我们可以设想有两个子网,他们分别通过各自的IP网关与上级网关连接,最后连入Internet。通常情况下,如果建立Intranet, 可以在其中一个子网的IP网关上安置防火墙,将整个子网建成为内部网。这时,作为防火墙的计算机将是整个内部网中最关键的环节,是黑客入侵时首当其冲的部位,一旦崩溃,整个Intranet将断绝同外界的一切联系。
如果注意一下的话,就可以发现防火墙是企业内部网的一个惹人注目的焦点,无论具体是哪一种安全结构,防火墙的使命是相同的,都同样是黑客们的"眼中钉"。那么,我们不妨换一个角度看问题,分散黑客们的注意力,将网络安全性问题平均地分担在整个企业内部网中,而不是集中地由一台或两台安装了防火墙的计算机来担当。这样做并不意味着安全性的降低和维护困难。
1.设置基本网络结构
具体来讲,在一个子网内,我们可以将它的IP网关的网址设置为*.*.60.62,其子网掩码为255.255.255.192。对于这个子网来说,*.*.60.0~*.*.60.63的一段IP地址是子网内部有效的(Available IP),子网中拥有这些IP地址的计算机的子网掩码也是255.255.255.192,此时的网关对于这些计算机是透明的,它们可以直接通过网关访问Internet。同样地,Internet上的任意一台主机也可以直接访问到子网内部的这些计算机,这样的IP地址称之为合法IP(Legal IP),或真实IP(Real IP)。
但是,另外一种我们认为有问题的做法是,IP网关的网址及掩码设置不变(这一点是至关重要的),子网内的某台计算机的IP地址设置为有效IP中的某一个,如*.*.60.60,但其掩码可以设置为255.255.254.192,注意子网掩码中第三组数字发生的变化。接下来我们做几个"与"运算,60&254=60,60&255=60,61&254=60,61&255=61。根据TCP/IP协议我们可以知道,*.*.60.60这台计算机可以访问IP网关外*.*.61.0~*.*.61.63 的一段IP节点,也可以访问诸如www.netscape.com一类的任何Internet主机。当然,Internet上的任何主机也可以访问到*.*.60.60。这时,子网中的其他计算机的IP地址可以设置为 *. *.61.0~*.*.61.63中的某一个,如*.*.61.8,注意IP地址中第三组数字的变化,其子网掩码设置为255.255.254.192。看一下刚才的与运算结果,我们可以知道,拥有这样的TCP/IP配置的计算机是不能访问IP 网关以外的节点的,它们发出的IP包在检查源地址的IP网关处,被网关认为是坏包,将予以丢弃。更值得注意的是,Internet上某台主机向*. *.61.8发出的IP包,也许还根本到不了本子网的IP网关,就已经被上级网关转发到真正的*.*.61.8所在的子网了。本子网内拥有这些IP地址的计算机,对于IP网关外面是不可见的,我们称这样的IP地址为非法IP( Illegal IP),或虚拟IP(Virtual IP)。
