数据包过滤防火墙的预备知识

大纲

OSI网络模型
IP协议
传输层协议
地址解析协议
主机名和IP地址
路由
服务端口
小结

用到的英文

OSI - Open System Interconnection
MAC - Media Access Control

防火墙的目的是为了执行管理员定义的安全策略
拥有防火墙并不意味着就拥有了全面的防护,安全是一个过程

1OSI网络模型

开放系统互联(Open System Interconnection,OSI)模型代表了基于层次的网络框架,OSI模型中的每一层都提供了不同的功能,共包含了7层

应用层
表示层
会话层
传输层
网络层
数据链路层
物理层

这些层有时候是以编号来标识的,物理层是第一层 .如果你听别人说过"三层交换机",就是工作在网络层

OSI模型中的每一层都很重要,那些每天都在使用的协议,例如,IP,TCP,ARP等都是分布在OSI模型的不同层,每一层在通信过程都扮演着不同的角色

OSI模型中的物理层被传输介质占据,例如电缆规格和相关的信号协议.换言之,他们传输比特. 多数情况下,除了保护设备和布线,网络入侵检测人员通常不会关心物理层的

在物理层的上层是数据链路层,数据链路层在给定的物理介质上传输数据,并负责传输过程中的错误检测和恢复 物理硬件地址的定义也在这一层,例如以太网卡的介质访问控制(Media Access Control,MAC)地址

在数据链路层之上的便是网络层了,负责逻辑寻址与数据路由. IP协议是网络层的协议,这意味着IP地址和子网掩码由网络层使用.路由器和一些交换机工作在第三层,它们在逻辑上或物理上分隔的网络之间传递数据

第四层,传输层,是能够建立可靠性的重要一层.传输层的协议包括TCP和UDP.

第五层,会话层,在该层上,会话在两个端点之间建立

第六层,表示层,负责与其上的应用层进行通信,还定义了使用的加密方式等

第七层,应用层,负责向用户或应用程序显示数据

封装和解封

当数据从应用程序沿着OSI模型的各层向下传递的时,下一层的协议会在数据上添加一些它们的额外信息,这些数据通常包括一个由上一层添加到数据的头部,有时还会添加尾部.这个过程称为封装(encapsulation)

封装的过程会一直持续直到数据在物理介质上传输.对以太网来说,数据在传输时称为帧.
当以太网到达了它的目的地后,数据帧会开始沿OSI模型的各层向上传递,每一层都会读取发送方相应各层的头部(有可能尾部)信息,这个过程称为解封(demultiplexing)

面向连接和无连接的协议

面向连接:TCP,可以参考QQ发送文件,需要对面确认才可以建立连接
无连接协议:UDP,IP.QQ离线发送文件,不需要对面确认即可发送

2IP协议

IP协议是互联网运行的基础,Ip协议和其它层的协议一起为不计其数的应用提供通信.
IP是无连接的协议,提供第三层的路由功能

IP编址和子网划分

IPv4的IP地址由4个8比特的数字组成,它们用点进行分割,即"点分十进制"记法.
而IPv6的IP地址有128比特,通常以8组由冒号分割的十六进制数表示

IPV4地址被分为了不同的类型,而不是作为一整个地址空间来使用.如下:

A - 0.0.0.0~127.255.255.255
B - 128.0.0.0~191.255.255.255
C - 192.0.0.0~223.255.255.255
D - 224.0.0.0~239.255.255.255
E和未分配 - 240.0.0.0~255.255.255

实际上,A,B,C类地址才真正被互联网所使用,D类地址常用于组播,E类地址是实验性的未分配的地址范围

特殊的IP地址

网络地址0,作为A类地址的一部分,网络地址0并不会作为IPv4可路由地址去使用.
在作为原地址使用时,唯一合法的使用时机就是在初始化期间,当主机尝试获得一个由服务器动态分配的IP地址的时候.
而作为目的地址时候,只有0.0.0.0才有意义,它只存在于本地计算机并代表它自己,或按照惯例代表默认路由

回环网络地址127,作为A类地址的一部分,网络地址127并不会被用作可路由地址的一部分,
回环地址指向由操作系统提供支持的一个私有的网络接口.这个接口被用于本地基于网络的服务的寻址.回环网络指向本地主机

广播地址,
广播地址是应用于网络中所有主机的特殊网络地址,主要有两种,受限广播地址和直接广播地址
受限广播不会被路由,但是会被传递到同一物理网段中连接的所有主机, IP地址的网络部分和主机部分中的所有位都被置为1,即255.255.255.255,

直接广播地址则会被路由,他将会传递到指定网络的所有主机.其IP地址中的网络部分指定一个网络,而主机部分通常被设置为全是1,例如192.168.10.255. 类似的您可能会看到指定为网络地址的地址,如192.168.10.0

IPv6并不使用广播地址,使用组播(Multicast)来实现面向一组主机的通信