计算机端口

SSL ***背景  企业出差员工，需要在外地远程办公，并期望 能够通过Internet随时随地的远程访问企业内部资源 。同时，企业为了 保证内网资源的安全性 ，希望能对移动办公用户进行多种形式的身份认证， 并对移动办公用户可访问内网资源的权限做精细化控制  IPSec、L2TP等先期出现的***技术虽然可以支持远程接入这个应用场景，但这些***技术的组网不灵活；移动办公用户 需要安装指定的客户端软件（SecoClient） ，导致网络部署和维护都比较麻烦； 无法对移动办公用户的访问权限做精细化控制  SSL ***作为新型的 轻量级 远程接入方案，可以有效地解决上述问题，保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源  FW作为企业出口网关连接至Internet，并向移动办公用户（即出差员工）提供SSL ***接入服务。移动办公用户使用终端（如便携机、PAD或智能手机）与FW建立SSL ***隧道以后，就能通过SSL ***隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源 传统***存在的问题  IPSec ***可安全 、稳定地在两个网络间传输数据，并保证数据的完整无缺，适用于处理总公司与分公司之间的信息往来及其他 Site-to-Site 应用场景 由于IPSec是基于网络层的协议，很难穿越NAT和防火墙

title: 尚学堂-Day020 date: 2020-03-05 20:21:04 tags: - Java - 尚学堂 categories: - 尚学堂 - Java 网络编程 端口和URL UDP和TCP 一、概念 网络即将不同区域的电脑连接到一起， 组成局域网、城域网或广域网。把分布在不同地理区域的计算机与专门的外部设备用通信线路互连成一个规模大、功能强的网络系统，从而使众多的计算机可以方便地互相传递信息，共享硬件、软件、数据信息等资源。 二、端口和URL 2.1、端口 端口是虚拟的概念，并不是说在主机上真的有若干个端口。通过端口，可以在一个主机 上运行多个网络应用程序。 public class Test { public static void main ( String [ ] args ) throws Exception { InetAddress address = InetAddress . getLocalHost ( ) ; // 获取主机的地址的IP System . out . println ( address ) ; System . out . println ( address . getHostAddress ( ) ) ; // 获取IP System . out . println ( address . getHostName (

标签 : class 原创 normal 分类： Linux防火墙|系统安全 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 我在检查一台Centos5.5服务器的安全环境时，发现很多IP在恶意扫描此服务器的端口，本来想部署snort防入侵环境的，后来发现snort环境部署非常复杂，而以上的恶意扫描完全可以用PortSentry来实现。PortSentry是入侵检测工具中配置最简单、效果最直接的工具之一。PortSentry是Abacus工程的一个组成部分。Abacus工程的目标是建立一个基于主机的网络入侵检测系统，可以从http://www.psonic.com的到关于Abacus工程更为详细的信息。虽然PortSentry被cisco收购后不再开发，但丝毫不影响此软件的强大功能。PortSentry可以实时检测几乎所有类型的网络扫描，并对扫描行为做出反应。一旦发现可疑的行为，PortSentry可以采取如下一些特定措施来加强防范： 给出虚假的路由信息，把所有的信息流都重定向到一个不存在的主机； 自动将对服务器进行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去，我个人比较喜欢这种方式，因为线上许多环境并非都能打开iptables，这个选项也是PortSentry默认的功能；

修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if # security-level xxxx(0-100) 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是 《标准访问控制列表》 ，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。 它的具体格式： access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者 1300-1999之间的数字，这个是访问列表号。 例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃

简单认识网络协议 通过浅谈互联网协议，我们已经了解了TCP/IP的参考模型，对网络的分层管理有了有一个概念。我们知道计算机之间的通信，靠的就是这些互联网协议（IPS,Internet Protocol Suite）来保障的。下面我们将通过最底层 数据链路层 到最顶层 应用层 ，来简单的了解一下计算机通信的背后到底是怎么样子。 0x01 数据链路层 ​ ​ 我们的电脑如果想要上网，首先要干嘛？想必大家会吧。我们要么连接WiFi，要么插根网线。之后我们就可以在广阔的物联网上冲浪，浏览浏览新闻，刷刷B站…（打住，回归正题。）网线，WiFi，无非就是我们把电脑连接起来的方式。利用这些电气属性，我们可以发送和接受0，1信号。这样计算机之间就建立了联系。 ​ 能发送0/1信号，计算机就可以进行交流了，最初的时候，各家都有各个的语言，但计算机又不像我们人类一样能学会多种语言。它有点笨，不能同时掌握多种方式的0/1信号的解读方式。 但慢慢地，一种叫做 "以太网" （Ethernet）的协议出现了，并占据了主导地位。 以太网协议 ​ 以太网规定了一种电信号的分组方式，一组电信号构成一个数据包，称做 以太网帧 ( Frame ) 。 ​ 以太网帧，分为 头部 ( Header )、 数据 ( Data )以及 校验和 ( Checksum )总共 3 大部分。 头部 包含数据包的一些说明项，比如发送者

前面实际上，已经说到了数据链路层可以非常方便的在一个子网络中进行数据包的发送。但是现实情况是，不可能所有需要进行通信的计算机都处于一个子网络中，这样理论上用广播的方式进行数据包的发送显然是不科学的。或者可以理解为，广播是无法在不同子网络的计算机上进行数据包的传输的。这样就需要引入 网络层。 (三) 网络层 因为不同的网络是不能直接使用广播来进行数据包的传输的，所以只是知道对方的mac地址是不够的，因为你根本不知道，对方和你在不在一个子网络。这样据需要引入新的协议来确定，两台计算机是否属于同一个子网络，如果属于同一个网络则用广播的方式进行数据包的发送，如果不是一个网络，则通过路由的方式发送数据包。 IP协议 :用来规定计算机网络地址的协议，就叫做ip协议。一般是由32个二进制位组成,这个地址分成两个部分，前一部分代表网络，后一部分代表主机。但是知道了ip地址还是无法确定两台计算机是否在一个子网络中，这样就需要 子网掩码 。一个子网络的子网掩码，网络部分全部为1，主机部分全部为0，这样只需要将两个ip地址分别与子网掩码做与（AND）运算就可以知道两台计算机是否属于同一个网络。 IP数据包 根据IP协议发送的数据，就叫做IP数据包。不难想象，其中必定包括IP地址信息。 但是前面说过，以太网数据包只包含MAC地址，并没有IP地址的栏位。那么是否需要修改数据定义，再添加一个栏位呢？

简单认识网络协议 通过浅谈互联网协议，我们已经了解了TCP/IP的参考模型，对网络的分层管理有了有一个概念。我们知道计算机之间的通信，靠的就是这些互联网协议（IPS,Internet Protocol Suite）来保障的。下面我们将通过最底层 数据链路层 到最顶层 应用层 ，来简单的了解一下计算机通信的背后到底是怎么样子。 0x01 数据链路层 ​ ​ 我们的电脑如果想要上网，首先要干嘛？想必大家会吧。我们要么连接WiFi，要么插根网线。之后我们就可以在广阔的物联网上冲浪，浏览浏览新闻，刷刷B站...（打住，回归正题。）网线，WiFi，无非就是我们把电脑连接起来的方式。利用这些电气属性，我们可以发送和接受0，1信号。这样计算机之间就建立了联系。 ​ 能发送0/1信号，计算机就可以进行交流了，最初的时候，各家都有各个的语言，但计算机又不像我们人类一样能学会多种语言。它有点笨，不能同时掌握多种方式的0/1信号的解读方式。 但慢慢地，一种叫做 "以太网" （Ethernet）的协议出现了，并占据了主导地位。 以太网协议 ​ 以太网规定了一种电信号的分组方式，一组电信号构成一个数据包，称做 以太网帧 ( Frame ) 。 ​ 以太网帧，分为 头部 ( Header )、 数据 ( Data )以及 校验和 ( Checksum )总共 3 大部分。 头部 包含数据包的一些说明项

NAT功能 NAT不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 1.宽带分享：这是 NAT 主机的最大功能。解决IP4地址短缺的问题。 2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。 NAT实现方式 有三种，即 1.静态转换Static Nat (静态ip 静态端口) 2.动态（源地址）转换Dynamic Nat 3.动态（目的地址）转换Dynamic Nat 4..端口多路复用OverLoad（PAT） 这些东西还是放在前面讲吧，看不懂，记不住无所谓，底层的原理 Inside 内部 Outside 外部 四个概念： Inside local 内部本地地址（内部主机的实际地址，一般为私有地址） Inside global 内部全局地址（内部主机经NAT转换后去往外部的地址，是ISP分配的合法IP地址） Outside local 外部本地地址（外部主机由NAT设备转换后的地址，一般为私有地址，内部主机访问该外部主机时， 认为它是一个内部的主机而非外部主机） Outside global 外部全局地址

运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪、源/目的地址对分析、TCP流的分析等，能够及时发现网络中的异常流量，进行实时告警，从而保障网络安全。本节将介绍的Ntop便可以提供详细的网络流量明细表。在Ossim系统中集成了Ntop可以直接使用。 1．Ntop简介 ____ Ntop是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。 2.Ntop主要功能 Ntop主要提供以下一些功能： ①.自动从网络中识别有用的信息； ②.将截获的数据包转换成易于识别的格式； ③.对网络环境中通信失败的情况进行分析； ④.探测网络环境中的通信瓶颈,记录网络通信的时间和过程。 ____ Ntop可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统

1. 本周学习总结 以你喜欢的方式（思维导图、OneNote或其他）归纳总结多网络相关内容。 2. 书面作业 1. 网络基础 1.1 比较ping www.baidu.com与ping cec.jmu.edu.cn，分析返回结果有何不同？为什么会有这样的不同？ 可以看到回复的IP地址、回复的时间、TTL不同。每个域名都有相对应的IP地址，标识该应用程序。相较于IP地址，域名更易被记住。ping的时间指的是网络延时，跟服务器的远近有关，还与服务器的响应时间、访问服务器之间的节点、服务器负载、连接速度等有关。112.80.248.74是江苏省南京市 联通，210.34.128.152是福建省厦门市 教育，服务器距离更近所以210.34.128.152回复的时间更短。 1.2 telnet bbs.newsmth.net，上面这条命令连接的是远程主机的什么端口号？ TCP23号端口。 1.3 telnet cec.jmu.edu.cn 80，尝试回答：你从屏幕看到的是一些什么内容？返回的内容是不是cec.jmu.edu.cn的主页内容？尝试使用GET /index HTTP/1.0命令，会返回什么？见实验任务书题目1 提示连接失败的相关信息。返回的不是主页内容。 返回cec.jmu.edu.cn主页源代码的内容。 1.4 启动ConnectionWatcher，