防火墙第二章课件

1、第2章 TCP/IP2.1 OSI七层模型 2.2 TCP/IP数据传输2.3 应用程序及工具2.1.1 OSI七层模型的产生在计算机网络中，除了TCP/IP以外，还使用着由制造开发商开发的数量众多的协议。为了使不同协议的网络实现互联，协议的标准化变得极为必要。因此，通过国际标准化组织-ISO（International Organaization for Standarization），推动了网络体系标准化。OSI参考模型的一个很重要特性就是它采用的是分层体系结构，OSI参考模型共划分为七层。2.1 OSI七层模型下一页返回总结起来，OSI七层参考模型具有以下优点： 简化了相关的网络操作。

2、提供即插即用的兼容性和不同厂商之间的标准接口。 使各个厂商能够设计出具备互操作性的网络设备，加快数据通信网络发展。 防止一个区域网络发生的变化移向另一个区域的网络，因此，每一个区域的网络都能够单独快速升级。 把复杂的网络问题分解成小的简单问题，易于学习和操作。2.1 OSI七层模型下一页返回上一页2.1.2 OSI模型层次结构及各层功能OSI参考模型的七层分别是：第一层物理层（Physical Layer）、第二层数据链路层（Data Link Layer）、第三层网络层（Network Layer）、第四层传输层（Transport Layer）、第五层会话层（Session Layer）、

3、第六层表示层（Presentation Layer）和第七层应用层（Application Layer），如图2 1所示。OSI七层参考模型是建设和设计网络的核心，其每一层都完成推动数据通信的特定任务，即每一层都有特定的功能。下面详细介绍各层的功能。2.1 OSI七层模型下一页返回上一页1. 物理层物理层是OSI七层参考模型的最底层或称为第一层。有一点需要明确的是，物理层并不是指物理设备或物理媒体，而是有关物理设备通过物理媒体进行互联的描述和规定。物理层协议还定义了接口的4个基本功能特性。2.1 OSI七层模型下一页返回上一页2. 数据链路层数据链路层是OSI七层参考模型的第二层。它的传输单位

4、是帧，通常，帧由地址段、数据段、控制段、校验段等字段组成。图2 2描述了一个简化的数据帧格式，数据帧的格式根据网络类型的不同而不同。在局域网中有以太帧、令牌环网帧，在广域网中有HDLC，PPP等。2.1 OSI七层模型下一页返回上一页3. 网络层网络层，在数据链路层中讨论的是两台相邻的设备之间的通信。但是，实际中的两台设备之间可能相隔很远，它们之间的通路可能要包括许多段链路，而数据链路层的协议不能解决由多条链路组成的通路的数据传送问题。这些问题都是由第三层，即网络层来解决的。2.1 OSI七层模型下一页返回上一页4. 传输层传输层的功能是保证在不同子网的两台设备间进行数据包可靠、顺序、无错地传

5、输。在传输层，数据传送的单位是段。传输层负责处理端对端通信，所谓端对端是指从一个终端（主机）到另一个终端（主机），中间可以有一个或多个交换结点。图2 4示意了传输层提供端到端的服务，网络层、数据链路层和物理层完成端到端通路的寻址和传输。2.1 OSI七层模型下一页返回上一页5. 会话层会话层是利用传输层提供的端到端的服务，向表示层或会话用户提供会话服务。会话层建立通信链接，保持会话过程通信链接的通畅，同步两个节点之间的对话，决定通信是否被中断以及通信中断时如何决定从何处重新发送。举例来说，某个用户登录到一个远程系统，并与之交换信息。会话层管理这一进程，控制哪一方有权发送信息，哪一方必须接收信息

6、，这其实是一种同步机制。2.1 OSI七层模型下一页返回上一页6. 表示层表示层就是将应用层的信息“表示”成一种格式，让对端设备能够正确识别。它关注的是格式的转换，就如同是应用程序和网络之间的翻译官。在表示层，数据将按照网络能识别的编码进行格式转换，由于不同的软件应用程序经常使用不同的数据格式编码，所以数据格式转换是必需的。它可以确保数字和文本以接收方的表示层可以阅读的格式发送。例如，在运行Windows 98的主机上向远端的IBM大型机读取数据，由于IBM大型机使用的是EBCDIC字符，而Windows98使用的是ASCII字符格式，如果没有翻译官的翻译，本要得到的是“good”，可在屏幕上

7、看到的却是串乱码，如图2 5所示。2.1 OSI七层模型下一页返回上一页7. 应用层应用层是OSI的最高层，它直接与用户和应用程序打交道，负责对软件提供接口以使程序能使用网络。这里的网络服务包括文件传输、文件管理、电子邮件的消息处理等。必须强调的是应用层并不等同于一个应用程序。例如，在网络上发送电子邮件，你的请求就是通过应用层传输到网络的。2.1 OSI七层模型下一页返回上一页2.1.3 层次间的关系OSI七层参考模型的每一层都具有清晰的特征。基本来说，第七层至第四层处理数据源和数据目的地之间的端到端通信，而第三层至第一层处理网络设备间的通信。另外，OSI参考模型的七层也可以划分为两组：上层（

8、第七层、第六层和第五层）和下层（第四层、第三层、第二层和第一层）。OSI参考模型的上层处理应用程序问题，并且通常只应用在软件上。最高层，即应用层是与终端用户最接近的。OSI模型的下层是处理数据传输的，物理层和数据链路层应用在硬件和软件上，最底层，即物理层是与物理网络媒介（比如电线）最接近的，并且负责在媒介上发送数据。2.1 OSI七层模型下一页返回上一页具体通信过程为：设左边的计算机为A，右边的计算机为B，如果计算机A上的应用程序要将信息发送到计算机B的应用程序，则计算机A中的应用程序需要将信息先发送到其应用层（第七层），然后此层将信息发送到表示层（第六层），表示层将数据转送到会话层（第五层）

9、，如此继续，直至物理层（第一层），在物理层，数据被放置在物理网络媒介中并被发送至计算机B；计算机B的物理层接收来自物理媒介的数据，然后将信息向上发送至数据链路层（第二层），数据链路层再转送给网络层，依次继续，直到信息到达计算机B的应用层，最后，计算机B的应用层再将信息传送给应用程序接收端，从而完成通信过程。2.1 OSI七层模型下一页返回上一页在网络通信中，通过传输该层的PDU到对方的同一层（对等层），以实现通信。从逻辑上讲，对等层间的通信是两个设备的同一层之间的通信。物理上，每一层都只与自己相邻的上下两层直接通信，下层通过服务访问点（SAP，Service Access Point）为上一层

10、提供服务。SAP是指同一设备中相邻两层间的信息交换之处，如同常用的邮箱，邮箱就是邮局为用户提供信件服务的访问点，邮递员将信件放入邮箱，用户再通过邮箱（服务访问点）取回自己的信件。2.1 OSI七层模型下一页返回上一页下面图2 6和图2 7示意了两个设备之间是如何建立通信的。从图2 6可以看出，两个设备建立对等层的通信连接，即在各个对等层间建立逻辑信道，对等层使用功能相同的协议实现对话。如主机A的第二层不能和对方的第三层直接通信。同时，同一层之间的不同协议也不能通信，比如主机A的E-mail应用程序就不能和对方的Telnet应用程序通信。图2 7示意了物理上两个设备间的数据流是通过物理传输线路进

11、行传递的。2.1 OSI七层模型下一页返回上一页2.1.4 数据封装1. 封装封装（Encapsulation）是指网络节点（Node）将要传送的数据用待定的协议头打包来传送数据，有时候，也可能在数据尾部加上报文，这时候，也称为封装。OSI七层模型的每一层都对数据进行封装，以保证数据能够正确无误地到达目的地，被终端主机理解及处理。2.1 OSI七层模型下一页返回上一页要理解封装是如何进行的，可以考察一下数据传输时是如何通过各层的。如图2 8所示，当数据从源端发出后，它就会从应用层一直向下传递到达其他各层。对所交换的数据进行打包的方式以及这些数据的流动方式都会随着每一层为终端用户所执行的网络服务

12、的变化而变化。以电信号形式表示的数据，必须通过线缆传送到正确的目标计算机中，然后再转化为能够被接收端所能读取的最初形式。正因为如此，硬件、软件和协议的开发人员意识到实现网络通信的最有效的方式就是进行分层处理。2.1 OSI七层模型下一页返回上一页2. 解封装当远程设备顺序接收到一串比特时，远程设备的物理层把这些比特传送到数据链路层进行操作。数据链路层会执行如下工作：第1步，检验该MAC目的地址是否与工作站的地址相匹配，或者是否为一个以太网广播地址。如果这两种情况都没有出现，就丢弃该帧。第2步，如果数据已经出错了，那么将它丢弃，而且数据链路层可能会要求重传数据。否则，数据链路层就读取并解释数据链

13、路报头上的控制信息。2.1 OSI七层模型下一页返回上一页第3步，数据链路层剥离数据链路报头和报尾，然后根据数据链路报头上的控制信息把剩下的数据向上传送到网络层。这个过程称为解封装（de-encapsulation），每一个后续层都会执行一个类似的解封装过程。可以把解封装过程看作为读取信封上的地址来判断是否是给你的信，如果信上写的是你的地址，你就可以从信封里取出信件。2.1 OSI七层模型返回上一页2.2.1 TCP/IP概述TCP/IP的目的是为实现计算机之间数据传送提供方法，它为应用程序提供了把数据发送到网络上的方法，同时也为网络提供了把数据分发给其他计算机或主机上应用程序的方法。TCP/

14、IP被安装到世界上各种类型的计算机、操作系统以及网络设备中。当前的TCP/IP是老版本。IP协议第4版（IPv4）在1981年9月标准化。1992年，在Internet工程任务组（IETF）的推动下，制定了新一代的Internet协议（IP）标准，通常称为IPng。IPng现在被称为IP协议第6版（IPv6）。2.2 TCP/IP数据传输下一页返回2.2.2 TCP/IP参考模型1. TCP/IP参考模型及与OSI模型比较TCP/IP是发展至今最成功的通信协议，它被用于构筑目前最大的、开放的互联网络系统Internet。TCP和IP是两个独立且紧密结合的协议，负责管理和引导数据报文在Inter

15、net上的传输。二者使用专门的报文头定义每个报文的内容。TCP负责和远程计算机的连接；IP负责寻址，使报文被送到其该去的地方。2.2 TCP/IP数据传输下一页返回上一页2. TCP/IP参考模型各层功能（1）应用层TCP/IP的高层协议设计成包含OSI模型中的会话层、表示层和应用层的功能。它的应用层能处理高层协议和有关表示、编码及会话控制的问题。TCP/IP协议集把所有与应用层相关的功能整合为一层，并且保证这一层的数据能够被下一层正确封装。TCP/IP协议集不仅描述了Internet层和传输层的技术规范（比如IP协议和TCP协议），还详细叙述了一些常用的应用层协议。2.2 TCP/IP数据传

16、输下一页返回上一页（2）传输层传输层提供从源主机到目的主机的传输服务。在端点（发送主机和接收主机）之间建立逻辑连接。传输层负责分段和重组上层应用程序发送的数据，并在端点之间重组成同一数据流。传输层数据流提供端到端的传输服务，也称为端到端的服务。2.2 TCP/IP数据传输下一页返回上一页（3）网络层在OSI参考模型中，网络层使得上层协议不用关心网络中的具体情况，网络层管理跨网络的连接。IP正式来说是作为TCP/IP网络层，因为其在TCP/IP互联网中的重要性，所以一般也可以称为TCP/IP模型中的Internet层。通过TCP/IP协议集传输数据，所有的上层和底层通信都需要通过IP协议。网络层

17、的目的是利用相应的本层协议发送分组。决定最佳路径和分组交换都在这层完成。2.2 TCP/IP数据传输下一页返回上一页（4）数据链路层和物理层数据链路层和物理层一般也被整合成网络访问层，这一层主要参与在传输IP分组时建立和网络介质的物理连接。这一层包括局域网和广域网技术，以及OSI参考模型中的物理层和数据链路层的内容。网络访问层的功能包括IP地址与物理硬件地址的映射，以及将IP分组封装成帧，基于不同硬件类型的网络接口，网络访问层定义了和物理介质的连接。网络访问层配置的一个典型例子是Windows系统采用第三方的网络接口卡（NIC）。根据不同的Windows版本，2.2 TCP/IP数据传输下一页

18、返回上一页操作系统会自动检测NIC，安装相应的驱动程序。如果使用一个版本较老的Windows系统，用户必须使用指定的网卡驱动程序。网卡厂商一般在软盘或光盘中提供相应的驱动程序。2.2.3 TCP/IP协议栈TCP/IP协议栈包含一簇协议，分别对应各个不同的层次，它完成特定的功能和应用。下面对每一层中的对应的协议加以介绍，如图2 12所示。网络层的主要协议有4个，即IP协议、ICMP协议、ARP协议和RARP协议。2.2 TCP/IP数据传输下一页返回上一页 IP协议是主要的一个网络层协议，提供无连接，尽力而为地分组传送路由。它不关心分组的具体内容，只查找把分组发送到目的地的路径。 互联网控制报

19、文协议ICMP（Internet Control Message Protocol）。在网络中，网关和主机用ICMP发送关于所发数据包的有关问题报告，如目的或端口不可达，或网络中出现拥塞等。 地址解析协议ARP（Address Resolution Protocol）用来将逻辑地址解析成物理地址。 反向地址解析协议RARP（Reverse Address Resolution Protocol）。通过RARP广播，将物理地址解析成逻辑地址。2.2 TCP/IP数据传输下一页返回上一页传输层的主要协议有TCP协议和UDP（User Datagram Protocol，用户数据报协议）协议。传输控

20、制协议TCP是面向连接的协议，用三次握手和滑动窗口机制来保证传输的可靠性和进行流量控制；用户数据报协议UDP是非面向连接的传输层协议。应用层包含大量常用的应用程序，主要有超文本传输协议HTTP（Hypertext Transfer Protocol）、远程登录Telnet、文件传输协议FTP（File Transfer Protocol）等。2.2 TCP/IP数据传输下一页返回上一页2.2.4 TCP/IP报文格式1. IP报文格式IP协议是TCP/IP协议族中最为核心的协议。它提供不可靠、无连接的服务，也即依赖其他层的协议进行差错控制。在局域网环境中，IP协议往往被封装在以太网帧中传送，而

21、所有的TCP，UDP，ICMP，IGMP数据都被封装在IP数据报中传送，如图2 13所示：IP数据报头部的格式（RFC 791）如图2 14所示。普通的IP数据包头部长度为20B（字节），不含选项字段。2.2 TCP/IP数据传输下一页返回上一页2. TCP分段格式TCP是一种可靠的面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后，在此连接上，被编号的数据段按序收发。同时，要求对每个数据段进行确认，以此保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。TCP头部结构（RFC 793，1323）如图2 15所示。2.2 TCP/I

22、P数据传输下一页返回上一页3. UDP数据段格式UDP是一种不可靠的、无连接的数据报服务。源主机在传送数据前不需要和目标主机建立连接。数据被冠以源端口号、目标端口号等UDP报头字段后直接发往目的主机。这时，每个数据段的可靠性依靠上层协议来保证。在传送数据较少、较小的情况下，UDP比TCP更加高效。UDP头部结构（RFC 793，1323）如图2 16所示。2.2 TCP/IP数据传输下一页返回上一页4. 套接字在每个TCP，UDP数据段中都包含源端口号和目标端口号字段。有时，把一个IP地址和一个端口号合称为一个套接字（Socket），而一个套接字对（Socket pair）可以唯一地确定互联网

23、络中每个TCP连接的双方（客户IP地址、客户端口号、服务器IP地址、服务器端口号）。如图2 17所示，是常见的一些协议和它们对应的服务端口号。2.2 TCP/IP数据传输下一页返回上一页2.2.5 TCP/IP数据封装TCP/IP协议栈与OSI参考模型同样都采用对等通信的模式。同OSI参考模型数据封装过程一样，TCP/IP协议在报文转发过程中，封装和解封装也发生在各层之间。发送方封装的操作是逐层进行的，各个应用程序将要发送的数据传送给传输层；TCP/UDP对数据分段为大小一定的数据段，加上本层的报文头。在传输层报文头中，包含接收的数据所属上层协议或应用程序端口号。传输层协议利用端口号来调用和区

24、分应用层不同的应用程序。加完传输层报文头，数据发送给网络层。网络层对来自传输层的数据段进行一定的处理，2.2 TCP/IP数据传输下一页返回上一页如利用协议号区分传输层协议，寻找下一跳地址，解析数据链路层中的物理地址等，加上本层的IP报文头，转换为数据包，再发送给数据链路层；数据链路层依据不同的协议加上本层的帧头，然后通过物理层以比特流的形式将报文发送出去。在接收方，这种解除封装的操作也是逐层进行的。从物理层到数据链路层，逐层去掉各层的报文头部，将数据传递给应用程序处理。图2 18示意了TCP/IP数据封装过程。2.2 TCP/IP数据传输下一页返回上一页2.2.6 TCP/IP数据传输1.

25、TCP/IP传输层简介TCP/IP传输层在源设备和目的设备上的应用程序间传输数据，彻底地了解传输层的运行是理解现代数据网络的基本。服务质量（Quality of Service）常用于描述在第四层传输层的作用，UDP协议也工作在第四层，并且可以提供无连接的网络服务。但是，工作在本层的主要协议是面向连接的TCP协议，它的主要功能是可靠而又准确地传输并控制源主机与目的主机之间的信息流。传输层的主要职责是提供端到端的控制，通过滑动窗口机制提供流控制，通过序号和确认机制来保证可靠性。2.2 TCP/IP数据传输下一页返回上一页2. TCP/IP数据传输（1）TCP连接建立、释放时的握手过程TCP协议是

26、一个面向连接的可靠的传输控制协议，在每次数据传输时都先要建立连接，当连接建立成功后才开始传输数据，数据传输结束后还要断开连接。由于TCP使用的网络层协议IP是一个不可靠、无连接的数据报传送服务，为确保连接的建立和拆除都是可靠的，TCP使用了三次握手的方式来建立可靠的连接，也就是说其中交换了三个消息；结束TCP连接则采用四次握手来实现。2.2 TCP/IP数据传输下一页返回上一页TCP使用报头中的标志同步段（Synchronization Segmen，SYN）来描述创建一个连接的三次握手中的消息，用结束段（FIN segment，FIN是finsh的简写）来描述拆除一个连接的消息。另外，握手过

27、程确保TCP只有在两端一致的情况下，才会打开或关闭一个连接。创建一个连接的三次握手过程中要求每一端产生一个随机32位序列号。因为每一个新的连接用的是一个新的随机序列号。2.2 TCP/IP数据传输下一页返回上一页（2）TCP可靠传输技术当TCP的连接建立好后，为保证数据传输的可靠，TCP协议要求对传输的数据都进行确认，为保证确认的正常进行，TCP协议首先对每一个分段都作了32位的编号，称为序列号。每一个分段都按照从起始号递增的顺序进行编号。TCP协议通过序列号以及确认号来确保传输的可靠性，每一次传输数据时标明该段的编号，以便对方确认，同时在确认字段对已收到的TCP分段确认。确认并不需要单独发包

28、确认，可以放在传到对方的TCP分段中，在TCP协议中并不直接确认收到哪些分段，而是通知发送方下一次该发送哪一个分段，2.2 TCP/IP数据传输下一页返回上一页表示前面的分段都已经收到，如果收到分段后没有分段要马上传到对方，TCP协议的确认通常采用延时几分之一秒后再做确认，而不是收到一个确认一个，接收端可能收到从X到X+N的N个后才开始确认，直接在确认字段中标N+X+1，通知对方下一次直接传N+X+1分段，这样减少确认的次数以增加确认的效率。如果M（MN）分段在传输中出错，则确认X+M通知发送方从X+M开始重传X+M分段以及以后所有分段。TCP的确认和重传技术对每一个分段都有唯一的编号，这样当

29、对方收到了重复的分段后容易区分，数据分段丢失后也容易定位重传的数据的编号。2.2 TCP/IP数据传输下一页返回上一页（3）TCP流量控制TCP初始连接一旦建立，两端就能够使用全双工通信交换数据段，并缓存所发送和接收的数据段。之所以要缓存所发送的数据段，是因为数据重传的需要，这样可以防止数据段不能到达或不能按顺序到达接收端引起的差错。TCP的采用滑动窗口机制实现流量控制功能，如图2 22所示。2.2 TCP/IP数据传输下一页返回上一页（4）TCP慢启动在以太网的环境下，当发送方不知道对方窗口大小的时候，便直接向网络发送多个报文段，直至收到对方通告的窗口大小为止。但如果在发送方和接收方有多个路

30、由器和较慢的链路时，就可能出现一些问题。一些中间路由器必须缓存分组，并有可能耗尽存储空间，这样就会严重降低TCP连接的吞吐量，因此采用了一种称为慢启动的算法，慢启动为发送方的TCP增加一个拥塞窗口，当与另一个网络的主机建立TCP连接时，拥塞窗口被初始化为1个报文段（即另一端通告的报文段大小），每收到一个ACK，拥塞窗口就增加一个报文段（以字节为单位，但慢启动以报文段大小为单位进行增加）。2.2 TCP/IP数据传输下一页返回上一页发送方取拥塞窗口与通告窗口中的最小值作为发送上限，拥塞窗口是发送方使用的流量控制，通告窗口则是接收方使用的流量控制。开始发送一个报文段，然后等待ACK。当收到该ACK

31、时，拥塞窗口从1增加为2，即可发送两个报文段。当收到这两个报文段的ACK时，拥塞窗口就增加为4。这是一种指数增加的关系。在某些互联网的中间某些点上可能达到了互联网的容量，于是中间路由器开始丢弃分组。这就通知发送方它的拥塞窗口开得过大。2.2 TCP/IP数据传输下一页返回上一页（5）通过防火墙的TCP/IP访问应用TCP/IP进行数据传输使用的是“数据包”，“数据包”也被称为“帧”，这两种叫法可以互换使用。数据包是发送到网络上的一个个离散的数据块。每一个发送的数据包都包括其发送主机所要共享的数据和这些数据如何在网络上路由及如何送给主机内应用程序的信息。TCP/IP也可以说是那些信息的额外信息，

32、有时也称为“开销”。每一种协议都会通过在帧头前添加自己的信息方式向数据包增加信息，这些被各种协议增加的信息也就是协议的“头部”（header）。头部包含了所有协议执行其功能所需要的信息。2.2 TCP/IP数据传输下一页返回上一页每一种协议都会依次添加它的头部，添加的顺序依据各协议在OSI参考模型中的位置而定。图2 23示意了基本TCP/IP数据包的结构。网络分为私有网络和公共网络，前者可能被限制访问，而后者允许任何人访问。私有网络通常比公共网络有更加严格的安全策略，实际上，公共网络没有什么安全可言。由于像Internet这样的公共网络并不安全，所以私有网络的管理员通常都会在私有网络与公共网络

33、的连接点处架设防火墙。当然如果两个私有网络的安全策略不同，则也应在两个私有网络之间安装防火墙。2.2 TCP/IP数据传输返回上一页2.3.1 TCP/IP应用层介绍在OSI参考模型中，应用层（第七层）为应用的通信组件提供了支持，如对文件传输、电子邮件、远程登录和网络管理等应用的支持。应用层是最靠近终端用户的一层。它决定系统之间是否具有进行同步通信的足够资源。如果没有应用层，就不会有网络通信的支持。应用层不能为其他层提供服务，但它为处于TCP/IP模型之外的应用程序提供服务。2.3 应用程序及工具下一页返回此外，应用层为模型中其他层的网络应用程序（比如浏览器或电子邮件程序）提供直接接口，或者使

34、用网络重定向器（redirector）为独立的应用程序（比如文字处理、电子制表以及演示管理器）提供间接接口。2.3 应用程序及工具下一页返回上一页2.3.2 应用程序及工具TCP/IP协议族有很多的应用程序和工具可用来实现Internet和其他IP网络的丰富功能。像Ping和Traceroute这样的工具属于基本故障诊断的服务，在判定网络或主机是否可用时非常有用。NAT和PAT通过在防火墙内使用一套特殊的私有地址可使网络节省地址空间。服务控制列表提供了一个基本防御战线，而域名服务使得主机IP地址可以映射为主机名。1. Ping，Traceroute和Netstat2.3 应用程序及工具下一页返

35、回上一页Ping，Traceroute和Netstat属于基本的故障诊断工具，用以判定计算机上TCPIP的状态。它们是几个较小的应用程序，一般操作系统中，如Windows，Linux和Solaris都含有这些程序。2. 使用地址转换（NAT）隐藏私有地址RFCl918指定了一些IP地址只用于私有网络而不用于Internet和任何其他网络，这些私有地址为/8，/12和/16。如果没有分配足够的公共地址，各个机构可以在其网络内部随便使用这些地址或将这些地址用于他们整个的网络。2.3 应用程序及工具下一页返回上一页由于许多机构都使用这些地址，所以它们不像其他IP地址那样是唯一的。因此，这些地址不能被

36、散布到私有网络之外。而人们则需要一些方法使那些有私有地址的主机能够进行Internet访问，这种方法就是NAT（Network Address Translation，网络地址转换）。3. 访问控制列表（ACL）路由器等网络设备都有基于访问控制列表（Access Control List，ACL）对TCP/IP网络流量进行过滤的能力，这个特性为网络提供了防范入侵的最初级保护。通常，ACL能够按照源与目的的IP地址、IP协议号以及TCP/UDP中的源与目的端口号对流量进行允许通过或拒绝通过的控制。2.3 应用程序及工具下一页返回上一页路由器等使用ACL对每个数据包进行检查，并根据与其地址及端口号

37、相应的指定规则对流量进行处理。下面以Cisco路由器为例来介绍ACL。ACL是一个连续的允许和拒绝语句的集合，关系到地址和上层协议。在Cisco路由器中，一个简单的ACL有如下命令：access-list 101 deny ip tcp host any eq telnetaccess-list 101 permit ip any any2.3 应用程序及工具下一页返回上一页这个基本ACL告诉路由器禁止所有从发起的Telnet会话，除此之外，允许其他所有流量通过。这个ACL必须在网络进出边界的接口中应用以使其能起到作用。4. 域名服务（DNS）为了将站点的名字和IP地址对应起来，人们开发了域名服务（DNS）。DNS用于Internet中，将域名转换成IP地址。域名可以由字母（A，az，不区分大小写）、数字（09）和连接符（）组成，各级域名之间用实点（.）连接。2.3 应用程序及工具下一页返回上一页DNS是分层的。顶级域，例如.com和.net，处于域名结构的顶端。各组织可以在顶级域的下面注册他们自己的域名。例如，如果一个公司有一个叫做“ip-network”的网络，它可以注册为。域名中的第一个字是某台主机的名字。在