用feedshot把你的博客一次性提交给博客搜索引擎
把自己的博客提交到博客搜索引擎对提升博客知名度十分重要。但是把自己的博客分别提交给越来越多的博客搜索引擎——目前国内外大大小小的博客搜索引擎已经不下十几个——是不是很麻烦?
现在好了,你只要把你博客的RSS提交到feedshot,它就替你向各个博客搜索引擎提交你的博客了。目前它可以替你提交的博客搜索引擎有十八个之多。而且,Google Blog Search也在它未来的添加计划中。
10 月 312005
ocean
10 月 312005
桃花庵
桃花坞里桃花庵,桃花庵下桃花仙;
桃花仙人种桃树,又摘桃花卖酒钱。
酒醒只在花前坐,酒醉换来花下眠;
半醒半醉日复日,花落花开年复年。
但愿老死花酒间,不愿鞠躬车马前;
车尘马足富者趣,酒盏花枝贫者缘。
若将富贵比贫贱,一在平地一在天;
若将贫贱比车马,他得驱驰我得闲。
别人笑我忒疯癫,我笑别人看不穿;
不见五陵豪杰墓,无花无酒锄做田。
10 月 312005
10 月 302005
六大国外虚拟主机对比
2005-10-26
我们明白您在寻找虚拟主机的任务并不简单。尤其网上掺杂了许多好坏的虚拟主机商提供不同类型的主机配套,想要在当中寻获一个提供优质,可靠并低廉的虚拟主机商的确并不容易。 我们网站的主要目的就是帮您寻找那样的一个理想虚拟主机商。这里,我们为您推荐五个优质虚拟主机商。您将能参阅到我们对这五个优质虚拟主机商的中肯,准确和客观的评论,好让您能完成寻获您心目中的虚拟主机商。
我们的推荐和评论并不是毫无凭据的。我们本身也拥有多个网站,因此我们也一直如您一样在搜寻优质和低廉的虚拟主机服务来架设我们的网站。 在这个过程中,我们寻获了五个优质的虚拟主机商,并且我们的多个网站也都架设在这五大虚拟主机商,因此我们有第一手的资料来查看他们的主机素质与技术支援,以便能够给您提供完整与中肯的评论。
经验告诉我们,网友如您要的并不是一大堆难懂的数据,使您在选择虚拟主机服务的过程中更加复杂。 因此我们只提供您所需要的相关资料来帮您在选择虚拟主机商的过程中作出一个明智的决定。 我们希望我们的评论能帮您节省时间,金钱和不必要的麻烦,并且最终能让您找到您理想中的虚拟主机商。
您必须知道,我们的虚拟主机遴选准则不只是单单仰赖於价格与主机规,我们严格的评选标准还包括了:
虚拟主机商在主机市场的运作经验有多久
虚拟主机商的机房基础设备的可靠性
虚拟主机的月费和设定费是否给您最高的价值
虚拟主机所提供的主要规格,这包括: 网页存放空间,网站流量,网上购物支援,电子邮件支援,程式语言支援,搜寻引擎网支援,网路行销等等
虚拟主机商所赢取的奖章
虚拟主机商技术支援服务的类型与数量
虚拟主机商现有的客户有多少
虚拟主机商的客户满意程度
为了使您的选择更有效,我们删除了那些月费超过$8美金和没有提供无条件退款的虚拟主机商。我们也淘汰那些无法提供全天候
(二十四小时,一星期七天)技术支援服务的虚拟主机商。最后,所有能跻进我们的名单的虚拟主机商也必须提供至少
1000MB 的网页存放空间和 40GB 的网站流量。所以,只有几家虚拟主机商能通过我们严格的标准。
但是,并不是所有我们推荐的虚拟主机都适合您。因为每位网路商家如您都有自己独特的网路方案。因此,您也有自己一套虚拟主机的评审准则。
所以,我们只专注给您提供客观与精确的资料,好让您能依照属于您独特的需求与准则来做出明智的选择。我们深信您可以从我们推荐的五大虚拟主机中,
找到您理想中的虚拟主机。以下是我们所精心搜寻并仔细调查的五大最低廉和优质的虚拟主机商:
iPowerWeb
美金$7.95 月费 (无设定费)
2,000 MB 网页存放空间
50 GB 每月网站流量
iPowerWeb 是一家成长快速的虚拟主机商,他们在短短6年里的客户人数就已达到30万。 这个网站的虚拟主机商就是iPowerWeb, 至今我们的网站服务从不中断,而且网站的联线速度也很快。只需美金$7.95的月费,您就能享有完整的网站购物功能以及免费的网址。iPowerWeb可能会是您很好的选择。
midPhase
美金$7.95 月费 (无设定费)
1,500 3,000 MB 网页存放空间
无限制 每月网站流量
在虚拟主机市场上,相对的midPhase是蛮新的虚拟主机商。但是,他们所提供的主机配套却非常的具有竞争性。高达1,500 MB的网页存放空间,无限制的每月网站流量(必须符合某些条件),并包括支援网上购物功能等等,相信可以符合您的虚拟主机要求准则。但是,midPhase的一个弱点是只提供14天的原银奉还保证。
PowWeb
美金$7.77 月费 (无设定费)
>> 特别优惠: 免费2个月服务
5,000 MB 网页存放空间
300 GB 每月网站流量
我们有一个网站建设在 PowWeb的虚拟主机上,我们对他们的主机联线速度表现感到满意。 尤其是对他们的技术支援特别的留下很好的印象 – 非常专业与快捷。如果您的网站所需要的网页存放空间和流量需求都非常大(如论坛网站), 那么PowWeb所提供的 5,000MB 网页存放空间和每月 300 GB 网站流量以及支援 5个 mySQL 数据库的功能应该可以满足您的要求。而且如果您预缴12个月费,您还可以免费享受额外的两个月虚拟主机服务。
Globat
美金$4.95 月费(美金$29.95设定费)
>> 特别优惠: 免费12个月服务
5,000 MB 网页存放空间
75 GB 每月网站流量
我们利用Globat的虚拟主机服务已有一段日子,我们非常满意他们的快速的客户服务和专业的技术支援,还有最重要的是网站服务不曾中断。 如果您需要巨大的网页存放空间和网站流量,那Globat可能会是您的最佳选择。
LunarPages (推荐)
美金$7.95月费 (无设定费)
3,000 MB 网页存放空间
40 GB 每月网站流量
LunarPages 在虚拟主机市场已有5年的运作经验,拥来自世界各地的7万个客户。我们有两个 网站就利用了LunarPages的虚拟主机服务,至今都完全毫无问题,所以我们有信心推荐他们。
BlueHost
美金$7.95月费 (无设定费,免费网址)
>> 一个主机户口,6个网站!
4,000 MB 网页存放空间
100 GB 每月网站流量
BlueHost 在虚拟主机市场已有9年的运作经验,拥有来自世界各地的4万多个客户。只需一个BlueHost虚拟主机户口,BlueHost就可以让您架设高达6个不同网址的网站, 平均每个网站只需美金$1.35月费! 我们有一个网站就利用了BlueHost的虚拟主机服务,至今都完全毫无问题,所以我们有信心推荐他们。
10 月 302005
网络安全基础知识之防火墙应用
日期:2005-09-30 来源:站长资讯网
防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简单来说,今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
防火墙的任务
防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标
实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。
记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。
限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
防火墙术语
在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识
网关
网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。
应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一,在本课后面我们将做详细地讨论。
代理服务器
代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。
网络地址翻译(NAT)
网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。
堡垒主机
堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到,堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然。在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。
强化操作系统
防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0,Solaris及HP-UX操作系统上。理论上来讲,让操作系统只提供最基本的功能,可以使利用系统BUG来攻击的方法非常困难。最后,当你加强你的系统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。
非军事化区域(DMZ)
DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。
筛选路由器
筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Internet。它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的?
阻塞路由器
阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。
防火墙默认的配置
默认情况下,防火墙可以配置成以下两种情况:
·拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
·允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
防火墙的一些高级特性
今天多数的防火墙系统组合包过滤,电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需,每个防火墙都应该实施日志记录,哪怕是一些最基本的。
认 证
防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。
日志和警报
包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。
建立一个防火墙
在准备和建立一个防火墙设备时要高度重视。以前,堡垒主机这个术语是指所有直接连入公网的设备。现在,它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型:包过滤,电路级网关,应用级网关。
当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。
设计规则
当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。
保持设计的简单性
一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
安排事故计划
如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括
· 创建同样的软件备份
· 配置同样的系统并存储到安全的地方
· 确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。
堡垒主机的类型
当创建堡垒主机时,要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的,且多数防火墙都属于这三类中的一种。
单宿主堡垒主机
单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。
双宿主堡垒主机
双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时,他(她)必须先要攻破双宿主堡垒主机,这有希望让你有足够的时间阻止这种安全侵入和作出反应。
单目的堡垒主机
单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常,根据公司的改变,需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设备。使用单目的堡垒主机允许你强制执行更严格的安全机制举个例子,你的公司可能决定实施一个新类型的流程序,假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出,你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上,你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器,不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。
内部堡垒主机
内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信,这样当外部堡垒主机受到损害时不会造成影响。
四种常见的防火墙设计都提供一个确定的安全级别,一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略,这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:
·筛选路由器
·单宿主堡垒主机
·双宿主堡垒主机
·屏蔽子网
筛选路由器的选择是最简单的,因此也是最常见的,大多数公司至少使用一个筛选路由器作为解决方案,因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙,利用额外的包过滤路由器来达到另一个安全的级别。
10 月 292005
谈子网掩码及其计算
日期:2005-10-24 来源:站长资讯网
IP地址是32位的二进制数值,用于在TCP/IP通讯协议中标记每台计算机的地址。通常我们使用点式十进制来表示,如192.168.0.5等等。
每个IP地址又可分为两部分。即网络号部分和主机号部分:网络号表示其所属的网络段编号,主机号则表示该网段中该主机的地址编号。按照网络规模的大小,IP地址可以分为A、B、C、D、E五类,其中A、B、C类是三种主要的类型地址,D类专供多目传送用的多目地址,E类用于扩展备用地址。A、B、C三类IP地址有效范围如下表:
类别 网络号 /占位数 主机号 /占位数 用途
A 1~127 / 8 0~255 0~255 1~254 / 24 国家级
B 128~191 0~255 / 16 0~255 1~254 / 16 跨过组织
C 192~223 0~255 0~255 / 24 1~254 / 8 企业组织
随着互连网应用的不断扩大,原先的IPv4的弊端也逐渐暴露出来,即网络号占位太多,而主机号位太少,所以其能提供的主机地址也越来越稀缺,目前除了使用NAT在企业内部利用保留地址自行分配以外,通常都对一个高类别的IP地址进行再划分,以形成多个子网,提供给不同规模的用户群使用。
这里主要是为了在网络分段情况下有效地利用IP地址,通过对主机号的高位部分取作为子网号,从通常的网络位界限中扩展或压缩子网掩码,用来创建某类地址的更多子网。但创建更多的子网时,在每个子网上的可用主机地址数目会比原先减少。
子网掩码是标志两个IP地址是否同属于一个子网的,也是32位二进制地址,其每一个为1代表该位是网络位,为0代表主机位。它和IP地址一样也是使用点式十进制来表示的。
在计算子网掩码时,我们要注意IP地址中的保留地址,即“ 0”地址和广播地址,它们是指主机地址或网络地址全为“ 0”或“ 1”时的IP地址,它们代表着本网络地址和广播地址,一般是不能被计算在内的。
下面就来以实例来说明子网掩码的算法:
对于无须再划分成子网的IP地址来说,其子网掩码非常简单,即按照其定义即可写出:如某B类IP地址为 10.12.3.0,无须再分割子网,则该IP地址的子网掩码为255.255.0.0。如果它是一个C类地址,则其子网掩码为 255.255.255.0。其它类推,不再详述。下面我们关键要介绍的是一个IP地址,还需要将其高位主机位再作为划分出的子网网络号,剩下的是每个子网的主机号,这时该如何进行每个子网的掩码计算
一、利用子网数来计算
在求子网掩码之前必须先搞清楚要划分的子网数目,以及每个子网内的所需主机数目。
1)将子网数目转化为二进制来表示。
2)取得该二进制的位数,为N。
3)取得该IP地址的类子网掩码,将其主机地址部分的的前N位置1 即得出该IP地址划分子网的子网掩码。
如欲将B类IP地址168.195.0.0划分成27个子网:
1)27=11011
2)该二进制为五位数,N = 5
3)将B类地址的子网掩码255.255.0.0的主机地址前5位置1,得到255.255.248.0即为划分成27个子网的B类IP地址168.195.0.0的子网掩码。
二、利用主机数来计算
1)将主机数目转化为二进制来表示。
2)如果主机数小于或等于254(注意去掉保留的两个IP地址),则取得该主机的二进制位数,为N,这里肯定 N<8。如果大于254,则 N>8,这就是说主机地址将占据不止8位。
3)使用255.255.255.255来将该类IP地址的主机地址位数全部置1,然后从后向前的将N位全部置为 0,即为子网掩码值。
如欲将B类IP地址168.195.0.0划分成若干子网,每个子网内有主机700台:
1) 700=1010111100
2)该二进制为十位数,N = 10
3)将该B类地址的子网掩码255.255.0.0的主机地址全部置1,得到255.255.255.255。然后再从后向前将后 10位 置0,即为:11111111.11111111.11111100.00000000
即255.255.252.0。这就是该欲划分成主机为700台的B类IP地址 168.195.0.0的子网掩码。
10 月 292005
子网掩码教学
2005-10-22 from: 站长资讯网
子网掩码的主要功能是告知网络设备,一个特定的IP地址的哪一部分是包含网络地址与子网地址,哪一部分是主机地址。网络的路由设备只要识别出目的地址的网络号与子网号即可作出路由寻址决策,IP地址的主机部分不参与路由器的路由寻址操作,只用于在网段中唯一标识一个网络设备的接口。本来,如果网络系统中只使用A、B、C这三种主类地址,而不对这三种主类地址作子网划分或者进行主类地址的汇总,则网络设备根据IP地址的第一个字节的数值范围即可判断它属于A、B、C中的哪一个主类网,进而可确定该IP地址的网络部分和主机部分,不需要子网掩码的辅助。
但为了使系统在对A、B、C这三种主类网进行了子网的划分,或者采用无类别的域间选路技术(Classless Inter-Domain Routing,CIDR)对网段进行汇总的情况下,也能对IP地址的网络及子网部分与主机部分作正确的区分,就必须依赖于子网掩码的帮助。
子网掩码使用与IP相同的编址格式,子网掩码为1的部分对应于IP地址的网络与子网部分,子网掩码为0的部分对应于IP地址的主机部分。将子网掩码和IP地址作"与"操作后,IP地址的主机部分将被丢弃,剩余的网络地址和子网地址。例如,一个IP分组的目的IP地址为:10.2.2.1,若子网掩码为:255.255.255.0,与之作"与"运算得:10.2.2.0,则网络设备认为该IP地址的网络号与子网号为:10.2.2.0。子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。
最为简单的理解就是两台计算机各自的IP地址与子网掩码进行AND运算后,如果得出的结果是相同的,则说明这两台计算机是处于同一个子网络上的,可以进行直接的通讯。就这么简单。
请看以下示例:
运算演示之一:aa
I P 地址 192.168.0.1
子网掩码 255.255.255.0
AND运算
转化为二进制进行运算:
I P 地址 11010000.10101000.00000000.00000001
子网掩码 11111111.11111111.11111111.00000000
AND运算
11000000.10101000.00000000.00000000
转化为十进制后为:
192.168.0.0
运算演示之二:
I P 地址 192.168.0.254
子网掩码 255.255.255.0
AND运算
转化为二进制进行运算:
I P 地址 11010000.10101000.00000000.11111110
子网掩码 11111111.11111111.11111111.00000000
AND运算
11000000.10101000.00000000.00000000
转化为十进制后为:
192.168.0.0
运算演示之三:
I P 地址 192.168.0.4
子网掩码 255.255.255.0
AND运算
转化为二进制进行运算:
I P 地址 11010000.10101000.00000000.00000100
子网掩码 11111111.11111111.11111111.00000000
AND运算
11000000.10101000.00000000.00000000
转化为十进制后为:
192.168.0.0
通过以上对三组计算机IP地址与子网掩码的AND运算后,我们可以看到它运算结果是一样的。均为192.168.0.0
所以计算机就会把这三台计算机视为是同一子网络,然后进行通讯的。我现在单位使用的代理服务器,内部网络就是这样规划的。
也许你又要问,这样的子网掩码究竟有多少了IP地址可以用呢?你可以这样算。
根据上面我们可以看出,局域网内部的ip地址是我们自己规定的(当然和其他的ip地址是一样的),这个是由子网掩码决定的通过对255.255.255.0的分析。可得出:
前三位IP码由分配下来的数字就只能固定为192.168.0 所以就只剩下了最后的一位了,那么显而易见了,ip地址只能有(2的8次方-1),即256-1=255一般末位为0或者是255的都有其特殊的作用。
但是这样划分但浪费地址了,所以后来又引出一种叫VLSM(可变长掩码)的新算法。
如果共有50台机器 ,那一定是用C类地址。但是如果用C类的话每一个网段可以用到253台主机而你现在只有50台,这样的话不是要浪费200台了吗?但是如果用了VLSM就不同了请看。
如果是静态掩码的话C类地址因该是255.255.255.0
50<2的7次方,化为十进制就是64。所以VLSM就是255.255.255.64
例一:IP:192.168.0.1
SubstMask:255.255.255.64
转化为二进制11000000.10101000.00000000.00000001
11111111.11111111.00000000.1000000
AND与运算
11000000.10101000.00000000.00000000
转化为十进制192.168.0.0
例二:192.168.0.50
SubstMask:255.255.255.64
转化为二进制11000000.10101000.00000000.00110010
11111111.11111111.11111111.01000000
AND与运算
11000000.10101000.00000000.00000000
转化为十进制192.168.0.0
以上二个地址在同一网段
再看:
例三:IP:192.168.0.65
SubstMask:255.255.255.64
转化为二进制11000000.10101000.00000000.01000001
11000000.10101000.00000000.01000000
AND与运算
110000000.10101000.00000000.010000000
转化为十进制192.168.0.64
划开了!!就这么简单!
10 月 292005
blog空间的购买流程
7-29-2005 Fri [歪人歪语]
我遇到过好几个人问我,如果想使用自己架设的blog,应该怎么办?这个问题似乎简单,可是对一些不太接触这方面的朋友来说,却是一个大问题。
首先,确定blog的语言,主流的不外乎就是asp语言和php语言。asp语言的blog程序,国内流行的就是L-blog,oblog,LBS^2,2s-blog等,php我知道就是最火爆就是bo-blog了,国外的blog程序不考虑,主要是不符合中国国情,水土不服。
不同的blog程序,对空间的要求不同。asp语言编写的blog程序,要求asp空间,或者说空间支持asp+access数据库。而php语言编写的blog程序,要求空间支持php。这是最基本的要求。php语言的blog程序一般还要求有mysql数据库支持,bo-blog使用的文本数据库,不需要mysql数据库,省却了很多麻烦,而且也节省了资金,一般access数据库空间商会免费提供,而mysql数据库却需要额外购买的,而且mysql数据库配置稍微麻烦点。
该购买空间了,这个很重要。有钱了自然好说,选择有名气的、实力雄厚的ISP,如中国万网,第一主机等等等等,这部分人我们排出在外。对大多数人来说,还是希望购买物有所值、性价比高的空间。我目前使用的512j的空间,极力推荐。别的空间我不了解,也许有比512j更好的,但是如果别人问我在什么地方购买空间,我就会推荐它。声明一下,本人和512j没有任何利益关系。
512j的空间价格、配置什么的可以在512j网站上自己看,我就不多说了。如果是喜欢在blog中放置大量的图片、音乐、还有视频,购买100M以上的空间。绝大部分的人,最好购买自助型空间,这种空间最大的好处就是可以自己调整空间的大小。譬如我花了50块钱购买了50M的自助空间,使用期限是一年,我的blog才开张不久,50M对我太大了,浪费。好,我可以在用户控制面板中,自己修改空间的大小。假定修改为30M,系统会自动延长你的使用期限,估计能延长五个月左右,也就是使用期限变为一年零五个月。过些日子,感觉我的空间不够用了,好,继续修改,修改成50M,系统又自动调整使用期限,但是绝对大于你原来空间的到期时间。
现在在512j购买 域名.com .cn .net .org:100元/年 送50相当只要50元.我们可以只用100元就可以购买一个属于自己的国际域名+50M空间。当然也可以不购买域名,512j提供二级域名,形式如:httP://你的用户名.512j.com
最好使用网上支付的办法购买空间和域名。我使用的中国农业银行的卡,特别方便快捷。具体办法如下:
一、在512j注册一个ID,所谓的通行证。
二、申请域名,注意,cn域名个人不能申请。
三、支付。有汇款和网上银行支付两种方式。极力推荐选择网上银行。听我说你就知道好处了。
选择“网上银行”>>进入"网银在线“,选择你的银行卡,工行的卡我支付没有成功,其他行的卡本人没有使用过,也没有.农行的卡支付的次数多,每次都成功了.所以就拿农行的卡做介绍.
在“网银在线”中,选择"中国农业银行" ,点击"开始支付" ,进入下一个页面"中国农业银行网上支付中心",选择"电子支付卡"支付,点击"确定付款" ,进入“电子支付卡”页面,要求输入电子支付卡卡号、密码和验证码,没有电子支付卡怎么办?登陆到这里https://easyabc.95599.cn/b2c/b2c/ecard/ElecCardLogin.jsp 输入您手中的农行银行卡卡号、密码、验证码去申请一个电子支付卡。申请还需要i您办理银行卡的身份证,如果不能申请成功,很可能是身份证卡号出错,不排除银行输入错误的可能,请带身份证去当地银行询问。请记住自己刚才申请的电子支付卡卡号,电子支付卡的密码和银行卡的密码相同。注意,电子支付卡有使用期限,这取决你申请时选择的时间长短。请不要在网吧等地方申请。
有了电子支付卡就可以转账支付了。下面的工作应该就简单了。不用我说了吧。支付成功后,系统会提示你支付成功,马上去看你域名或者购买的空间,都已经开通了。是不是瞬间就搞定了。而且没有手续费、不用汇款漫长的等待。
还有一个问题。通过网上支付,最好先购买域名,这样支付100元钱后,你会发现自己的账户余额上多出50元钱,然后利用着50元钱购买空间。刚好100元。如果你着急了,一次把域名和空间购买了,或者先购买了空间,然后购买了域名,需要多支付50块钱,但是多出的50块钱还是你的,作为账户余额,你可以以后使用。就这么小小的区别。如果是通过汇款则不存在这个问题,人比计算机处理问题要灵活。
域名的绑定:
1、登陆安家
2、点击左边栏中“域名绑定”,进入后有两个文本框
3、“域名”中 填写你注册的域名。如www.yourdormain.net (注意:前面不要加http://,而且要小写)
“绑定子目录” 填写你blog所在的文件夹,如果在根目录,采用默认就可以了。假如你的blog在abc这个目录下,就填写"/abc",注意不包括引号。例如我的blog在joyeep目录下安装,绑定的子目录就是"/joyeep"
4、设置完成后24小时内生效。耐心等待哦
扩展阅读:
虚拟主机提供商的选择
目前在网络上提供虚拟主机服务的公司有很多,竞争也很激烈,在选择的时候一定不要受一些不知名的提供商的“代理价”或“内部价”的低价诱惑,以免上当受骗,在选择空间提供商时,一般要从以下几个方面对其虚拟主机进行考察。
1.稳定性。服务器的稳定性决定着虚拟主机是否能够正常开放,也关系到网站能否被正常访问,对于配置较高、周边设备较好的服务器,其稳定性标准是一年的断线时间不能超过10小时,即一年的稳定运行时间应达到2850小时以上。
2.安全性。空间提供商是否为服务器安装了专门的杀毒软件和网络防火墙,并配备专门工作人员24小时监控服务器。
3.带宽和速度。带宽是网站速度的保证,而服务器的速度快慢是由连接到每台服务器的带宽所决定的。这里要注意一些空间提供商模糊概念的广告宣传,有的广告只会提供一个机房的接入带宽而并不说明每台服务器的实际可用带宽,比如一个机房的入口带宽是1Gbps,其中存放100台服务器,那么理论上每台服务器可分得的带宽就是10Mbps,如果存放500台服务器,则每台服务器的理论带宽仅为2Mbps了。
4.服务器负载均衡。一般情况下,当一台服务器上架设的虚拟主机超过200台后,服务器的性能就会明显下降,如果中间还有站点提供数据库的动态查询服务,那么服务器的性能就会下降得更为剧烈。
5.售后服务和技术支持。了解一下空间提供商能否提供及时快捷的应用处理和相关的技术解答与服务,以保证网站上传到空间之后能获得提供商提供的站点建设和维护以及相关的空间增值服务。
常见虚拟空间参数
选择好空间提供商之后,在进行空间申请之前我们还要了解一下空间申请过程中所涉及的一些参数。
1.服务器操作系统。经常有Unix、Linux和Windows之分,一般来说Unix、Linux要比Windows的稳定性和使用效率高,不过实际的选择还要取决于网站的编写语言,如果建站语言使用的是ASP或ASP.NET就选择Windows主机,如果建站语言是CGI、JSP或PHP则要选择Unix或Linux主机,对于纯静态的Html空间则选择任何一种操作系统都可以。
2.虚拟主机空间大小。总空间一般包括用于存放网站页面内容的Web空间和存放网站访问日志信息的LOG空间,有的空间提供商还会免费提供一定大小的邮箱空间。如果网站提供的仅仅是简单的信息发布功能,那么一般只需要50MB或更小的主机空间就足够了,如果想提供软件下载或媒体播放功能则需要更多的空间,具体的空间大小要根据实际网站的规模来定。
3.网络流量。有的空间提供商会控制虚拟主机的网络流量,最好选择对网络流量不加限制的主机,如果流量受到限制,当访问量增大时即会使一些用户无法正常访问网站。
4.IIS连接数。要注意空间提供商利用“IIS连接数”混淆“同时在线人数”来蒙骗空间购买者,其实它们是两个完全不同的概念。IIS连接数是指访问者对端口80的访问数量即调用网站文件的次数;而同时在线人数则是虚拟主机能够接受的IP连接数的上限。比如,某浏览者同时打开10个网站页面,就会产生10个IIS连接,但是只能按照1个在线人数计算。IIS连接数不能等同于同时在线人数。