??????? 應(yīng)用層
??????? 應(yīng)用層是OSI參考模型中最靠近用戶(hù)的一層，它為用戶(hù)的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù)，這些應(yīng)用程序包括電子數(shù)據(jù)表格程序、字處理程序和銀行終端程序等，應(yīng)用層識(shí)別并證實(shí)目的的通信方的可用性，使協(xié)同工作的應(yīng)用程序之間進(jìn)行同步，建立傳輸錯(cuò)誤糾正和數(shù)據(jù)完整性控制方面的協(xié)定，判斷是否為所需的通信過(guò)程留有足夠的資源。
??????? (四)?網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場(chǎng)景
??????? 1.?數(shù)據(jù)加密與數(shù)字簽名
??????? 常用的數(shù)據(jù)加密技術(shù)主要有兩種：
??????? 私密密鑰加密技術(shù)：私密密鑰加密技術(shù)也稱(chēng)對(duì)稱(chēng)密鑰加密技術(shù)，密鑰在加密方和解密方之間傳遞和分發(fā)必須通過(guò)安全通道進(jìn)行，在公共網(wǎng)絡(luò)上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒(méi)有已安全方式傳送，那么黑客就很有可能截獲該密鑰，并將該密鑰用于信息解密。因此，在公共網(wǎng)絡(luò)上，秘密密鑰技術(shù)不適合于實(shí)現(xiàn)互不相識(shí)的通信者之間的信息傳遞。
??????? 公開(kāi)密鑰加密技術(shù)：公開(kāi)密鑰加密也稱(chēng)為非對(duì)稱(chēng)密鑰加密公開(kāi)密鑰加密技術(shù)其優(yōu)勢(shì)在于不需要共享通用的密鑰。公鑰可以再公共網(wǎng)絡(luò)上進(jìn)行傳遞和分發(fā)，公開(kāi)密鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密速度比較慢，被加密的數(shù)據(jù)塊長(zhǎng)度不宜過(guò)太大。
??????? 數(shù)字簽名：數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計(jì)算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計(jì)算能力上是不可行的
??????? 2.?CA數(shù)字證書(shū)
??????? 　? CA是證書(shū)的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶(hù)身份，并對(duì)用戶(hù)證書(shū)進(jìn)行簽名，以確保證書(shū)持有者的身份和公鑰的擁有權(quán)。
??????????? 如果用戶(hù)想得到一份屬于自己的證書(shū)，他應(yīng)先向 CA 提出申請(qǐng)。在 CA 判明申請(qǐng)者的身份后，便為他分配一個(gè)公鑰，并且 CA 將該公鑰與申請(qǐng)者的身份信息綁在一起，并為之簽字后，便形成證書(shū)發(fā)給申請(qǐng)者。 它主要用來(lái)認(rèn)證訪問(wèn)權(quán)限和建立互相信任。
??????? 3.?防火墻技術(shù)
??????? 防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶(hù)未經(jīng)授權(quán)的訪問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
??????? 4.?入侵檢測(cè)技術(shù)
??????? 入侵檢測(cè)技術(shù)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶(hù)的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
??????? 5.?VPN技術(shù)
??????????? VPN 即虛擬專(zhuān)用網(wǎng)絡(luò)，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。
??????? 　? VPN是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶(hù)一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。VPN極大地降低了用戶(hù)的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。VPN可分為三大類(lèi)：（1）企業(yè)各部門(mén)與遠(yuǎn)程分支之間的 VPN；（2）企業(yè)網(wǎng)與遠(yuǎn)程（移動(dòng)）雇員之間的VPN；（3）企業(yè)與企業(yè)之間的VPN。
??????? 6.?NAT技術(shù)
??????? NAT（Networ Address Translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯。他將一個(gè)或多個(gè)私網(wǎng)地址映射成一個(gè)公網(wǎng)地址，他是不對(duì)稱(chēng)的協(xié)議。
??????? 7.?IPSEC技術(shù)
??????????? IPSec是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專(zhuān)用網(wǎng)絡(luò)與 Internet 的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護(hù)的計(jì)算機(jī)。IPSec 提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶(hù)端和服務(wù)器、分支機(jī)構(gòu)以及漫游客戶(hù)端之間的通信。
??????? IPsec提供兩個(gè)端點(diǎn)之間提供安全通信
??????? (五)?以一個(gè)拓?fù)鋱D來(lái)說(shuō)明網(wǎng)絡(luò)技術(shù)實(shí)施的層次和目標(biāo)
??????? 1.?拓?fù)鋱D
?????????
??????? 2.?實(shí)現(xiàn)的層次及目標(biāo)
??????? 實(shí)現(xiàn)VPN使得私網(wǎng)1與私網(wǎng)2能夠安全通信
??????? 1.?在ISA1上設(shè)置分配給遠(yuǎn)程撥入的IP地址段，并設(shè)置允許撥入人數(shù)
??????? 2.?在ISA1上建立遠(yuǎn)程站點(diǎn)VPN的規(guī)則
??????? 3.?在ISA1上新建用戶(hù)并且允許遠(yuǎn)程撥入
??????? 4.?在ISA2上與ISA1上相同
??????? 實(shí)現(xiàn)VPN使得移動(dòng)用戶(hù)PC4能訪問(wèn)私網(wǎng)1
??????? 1.?在裝有ISA1的機(jī)器上建立VPN允許撥入
??????? 2.?在裝有ISA1的機(jī)器上建立用戶(hù)并允許撥入
???????? 實(shí)現(xiàn)網(wǎng)站發(fā)布與CA數(shù)字證書(shū)使得PC2能安全訪問(wèn)內(nèi)部網(wǎng)站
??????? 1.?在ISA1上建立發(fā)布規(guī)則使網(wǎng)站發(fā)布出去
??????? 2.?使用PC2訪問(wèn)內(nèi)部網(wǎng)站
??????? 3.?在網(wǎng)站上設(shè)置要求證書(shū)認(rèn)證
??????? 4.?在PC2上向網(wǎng)站申請(qǐng)證書(shū)
??????? 5.?在PC2下載證書(shū)
??????? 6.?分別使用PC2和PC4訪問(wèn)網(wǎng)站驗(yàn)證
???????? 實(shí)現(xiàn)IPsec+CA證書(shū)使得兩個(gè)私網(wǎng)中的兩臺(tái)計(jì)算機(jī)安全通信
??????? 1.?在ISA1上與ISA2上啟用路由功能
??????? 2.?在PC1和PC3的安全策略中新建IPsec策略
??????? 3.?選擇使用證書(shū)驗(yàn)證雙方
??????? 4.?在PC2上建立CA
??????? 5.?PC1和PC3上是向CA申請(qǐng)證書(shū)并下載證書(shū)
???????? 實(shí)現(xiàn)NAT使得內(nèi)網(wǎng)的私網(wǎng)網(wǎng)址映射成公網(wǎng)網(wǎng)址，內(nèi)網(wǎng)能訪問(wèn)外網(wǎng)，外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)
??????? 1.?在裝有ISA1的機(jī)器上啟用路由
??????? 2.?在裝有ISA1的機(jī)器上啟用NAT，做好相應(yīng)的設(shè)置
??????? 3.?使用內(nèi)網(wǎng)中的PC1訪問(wèn)外網(wǎng)PC2，然后翻過(guò)來(lái)訪問(wèn)驗(yàn)證
???????? 實(shí)現(xiàn)入侵檢測(cè)使得即時(shí)發(fā)現(xiàn)惡意的訪問(wèn)
??????? 1.?在ISA1中默認(rèn)是啟用的
??????? 2.?選擇端口掃描復(fù)選框并設(shè)置掃描端口個(gè)數(shù)
??????? 3.?在pc2上使用scan-x掃描ISA端口驗(yàn)證
???????? 實(shí)現(xiàn)數(shù)據(jù)加密和數(shù)字簽名使得重要數(shù)據(jù)得到保護(hù)
??????? 1.?右擊文件夾→屬性→加密復(fù)選框
??????? 2.?導(dǎo)出證書(shū)使用另一個(gè)用戶(hù)訪問(wèn)文件夾驗(yàn)證
???????