人若有志,万事可为!(放弃了,你就是笑话一段。)
目録
-
- 1. IP安全策略简述
- 2. 创建IP安全策略限制IP访问
- 3. 创建防火墙入站规则限制IP访问
- 4. IP地址、网关、端口、网段、子网掩码、MAC地址、DNS概念
- 【每日一面】
-
-
-
- IPv4 与 IPv6 的区别
-
-
1. IP安全策略简述
IP安全策略 (IP Security Policy)是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,当我们配置好IP安全策略后,就相当于拥有了一个免费但功能完善的个人防火墙。
2. 创建IP安全策略限制IP访问
-
创建策略
Windows+R 输入 “gpedit.msc” Enter 进入本地组策略编辑器
找到 IP安全策略,右键,新建IP安全策略
- 设置筛选器
【初步了解网络原理】IP安全策略和相关网络概念 - 筛选器操作
【初步了解网络原理】IP安全策略和相关网络概念 - 应用IP安全策略
【初步了解网络原理】IP安全策略和相关网络概念 【初步了解网络原理】IP安全策略和相关网络概念 【初步了解网络原理】IP安全策略和相关网络概念 【初步了解网络原理】IP安全策略和相关网络概念 【初步了解网络原理】IP安全策略和相关网络概念
3. 创建防火墙入站规则限制IP访问
- 新建入站规则 自定义设置。
【初步了解网络原理】IP安全策略和相关网络概念
应用范围:所有程序,也可以指定某个单独程序。
指定端口号或协议,任意为都选中,不进行特殊指定。
因为我测试的电脑ip和我不是同一网段的,所以选择远程连接。
将被允许访问的ip添加进去,也可指定允许访问的ip范围。
设置为可连接。
设置作用域。
起名字,方便管理。
设置完了,如不想放行,删除或者无效化即可。
输入 “ipconfig” 查看本机 ip
“ping” 测试
放行 ip 后可正常连接。
4. IP地址、网关、端口、网段、子网掩码、MAC地址、DNS概念
IP地址 (Internet Protocol Address)互联网协议地址用来给网络上的电脑分配一个编号。IP地址是一个32位的二进制数,被分割为4个8位二进制数(4个字节)。为了方便阅读使用,通常用"点分十进制"表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。
例:IPV4:点分十进制IP地址(192.168.1.110),实际上是32位二进制数(11000000.10101000.00000001.1101110)
例:IPV6:冒分十六进制IP地址(ABCD:EF01:2345:6789:ABCD:EF01:2345:6789),实际上是32位二进制数(101010111100110011111110111100000000111100100011010001001111011001111000100011111010101111001100111111101111000000001111001000110100010011110110011110001001)
- IP地址分为5类:
| 类别 | 用途 | 首字节范围 | 子网掩码 |
|---|---|---|---|
| A | 保留给政府机构 | 0-127 | 255.0.0.0 |
| B | 分配给中等规模的公司 | 128-191 | 255.255.0.0 |
| C | 分配给任何需要的人 | 192-223 | 255.255.255.0 |
| D | 用于组播 | 224-239 | - |
| E | 用于实验 | 240-255 | - |
- 还有一部分地址给局域网内部使用,被称为私有地址或称内网地址:
| 类别 | 范围 |
|---|---|
| A | 10.0.0.0-10.255.255.255 |
| B | 172.16.0.0-172.31.255.255 |
| C | 192.168.0.0-192.168.255.255 |
网关 (Gateway)又称网间连接器、协议转换器是一个网络连接到另一个网络的“关口”,网关地址实质上是一个网络通向其他网络的IP地址,主要用于不同网络间数据传输。网关在网段内的可用ip中选一个,一般选择是第一个或最后一个。 问:为什么网关可以跨网段进行数据传输,这是个彩蛋~
端口 (Port)范围:0到65535一台主机(对应一个IP地址)可以提供很多服务,但如果只有一个IP,无法区分不同的网络服务,所以我们采用”IP+端口号”来区分不同的服务。
- 端口号分类:
| 类别 | 端口号范围 | 作用服务 |
|---|---|---|
| 公认端口 | 0-1023 | 紧密绑定于一些服务,明确表明某种服务的协议 |
| 注册端口 | 1024-49151 | 松散地绑定于一些服务,可用于许多其它目的 |
| 动态/私有端口 | 49152-65535 | 不应为服务分配这些端口 |
- 常见端口号:
| 端口号 | 作用服务 |
|---|---|
| 80 | Http 浏览网页服 |
| 21 | FTP 上传下载服务 |
| 22 | SSH远程连接服务 |
| 23 | Telnet 远程登录服务 |
| 25 | SMTP 简单邮件传输服务 |
| 443 | Https 加密浏览网页服务 |
| 1521 | Oracle 服务 |
| 3306 | MySQL 服务 |
| 3389 | Microsoft RDP 微软远程桌面使用的端口 |
子网掩码 (Subnet Mask)是一个应用于 TCP/IP 网络的32位二进制值。它可以屏蔽掉IP地址中的一部分,从而分离出IP地址中的网络部分与主机部分,基于子网掩码,管理员可以将网络进一步划分为若干子网。它必须结合IP地址一起使用。
例:ip1:192.168.1.1;子网掩码:255.255.255.0
例:ip2:192.168.1.1;子网掩码:255.255.0.0
ip转为二进制为:11000000.10101000.00000001.00000001
ip1子网掩码转为二进制:11111111.11111111.11111111.00000000
ip2子网掩码转为二进制:11111111.11111111.00000000.00000000
ip1和子网掩码二进制与运算后结果:11000000.10101000.00000001.00000000;转为十进制:192.168.1.0
ip2和子网掩码二进制与运算后结果:11000000.10101000.00000000.00000000;转为十进制:192.168.0.0
网段 (Internet Segment)同一网段指的是IP地址和子网掩码相与得到相同的网络地址。想在同一网段,必需做到网络标识相同。
MAC (Media Access Control)媒体访问控制是网络中用来标识网卡设备的唯一网络地址。由相关硬件制造商统一分配,每台电脑的MAC地址都是唯一的。
DNS (Domain Name System)域名解析服务器把网址变成IP地址的服务器。例如我们在浏览器里面输入www.baidu.com的时候,就需要主机问DNS服务器,DNS服务器就自动帮我们把www.baidu.com这个域名翻译成了IP地址61.135.169.105,然后写到了数据包的目的IP地址里面进行通信。
【每日一面】
IPv4 与 IPv6 的区别
IPv4 :互联网通信协议第四版,地址长度32,支持的物理地址是2^32-1个地址,点分十进制表示;使用地址解析通讯协议 (ARP) ;使用 Internet 群组管理通讯协议 (IGMP) 管理本机子网络群组成员身份;IPv4选择性支持IPSec;随着地址不断被分配给最终用户,IPv4地址枯竭问题也在随之产生。
IPv6:互联网通信协议第六版,地址的长度128,支持的物理地址是2^128-1个地址,冒分十六进制表示。使用多点传播 Neighbor Solicitation 消息取代地址解析通讯协议 (ARP) ;使用 Multicast Listener Discovery (MLD) 消息取代 IGMP;IPv6自动支持IPSec;IPV6使用新的头部格式,其选项与基本头部分开,如果需要,可将选项插入到基本头部与上层数据之间,因为大多数的选项不需要由路由选择,简化和加速了路由选择过程。