我正在为安全+考试做准备,但我不明白基于安全+性能问题的视频中的某些内容,在该视频中,我们正在向防火墙添加规则,以便一组计算机与服务器进行通信。电脑的IP地址是110.4.80.10/231,子网是255.255.255.254,服务器的IP地址是10.4.81.5/24,子网显然是255.255.255.255。在那段视频中,他把源IP地址的子网改成了10.4.80.10/32,和目的IP地址一样10.4.81.5/32。协议是 TCP,端口号是443HTTPS。
我不明白他为什么将子网更改/32为他们两个。
我不确定您指的是哪个视频,但让我一一介绍:
从网络的角度来看,IPv4 地址,无论是源地址还是目的地址,都没有网络掩码的概念。网络掩码仅由路由器用于决定将数据包路由到何处。您可以查看 IP 标头并注意,任何地方都没有网络掩码 - 它只有源地址和目标地址:RFC 791。我们可以吹嘘有类和无类路由(但看在上帝的份上,这是 2017 年!),所以为了清楚起见,让我们把它从讨论中排除。
从安全的角度来看(可能是这样,我不确定你的模糊描述),是的 - 有时防火墙的规则确实基于匹配源或目标地址的概念(10.4.80.10在10.4.81.5你的例子中),也是一个网络掩码。这是一种奇怪且通常不直观的方式来匹配应检查数据包的接口- 在一些较旧且更笨重的设备上,这是uRPF机制的实现方式。uRPF 本质上会尝试检查源(节点)是否没有欺骗其 IP 地址。
也许,我猜在这里,视频演示了要匹配特定主机,您需要指定/32IPv4 地址(或/128IPv6 地址)以表示它是主机,而不是网络。但同样 - 我在这里猜测,您没有提供您所指视频的 URL。
不,/24不是“显然” 255.255.255.255,它是255.255.255.0-您可以在 subnetmask.info 的好网站上使用各种子网掩码-其中一种。
由于您的防火墙规则只需要让一 (1) 个 IPv4 地址通过 (IPv4 address 10.4.80.10),因此网络掩码255.255.255.255向防火墙表明您限制对一个 IPv4 地址的访问。/32是 的网络掩码的不同但等效的表示法255.255.255.255。
如果您将网络掩码保留为255.255.254.0,这相当于/23符号,那么您的防火墙规则将告诉防火墙您要让一系列 IPv4 地址通过(而不仅仅是 的单个 IPv4 地址10.4.80.10)。该/23符号引用了 510 个有效 IPv4 地址的范围。