【初步了解网络原理】IP安全策略和相关网络概念

人若有志，万事可为！（放弃了，你就是笑话一段。）

目録

1. IP安全策略简述2. 创建IP安全策略限制IP访问3. 创建防火墙入站规则限制IP访问4. IP地址、网关、端口、网段、子网掩码、MAC地址、DNS概念【每日一面】IPv4 与 IPv6 的区别

1. IP安全策略简述

IP安全策略（IP Security Policy）是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。

2. 创建IP安全策略限制IP访问

创建策略

Windows+R输入 “gpedit.msc”Enter进入本地组策略编辑器

找到 IP安全策略，右键，新建IP安全策略

设置筛选器

筛选器操作

应用IP安全策略

3. 创建防火墙入站规则限制IP访问

新建入站规则

自定义设置。

应用范围：所有程序，也可以指定某个单独程序。

指定端口号或协议，任意为都选中，不进行特殊指定。

因为我测试的电脑ip和我不是同一网段的，所以选择远程连接。

将被允许访问的ip添加进去，也可指定允许访问的ip范围。

设置为可连接。

设置作用域。

起名字，方便管理。

设置完了，如不想放行，删除或者无效化即可。

输入 “ipconfig” 查看本机 ip

“ping” 测试

放行 ip 后可正常连接。

4. IP地址、网关、端口、网段、子网掩码、MAC地址、DNS概念

IP地址（Internet Protocol Address）互联网协议地址用来给网络上的电脑分配一个编号。IP地址是一个32位的二进制数，被分割为4个8位二进制数（4个字节）。为了方便阅读使用，通常用"点分十进制"表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。

例：IPV4：点分十进制IP地址（192.168.1.110），实际上是32位二进制数（11000000.10101000.00000001.1101110）

例：IPV6：冒分十六进制IP地址（ABCD:EF01:2345:6789:ABCD:EF01:2345:6789），实际上是32位二进制数（101010111100110011111110111100000000111100100011010001001111011001111000100011111010101111001100111111101111000000001111001000110100010011110110011110001001）

IP地址分为5类：还有一部分地址给局域网内部使用，被称为私有地址或称内网地址：

网关（Gateway）又称网间连接器、协议转换器是一个网络连接到另一个网络的“关口”，网关地址实质上是一个网络通向其他网络的IP地址，主要用于不同网络间数据传输。网关在网段内的可用ip中选一个，一般选择是第一个或最后一个。

问：为什么网关可以跨网段进行数据传输，这是个彩蛋~

端口（Port）范围：0到65535一台主机（对应一个IP地址）可以提供很多服务，但如果只有一个IP，无法区分不同的网络服务，所以我们采用”IP+端口号”来区分不同的服务。

端口号分类：常见端口号：

子网掩码（Subnet Mask）是一个应用于 TCP/IP 网络的32位二进制值。它可以屏蔽掉IP地址中的一部分，从而分离出IP地址中的网络部分与主机部分，基于子网掩码，管理员可以将网络进一步划分为若干子网。它必须结合IP地址一起使用。

例：ip1：192.168.1.1；子网掩码：255.255.255.0

例：ip2：192.168.1.1；子网掩码：255.255.0.0

ip转为二进制为：11000000.10101000.00000001.00000001

ip1子网掩码转为二进制：11111111.11111111.11111111.00000000

ip2子网掩码转为二进制：11111111.11111111.00000000.00000000

ip1和子网掩码二进制与运算后结果：11000000.10101000.00000001.00000000；转为十进制：192.168.1.0

ip2和子网掩码二进制与运算后结果：11000000.10101000.00000000.00000000；转为十进制：192.168.0.0

网段（Internet Segment）同一网段指的是IP地址和子网掩码相与得到相同的网络地址。想在同一网段，必需做到网络标识相同。

MAC（Media Access Control）媒体访问控制是网络中用来标识网卡设备的唯一网络地址。由相关硬件制造商统一分配，每台电脑的MAC地址都是唯一的。

DNS（Domain Name System）域名解析服务器把网址变成IP地址的服务器。例如我们在浏览器里面输入的时候，就需要主机问DNS服务器，DNS服务器就自动帮我们把这个域名翻译成了IP地址61.135.169.105，然后写到了数据包的目的IP地址里面进行通信。

【每日一面】

IPv4 与 IPv6 的区别

IPv4 ：互联网通信协议第四版，地址长度32，支持的物理地址是2^32-1个地址，点分十进制表示；使用地址解析通讯协议 (ARP) ；使用 Internet 群组管理通讯协议 (IGMP) 管理本机子网络群组成员身份；IPv4选择性支持IPSec；随着地址不断被分配给最终用户，IPv4地址枯竭问题也在随之产生。

IPv6：互联网通信协议第六版，地址的长度128，支持的物理地址是2^128-1个地址，冒分十六进制表示。使用多点传播 Neighbor Solicitation 消息取代地址解析通讯协议 (ARP) ；使用 Multicast Listener Discovery (MLD) 消息取代 IGMP；IPv6自动支持IPSec；IPV6使用新的头部格式，其选项与基本头部分开，如果需要，可将选项插入到基本头部与上层数据之间，因为大多数的选项不需要由路由选择，简化和加速了路由选择过程。