机器。
路由器用于连接多个网络或网段的网络设备。主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。
主要功能:
1、网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
2、数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
3、网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。
区别
网关和路由的区别是是否连接不同的网络
逻辑层面上不同网络指公网和私网
物理层面上不同网络指网络介质不同,如以太网、SDH和ATM等。
网关是逻辑概念,路由器是物理设备,路由器可以作为网关来使用,路由器可以实现网关的功能。
ICMP
ICMP网际报文控制协议
- 用于IP主机、路由器之间传递控制消息,包括数据包错误信息、网络状况信息、主机状况信息。
- 配合IP数据包提交,提高可靠性。封装在IP数据包中进行发送。
ICMP报文分为差错报告报文和查询报文
- 差错类型有目的不可达、重定向、超时等
- 查询报文通常成对出现,广泛使用的是回显请求/应答报文,通常称为ping
ICMP报文是被封装在IP数据报中发送的,发送请求的主机能收到应答报文,说明两台主机之间能使用IP协议进行通信,同时也能证明源主机与目的主机之间所有路由器的接收、处理、转发功能正常。