??????? 應用層
??????? 應用層是OSI參考模型中最靠近用戶的一層，它為用戶的應用程序提供網絡服務，這些應用程序包括電子數據表格程序、字處理程序和銀行終端程序等，應用層識別并證實目的的通信方的可用性，使協同工作的應用程序之間進行同步，建立傳輸錯誤糾正和數據完整性控制方面的協定，判斷是否為所需的通信過程留有足夠的資源。
??????? (四)?網絡安全架構的組成技術和應用場景
??????? 1.?數據加密與數字簽名
??????? 常用的數據加密技術主要有兩種：
??????? 私密密鑰加密技術：私密密鑰加密技術也稱對稱密鑰加密技術，密鑰在加密方和解密方之間傳遞和分發必須通過安全通道進行，在公共網絡上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒有已安全方式傳送，那么黑客就很有可能截獲該密鑰，并將該密鑰用于信息解密。因此，在公共網絡上，秘密密鑰技術不適合于實現互不相識的通信者之間的信息傳遞。
??????? 公開密鑰加密技術：公開密鑰加密也稱為非對稱密鑰加密公開密鑰加密技術其優勢在于不需要共享通用的密鑰。公鑰可以再公共網絡上進行傳遞和分發，公開密鑰加密技術的主要缺點是加密算法復雜，加密與解密速度比較慢，被加密的數據塊長度不宜過太大。
??????? 數字簽名：數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的
??????? 2.?CA數字證書
??????? 　? CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。
??????????? 如果用戶想得到一份屬于自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份后，便為他分配一個公鑰，并且 CA 將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發給申請者。 它主要用來認證訪問權限和建立互相信任。
??????? 3.?防火墻技術
??????? 防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許，并監視網絡運行狀態。
??????? 4.?入侵檢測技術
??????? 入侵檢測技術可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。
??????? 5.?VPN技術
??????????? VPN 即虛擬專用網絡，是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。
??????? 　? VPN是一種“基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統方法更強的安全性和可靠性。VPN可分為三大類：（1）企業各部門與遠程分支之間的 VPN；（2）企業網與遠程（移動）雇員之間的VPN；（3）企業與企業之間的VPN。
??????? 6.?NAT技術
??????? NAT（Networ Address Translation）即網絡地址轉換或網絡地址翻譯。他將一個或多個私網地址映射成一個公網地址，他是不對稱的協議。
??????? 7.?IPSEC技術
??????????? IPSec是一種開放標準的框架結構，通過使用加密的安全服務以確保在 Internet 協議 (IP) 網絡上進行保密而安全的通訊它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的攻擊。在通信中，只有發送方和接收方才是唯一必須了解 IPSec 保護的計算機。IPSec 提供了一種能力，以保護工作組、局域網計算機、域客戶端和服務器、分支機構以及漫游客戶端之間的通信。
??????? IPsec提供兩個端點之間提供安全通信
??????? (五)?以一個拓撲圖來說明網絡技術實施的層次和目標
??????? 1.?拓撲圖
?????????
??????? 2.?實現的層次及目標
??????? 實現VPN使得私網1與私網2能夠安全通信
??????? 1.?在ISA1上設置分配給遠程撥入的IP地址段，并設置允許撥入人數
??????? 2.?在ISA1上建立遠程站點VPN的規則
??????? 3.?在ISA1上新建用戶并且允許遠程撥入
??????? 4.?在ISA2上與ISA1上相同
??????? 實現VPN使得移動用戶PC4能訪問私網1
??????? 1.?在裝有ISA1的機器上建立VPN允許撥入
??????? 2.?在裝有ISA1的機器上建立用戶并允許撥入
???????? 實現網站發布與CA數字證書使得PC2能安全訪問內部網站
??????? 1.?在ISA1上建立發布規則使網站發布出去
??????? 2.?使用PC2訪問內部網站
??????? 3.?在網站上設置要求證書認證
??????? 4.?在PC2上向網站申請證書
??????? 5.?在PC2下載證書
??????? 6.?分別使用PC2和PC4訪問網站驗證
???????? 實現IPsec+CA證書使得兩個私網中的兩臺計算機安全通信
??????? 1.?在ISA1上與ISA2上啟用路由功能
??????? 2.?在PC1和PC3的安全策略中新建IPsec策略
??????? 3.?選擇使用證書驗證雙方
??????? 4.?在PC2上建立CA
??????? 5.?PC1和PC3上是向CA申請證書并下載證書
???????? 實現NAT使得內網的私網網址映射成公網網址，內網能訪問外網，外網不能訪問內網
??????? 1.?在裝有ISA1的機器上啟用路由
??????? 2.?在裝有ISA1的機器上啟用NAT，做好相應的設置
??????? 3.?使用內網中的PC1訪問外網PC2，然后翻過來訪問驗證
???????? 實現入侵檢測使得即時發現惡意的訪問
??????? 1.?在ISA1中默認是啟用的
??????? 2.?選擇端口掃描復選框并設置掃描端口個數
??????? 3.?在pc2上使用scan-x掃描ISA端口驗證
???????? 實現數據加密和數字簽名使得重要數據得到保護
??????? 1.?右擊文件夾→屬性→加密復選框
??????? 2.?導出證書使用另一個用戶訪問文件夾驗證
???????