重生之我在魔都学内网

  内网也叫局域网，是指在某一区域由多台计算机互相连接而成的计算机组。内网的情况往往比较复杂。

工作组

  在一个大型单位中，可能存在着成百上千台计算机，他们相互连接组成局域网，如果不对它们进行分组，那么网络关系就会杂乱不堪，工作组的出现，成功解决了这个问题。它将局域网中不同的计算机按功能分别列入不同的工作组，使网络更有序。

域

  域是一台有安全边界的计算机集合（这里的安全边界指的是在两个域中，一个域中的用户无法访问另外一个域中的资源），更像是一个升级版的工作组。用户想要访问域内的资源，必须以合法的身份登录域，用户对域内的资源拥有什么样的权限，取决于用户在域内的身份。

域控制器

  DC（domain controller），域控制器是域中一台类似管理服务器的主机，它拥有管理域内其他主机的计算机权限，它负责所有本域内的计算和用户的验证工作，它是整个域的通信枢纽，域内所有用来验证身份的账号和密码哈希都存在域控制器中。所以，内网渗透的最终目标常常就是为了攻下域控服务器，即拿域控。

单域

  就是指只有一个域环境的网络，这里需要说明的是，一般在一个域中，至少会有两台域服务，一台作为DC，另一台作为备份DC。（没有把握的时候先日备用的，为自己争取跑路时间）

父域和子域

  当存在多个域时，第一个域称为父域，各分部的域称为该域的子域。设置这样的模式的好处：

1.减小了域之间信息交互的压力（域内信息交互不会压缩，域间信息交互可压缩）

2.不同的子域可以指定特定的安全策略

  父域中域名使用一个.表示一个层次，放在域名最后的子域称为最高级子域或一级子域，它面前的称为二级域

  如果baidu.com是一个父域，那么abc.baidu.com就是一级子域，aa.abc.baidu.com就是二级域。

域树

  域树时多个域通过建立信任关系组成的集合。当两个域内需要互相访问时，就需要建立信任关系。建立信任关系后，可以将父子域连接成树状格式，此时就可以实现互相访问。

域森林

  域森林是指多个域树通过建立信任关系组成的集合。例如，当前域树aaa.net和域树aaa.com，两个本来是无法实现相互访问的，而当两个域树建立信任关系后，他们可以组成一个集合形式（域森林），实现相互访问。

域名服务器

  域名服务器（Domian Name Server，简称DNS）是指用于实现域名和与之对应IP地址转换的服务器。简单的说，就是实现域名到IP地址的转换。同时，域的名字就是DNS的名字，因为域中计算机使用DNS来定位DC、服务器等计算机。

活动目录

  活动目录（Active Directory，简称AD）是指与环境中提供目录服务的组件。

  它用于存储有关网络对象（用户、组、计算机、共享资源等）的信息，目录服务是指帮助用户快速、准确地寻找其所需要的服务。为企业提供了网络环境的集中式管理机制。

  活动目录的逻辑结构包括阻止单元（ou）、域、域树、域森林。逻辑结构的定义是不考虑被管理对象的具体位置的阻止框架。

  活动目录的功能

1.账号集中管理：所有账号均存储在服务器中，以便执行命令和重置密码等。

2.软件集中管理：统一推送软件，安装打印机等。利用软件发布策略分部软件，可以让用户自由选择需要安装的软件。

3.环境集中管理：统一客户端桌面、IE、TCP/IP协议等设置。

4.增强安全性：统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一指定密码策略等。

5.更可靠、更短的宕机时间：例如，利用活动目录控制用户访问权限，利用集群、负载均衡等技术对文件服务器进行容灾设置

域控与活动目录的区别

  活动目录数据库，即拥有层次结构的数据库，简称AD库。

  要实现域环境，其实就是要安装AD库。如果内网中一台计算机上安装了AD，那它就变成了DC（用于存储活动目录数据库的计算机，即域控）

安全域的划分

  在一个用路由器连接的内网中，可以将网络划分为三个区域：内网、DMZ、外网

  内网，拥有两个区：

1.核心区（存储企业最重要的数据、文档等信息资产，往往只有很少的主机能访问）。

2.办公区（公司员工日常的工作区，一般能够访问DMZ，部分主机可访问核心区）

  DMZ（Demilitarized Zone，称为隔离区），其是一个非安全系统与安全系统之间的缓冲区，也就是说，DMZ一般位于内网和外部网络之间。这里主要用于对外提供服务，可以在此放置一些必须公开的服务器设施，例如企业Web服务器、FTP服务器和论坛服务器等。

  互联网，安全级别最低。

  在配置一个拥有DMZ的网络时，通常需要定义如下访问控制策略，以实现屏障功能。

1.内网可以访问外网：内网用户需要自由地访问外网

2.内网可以访问DMZ：此策略使内网用户可以使用或者管理DMZ中的服务器

3.外网不能访问内网：内网中存储的是公司内部数据，这些数据一般是不允许外网用户访问的（如果要访问，可以通过VPN的方式进行）

4.外网可以访问DMZ：因为DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ

5.DMZ不能访问内网：如果不执行此策略，当攻击者攻陷DMZ时，内网将无法受到保护

6.DMZ不能访问外网：此策略也有例外。如果DMZ区存在邮件服务器等就需要访问外网，否则无法正常工作

  可是实际情况真的像上面所列举的这么理想化吗？

原文始发于微信公众号（零漏安全）：重生之我在魔都学内网