??????? 應(yīng)用層
??????? 應(yīng)用層是OSI參考模型中最靠近用戶的一層,它為用戶的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù),這些應(yīng)用程序包括電子數(shù)據(jù)表格程序、字處理程序和銀行終端程序等,應(yīng)用層識別并證實目的的通信方的可用性,使協(xié)同工作的應(yīng)用程序之間進行同步,建立傳輸錯誤糾正和數(shù)據(jù)完整性控制方面的協(xié)定,判斷是否為所需的通信過程留有足夠的資源。
??????? (四)?網(wǎng)絡(luò)安全架構(gòu)的組成技術(shù)和應(yīng)用場景
??????? 1.?數(shù)據(jù)加密與數(shù)字簽名
??????? 常用的數(shù)據(jù)加密技術(shù)主要有兩種:
??????? 私密密鑰加密技術(shù):私密密鑰加密技術(shù)也稱對稱密鑰加密技術(shù),密鑰在加密方和解密方之間傳遞和分發(fā)必須通過安全通道進行,在公共網(wǎng)絡(luò)上使用明文傳遞秘密密鑰是不合適的。如果密鑰沒有已安全方式傳送,那么黑客就很有可能截獲該密鑰,并將該密鑰用于信息解密。因此,在公共網(wǎng)絡(luò)上,秘密密鑰技術(shù)不適合于實現(xiàn)互不相識的通信者之間的信息傳遞。
??????? 公開密鑰加密技術(shù):公開密鑰加密也稱為非對稱密鑰加密公開密鑰加密技術(shù)其優(yōu)勢在于不需要共享通用的密鑰。公鑰可以再公共網(wǎng)絡(luò)上進行傳遞和分發(fā),公開密鑰加密技術(shù)的主要缺點是加密算法復(fù)雜,加密與解密速度比較慢,被加密的數(shù)據(jù)塊長度不宜過太大。
??????? 數(shù)字簽名:數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對,作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名,利用CA提供的公共密鑰,任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的
??????? 2.?CA數(shù)字證書
??????? ? CA是證書的簽發(fā)機構(gòu),它是PKI的核心。CA是負責(zé)簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。它要制定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權(quán)。
??????????? 如果用戶想得到一份屬于自己的證書,他應(yīng)先向 CA 提出申請。在 CA 判明申請者的身份后,便為他分配一個公鑰,并且 CA 將該公鑰與申請者的身份信息綁在一起,并為之簽字后,便形成證書發(fā)給申請者。 它主要用來認證訪問權(quán)限和建立互相信任。
??????? 3.?防火墻技術(shù)
??????? 防火墻技術(shù),最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護措施。顧名思義,防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。
??????? 4.?入侵檢測技術(shù)
??????? 入侵檢測技術(shù)可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
??????? 5.?VPN技術(shù)
??????????? VPN 即虛擬專用網(wǎng)絡(luò),是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。
??????? ? VPN是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費用,而且提供了比傳統(tǒng)方法更強的安全性和可靠性。VPN可分為三大類:(1)企業(yè)各部門與遠程分支之間的 VPN;(2)企業(yè)網(wǎng)與遠程(移動)雇員之間的VPN;(3)企業(yè)與企業(yè)之間的VPN。
??????? 6.?NAT技術(shù)
??????? NAT(Networ Address Translation)即網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯。他將一個或多個私網(wǎng)地址映射成一個公網(wǎng)地址,他是不對稱的協(xié)議。
??????? 7.?IPSEC技術(shù)
??????????? IPSec是一種開放標準的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊它通過端對端的安全性來提供主動的保護以防止專用網(wǎng)絡(luò)與 Internet 的攻擊。在通信中,只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護的計算機。IPSec 提供了一種能力,以保護工作組、局域網(wǎng)計算機、域客戶端和服務(wù)器、分支機構(gòu)以及漫游客戶端之間的通信。
??????? IPsec提供兩個端點之間提供安全通信
??????? (五)?以一個拓撲圖來說明網(wǎng)絡(luò)技術(shù)實施的層次和目標
??????? 1.?拓撲圖
?????????
??????? 2.?實現(xiàn)的層次及目標
??????? 實現(xiàn)VPN使得私網(wǎng)1與私網(wǎng)2能夠安全通信
??????? 1.?在ISA1上設(shè)置分配給遠程撥入的IP地址段,并設(shè)置允許撥入人數(shù)
??????? 2.?在ISA1上建立遠程站點VPN的規(guī)則
??????? 3.?在ISA1上新建用戶并且允許遠程撥入
??????? 4.?在ISA2上與ISA1上相同
??????? 實現(xiàn)VPN使得移動用戶PC4能訪問私網(wǎng)1
??????? 1.?在裝有ISA1的機器上建立VPN允許撥入
??????? 2.?在裝有ISA1的機器上建立用戶并允許撥入
???????? 實現(xiàn)網(wǎng)站發(fā)布與CA數(shù)字證書使得PC2能安全訪問內(nèi)部網(wǎng)站
??????? 1.?在ISA1上建立發(fā)布規(guī)則使網(wǎng)站發(fā)布出去
??????? 2.?使用PC2訪問內(nèi)部網(wǎng)站
??????? 3.?在網(wǎng)站上設(shè)置要求證書認證
??????? 4.?在PC2上向網(wǎng)站申請證書
??????? 5.?在PC2下載證書
??????? 6.?分別使用PC2和PC4訪問網(wǎng)站驗證
???????? 實現(xiàn)IPsec+CA證書使得兩個私網(wǎng)中的兩臺計算機安全通信
??????? 1.?在ISA1上與ISA2上啟用路由功能
??????? 2.?在PC1和PC3的安全策略中新建IPsec策略
??????? 3.?選擇使用證書驗證雙方
??????? 4.?在PC2上建立CA
??????? 5.?PC1和PC3上是向CA申請證書并下載證書
???????? 實現(xiàn)NAT使得內(nèi)網(wǎng)的私網(wǎng)網(wǎng)址映射成公網(wǎng)網(wǎng)址,內(nèi)網(wǎng)能訪問外網(wǎng),外網(wǎng)不能訪問內(nèi)網(wǎng)
??????? 1.?在裝有ISA1的機器上啟用路由
??????? 2.?在裝有ISA1的機器上啟用NAT,做好相應(yīng)的設(shè)置
??????? 3.?使用內(nèi)網(wǎng)中的PC1訪問外網(wǎng)PC2,然后翻過來訪問驗證
???????? 實現(xiàn)入侵檢測使得即時發(fā)現(xiàn)惡意的訪問
??????? 1.?在ISA1中默認是啟用的
??????? 2.?選擇端口掃描復(fù)選框并設(shè)置掃描端口個數(shù)
??????? 3.?在pc2上使用scan-x掃描ISA端口驗證
???????? 實現(xiàn)數(shù)據(jù)加密和數(shù)字簽名使得重要數(shù)據(jù)得到保護
??????? 1.?右擊文件夾→屬性→加密復(fù)選框
??????? 2.?導(dǎo)出證書使用另一個用戶訪問文件夾驗證
???????