网络端口

Kubernetes之Service https://blog.lecury.cn/2016/06/20/Kubernetes之Service/ 在Kubernetes中Pod是终将消失的，从创建到销毁的过程中，它们是无法自动重启的。而ReplicationController可以用来动态的创建和销毁Pod（比如说在进行滚动升级的时候，可以进行扩展和收缩）。每一个Pod都得到一个属于自己的IP，但这些IP不能一直有效存在，因为这些IP随着Pod的销毁而变得没有了意义。那么这就导致了一个问题，如果一些Pods为集群内部的其他Pods（我们称它们为前端）提供服务，那么这些前端怎么发现、追踪这些后端集合中的服务呢？Service就是做这个事情的。 Service是一个抽象概念，它定义了一些逻辑上的Pods集合，并且定义了访问这些Pods集合的策略，也被称作为micro-service。Service通常通过Label标签选择器来对应相应的Pods集合（也有一些没有标签选择器的，请看下文介绍）。 举个例子，考虑一个运行的镜像，它在集群中有三个副本，这些副本是可以相互替代的，前端并不关心它现在与哪个后端服务打交道。实际上Pods组成的后端服务集合可以是变化的，比如说通过scale进行副本增加或者副本减少，但我们的前端不应该关心或者跟踪后端服务的变化，Service这一层抽象可以做到这一点。

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址（即网卡号），并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。 配置端口安全是相对比较简单的。 来源： 51CTO 作者： mb5e65a48c8b8e8 链接： https://blog.51cto.com/14748540/2485261

网络初识 1、C/S和B/S C:client客户端B:browse 浏览器S:server 服务器 C/S 架构：基于客户端与服务器之间的通信 QQ 皮皮虾 优点：个性化设置，响应速度快 缺点：开发成本，维护成本高，占用空间，用户固定 B/S 架构：基于浏览器与服务器之间的通信 谷歌浏览器，火狐浏览器 优点：开发维护成本低，占用空间相对低，用户不固定 缺点：功能单一，没有个性话设置，响应速度相对慢一些 2、网络通信原理 软件直接的通信80年代，使用固定电话联系（未推广英话）没有统一英话，要想友好交流，需学习当地方言统一交流方式： 推广英语全球范围内交流 三步 1.两台电话直接一堆物理连接媒介质连接 2.拨号 锁定对方电话的位置 3.统一交流方式 互联网交流本质 1.两台计算机要有一堆物理连接介质连接 2.找到对方计算机软件位置 3.遵循一揽子(多)互联网通信协议 3、osi 七层协议 应传网数物：从下到上研究 5.物理层：发出去 最底层指的是网线，光纤等物流连接介质 发送的是比特流：0101010101010...源源不断的发送 只发比特流有什么问题？ 无法解析数据需要有规律的分组，分组是数据链路层做的事情 4.数据链路层：加 工 对比特流进行分组 最先是各自有各自的分组标准 后改为统一的标准：对数据分组的标准 称之为 以太网协议 (最重要的协议 对比特流进行合理的分组)

以下内容摘自网络，来源不清了，做个备份吧： 0|无效端口,通常用于分析操作系统 1|传输控制协议端口服务多路开关选择器 2|管理实用程序 3|压缩进程 5|远程作业登录 7|回显 9|丢弃 11|在线用户 13|时间 17|每日引用 18|消息发送协议 19|字符发生器 20|FTP文件传输协议(默认数据口)　 21|FTP文件传输协议(控制) 22|SSH远程登录协议 23|telnet(终端仿真协议),木马Tiny Telnet Server开放此端口 24|预留给个人用邮件系统 25|SMTP服务器所开放的端口，用于发送邮件 27|NSW 用户系统 FE 29|MSG ICP 31|MSG验证,木马Master Paradise、HackersParadise开放此端口 33|显示支持协议 35|预留给个人打印机服务 37|时间 38|路由访问协议 39|资源定位协议 41|图形 42|主机名服务 43|who is服务 44|MPM(消息处理模块)标志协议 45|消息处理模块　 46|消息处理模块(默认发送口) 47|NI FTP 48|数码音频后台服务　 49|TACACS登录主机协议 50|远程邮件检查协议 51|IMP(接口信息处理机)逻辑地址维护 52|施乐网络服务系统时间协议 53|dns域名服务器 54|施乐网络服务系统票据交换 55|ISI图形语言 56

ip地址 ip地址默认指ipv4地址，用4个字节表示，转换为点分10进制，可以表达范围0.0.0.0到255.255.255.255的地址，大约为42.95亿个地址。互联网编号分配机构（IANA，Internet Assigned Numbers Authority）负责分配和规划IP地址，以及对TCP/UDP公共服务的端口进行定义。 一个ip地址由两部分组成，网络号和主机号。 ip地址分类 IP定义了五类IP地址：A类、B类、C类、D类和E类： A类地址 ：用于少量的大型网络，第一个字节的最高位固定为0，另外7比特可变的网络号可以标识128个网络（0～127），0一般不用，127用作环回地址。所以共有126个可用的A类网络。 B类地址 ：用于中等规模的网络，第一个字节的最高2比特固定为10，另外14比特可变的网络号可以标识 \(2^{14}\) =16384个网络。 C类地址 ：用于小规模的网络，第一个字节的最高3比特固定为110，另外21比特可变的网络号可以标识 \(2^{21}\) =2097152个网络。 D类地址 ：用于组播（multicasting），因此，D类地址又称为组播地址。D类地址的范围为224.0.0.0～239.255.255.255，每个地址对应一个组，发往某一组播地址的数据将被该组中的所有成员接收。D类地址不能分配给主机。 E类地址 ：为保留地址

1 实践内容 桔皮书：可信任计算机系统评估准则。计算机系统安全评估的第一个正式标准。 ISO 15408（通用准则）是国际统一的安全评估标准。 P^2DR安全模型 安全策略 防护策略 检测 响应 安全策略是模型的核心，所有的防护、检测、响应都是根据安全策略实施的，安全策略为安全管理提供管理方向和支持手段，策略体系的建立包括安全策略的制定、评估、执行等。制定可行的安全策略取决于对网络信息系统及其安全风险的了解程度。 保护机制就是采用一切手段保护信息系统的机密性、完整性、可用性、真实性和不可抵赖性。应该根据不同等级的信息系统安全要求来完善系统的安全功能、安全机制。 检测机制是动态响应和加强防护的依据，是强制落实安全策略的工具。通过不断的检测和监控网络和系统，发现新的威胁和弱点，并通过循环反馈来及时作出有效响应。 在检测到安全漏洞和入侵事件之后，必须实时做出正确反应，从而把系统调整到安全状态，对于威胁及安全的事件行为过程及时作出处理。杜绝危害进一步扩大时，系统能够提供正常的服务。 2 实践过程 2.1 防火墙配置 实践任务: 配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试: (1)过滤ICMP数据包，使得主机不接收Ping包; (2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)

OSI，TCP/IP，五层协议的体系结构，以及各层协议 答:OSI分层 （7层）：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。 TCP/IP分层（4层）：网络接口层、 网际层、运输层、 应用层。 五层协议 （5层）：物理层、数据链路层、网络层、运输层、 应用层。 每一层的协议如下： 物理层：RJ45、CLOCK、IEEE802.3 （中继器，集线器） 数据链路：PPP、FR、HDLC、VLAN、MAC （网桥，交换机） 网络层：IP、ICMP、ARP、RARP、OSPF、IPX、RIP、IGRP、 （路由器） 传输层：TCP、UDP、SPX 会话层：NFS、SQL、NETBIOS、RPC 表示层：JPEG、MPEG、ASII 应用层：FTP、DNS、Telnet、SMTP、HTTP、WWW、NFS 每一层的作用如下： 物理层：通过媒介传输比特,确定机械及电气规范（比特Bit） 数据链路层：将比特组装成帧和点到点的传递（帧Frame） 网络层：负责数据包从源到宿的传递和网际互连（包PackeT） 传输层：提供端到端的可靠报文传递和错误恢复（段Segment） 会话层：建立、管理和终止会话（会话协议数据单元SPDU） 表示层：对数据进行翻译、加密和压缩（表示协议数据单元PPDU） 应用层：允许访问OSI环境的手段（应用协议数据单元APDU） ARP是地址解析协议

TCP/IP协议栈：使用中的模型 OSI:开放系统互联参考模型，学习模型； 通信子网： 只是用来关注你的数据到底如何从A地送往B地； 资源子网： 主要是考虑传输的数据是如何被组织起来的； MAC:media access control MAC地址表 静态指定 动态学习：根据源地址学习；ttl值(time to live 生存周期） 网桥（bridge）与交换机（switch） 主要作用是用来分割两个独立网络的冲突域和并连接两个独立的网络；当在同一个网络中的两台主机进行通信时，所发出的电信号是不会被网桥传递到另一个网络中的；但是当两个不同的网络中的两台主机有通信需求时，网桥就会实现不同网络中的主机进行通信；那么网桥是怎么知道哪台主机是在哪个网络中呢？网桥内部有一个地址簿，这个地址簿通常我们将其称为MAC地址表，上面一一对应了哪一个主机在哪个接口上；当一个网络中的主机向另一个网络中的主机发送信号的时候，一定会带一个收信人，这个收信人一定是某一个具体的地址，因此，网桥根据那个收信人的地址来查看那个地址簿，当它发现自己收到信号的接口和目标主机都在同一个接口上，于是网桥就认为这个信号是不需要转发的，但是如果收到的这个信号来自于1号接口，当网桥一查表发现目标主机x在2号接口，于是网桥就将1号接口的数据发往2号接口；所以这个过程就叫做数据交换的过程，所以后来网桥就发展到了交换机； 有时候

Juniper防火墙划分三个端口： 1.E0/0连接内网网络，网段是172.16.1.0/24，E0/0的端口ip地址是172.16.1.1，作为内网网络的网关 2.E0/1连接DMZ区域，网段是172.16.2.0/24，E0/1的端口ip地址是172.16.2.1，作为DMZ的网关 3.E0/2连接外网区域，网段是202.202.202.0/24，E0/2的端口ip地址是202.202.202.202，同时配置默认路由，指向202.202.202.1 划分为三个不同区域，策略如下： 1.E0/0是trust区域，trust区域能够访问DMZ和untrust区域 2.E0/1是DMZ区域，DMZ区域能够访问trust和untrust区域 3.E0/2是untrust区域，untrust区域能够访问DMZ区域 PC连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/0端口，PC的ip地址是172.16.1.5，网关是172.16.1.1，服务器连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/1端口，服务器的ip地址是172.16.2.5，网关是172.16.2.1配置完成后，出现了以下问题： 1.PC能够ping通172.16.1.1，也能够ping通202.202.202.202，也能够上网，但是不能ping通172.16.2.1 2

下载地址： https://www.apachelounge.com/download/ 安装方式如下，先解压到纯英文路径的文件夹，然后执行以下命令： //注意：需要使用管理员身份运行命令行！！！ //切换到Apache解压路径中的bin目录 cd <解压目录>/bin //安装Apache服务，‐n参数是指定服务名称 httpd ‐k install ‐n "Apache" //如果需要卸载Apache，可以执行以下命令 httpd ‐k uninstall ‐n "Apache" //安装完成查看是否有错误提示，有修改对应行的配置文件：httpd.conf //修改完以后，执行以下命令重新测试配置文件是否通过。 httpd -t //这里出现的错误提示一般都和路径有关，当出现ServerName错误是，可以忽略，因为不影响使用，如果想要修改，在配置文件中找到ServerName 修改为localhost，接着重新启动 Apache服务 //注意：需要使用管理员身份运行命令行！！！ //启动Apache服务 httpd -k start ‐n "Apache" //-n 重命名 //重启Apache服务 httpd ‐k restart ‐n "Apache" //停止Apache服务 httpd.exe‐kstop‐n"Apache" //回到浏览器中，地址栏输入：http:/