內(nèi)網(wǎng)基礎(chǔ)知識(shí)

（1）概念

內(nèi)網(wǎng)也稱(chēng)局域網(wǎng)（Local Area Network，LAN）是指在某一工作區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)形成的計(jì)算機(jī)組，一般是方圓幾千米內(nèi)。局域網(wǎng)可實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作內(nèi)的歷程安排、電子郵件和傳真通信服務(wù)等功能。

內(nèi)網(wǎng)為封閉性網(wǎng)絡(luò)，一定程度上能夠防止信息泄露和外部網(wǎng)絡(luò)攻擊，具有較高安全性。

（2）工作組（WorkGroup）

一個(gè)大的單位內(nèi)，可能有成百上千臺(tái)電腦相連形成局域網(wǎng)，它們都會(huì)列在“網(wǎng)絡(luò)”內(nèi)。如果不分組，就會(huì)相當(dāng)混亂。為了解決這個(gè)問(wèn)題，就有了工作組的概念。

工作組：對(duì)局域網(wǎng)中計(jì)算機(jī)進(jìn)行分類(lèi)，使得網(wǎng)絡(luò)有序。計(jì)算機(jī)之間的管理依然是各自為政，所有計(jì)算機(jī)是對(duì)等的，可隨意加入和退出，且不同工作組之間的共享資源可以互相訪問(wèn)。

（3）域

域（Domain）是一個(gè)有安全邊界的計(jì)算機(jī)集合，可以吧域理解成為升級(jí)版的“工作組”。相比工作組，它有更嚴(yán)格的安全管理控制機(jī)制，若想訪問(wèn)域內(nèi)資源，必須要有合法身份登錄到域中，并且這個(gè)合法身份的用戶(hù)身份，決定著在該域內(nèi)所擁有的權(quán)限。

域管理員只能管理域內(nèi)部的關(guān)系，除非其他的域顯示賦予管理權(quán)限，才可訪問(wèn)其他域，每個(gè)域都有自己的安全策略，以及與其他域之間的安全信任關(guān)系。

<1> 域控制器

域控制器（Domain Controller --- DC）是一個(gè)域中類(lèi)似管理服務(wù)器的計(jì)算機(jī)，負(fù)責(zé)每一臺(tái)聯(lián)入的電腦和用戶(hù)的驗(yàn)證工作，域內(nèi)電腦相互訪問(wèn)首先經(jīng)過(guò)它的審核。

<2> 安全域

目的：將一組安全等級(jí)相同的計(jì)算機(jī)劃分到同一網(wǎng)段內(nèi)，這一網(wǎng)段內(nèi)的計(jì)算機(jī)有相同的網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)邊界上采用防火墻部署來(lái)實(shí)現(xiàn)其他安全域的NACL（網(wǎng)絡(luò)訪問(wèn)控制策略），允許哪些IP訪問(wèn)，哪些不能IP訪問(wèn)；允許此域可訪問(wèn)哪個(gè)IP/網(wǎng)段，不允許訪問(wèn)哪個(gè)IP/網(wǎng)段

<3> 域的分類(lèi)

分為：?jiǎn)斡?、父子域、域?shù)、域森林、DNS域名服務(wù)器

【1】單域：只有一個(gè)域的網(wǎng)絡(luò)環(huán)境，一般需要兩臺(tái)DC，一臺(tái)常用，一臺(tái)備用

【2】父子域：類(lèi)比公司總部和公司分部的關(guān)系，總部的域稱(chēng)為父域，各分部的域稱(chēng)為該域的子域。

• 好處：減少了域之間信息交互的壓力（域內(nèi)信息交互不會(huì)壓縮，域間信息交互可壓縮）；不同子域之間可以指定特定的安全策略

【3】域樹(shù)（tree）：多個(gè)域通過(guò)建立信任關(guān)系組成的集合，若兩個(gè)域之間需要互相訪問(wèn)，則需建立信任關(guān)系（trust relation），通過(guò)信任關(guān)系可將父子域連接為樹(shù)狀結(jié)構(gòu)

【4】域森林（forest）：若干個(gè)樹(shù)通過(guò)信任關(guān)系組成的集合?？梢酝ㄟ^(guò)域樹(shù)之間建立的信任關(guān)系來(lái)管理和使用整個(gè)森林中的資源，從而又保持了域自身原有的特性。

【5】DNS域名服務(wù)器：DNS域名服務(wù)器是進(jìn)行域名（domain name）和與之相對(duì)應(yīng)的IP地址（IP address）轉(zhuǎn)換的服務(wù)器。

（一般情況下，在內(nèi)網(wǎng)滲透時(shí)通過(guò)尋找DNS服務(wù)器來(lái)定位域控制器，通常DNS服務(wù)器和域控制器處于同一臺(tái)機(jī)器）

<4> 域中計(jì)算機(jī)分類(lèi)

• 域控制器
• 成員服務(wù)器
• 客戶(hù)機(jī)
• 獨(dú)立服務(wù)器

域和工作組的區(qū)別：

[1] 適用環(huán)境不同

域一般是在比較大的網(wǎng)絡(luò)中，工作組較小，在一個(gè)域中需要一臺(tái)類(lèi)似服務(wù)器的計(jì)算機(jī)，叫域控服務(wù)器，其他計(jì)算機(jī)需互相訪問(wèn)都得經(jīng)過(guò)域控服務(wù)器；工作組則不同，一個(gè)工作組中所有計(jì)算機(jī)都是對(duì)等的，沒(méi)有服務(wù)器和客戶(hù)機(jī)之分，與域相同，若一臺(tái)計(jì)算機(jī)訪問(wèn)其他計(jì)算機(jī)首先也要找到組中的一臺(tái)類(lèi)似組控服務(wù)器，而組控服務(wù)器是不固定的，以選舉方式實(shí)現(xiàn)，它存儲(chǔ)這個(gè)組的相關(guān)信息，找到這臺(tái)計(jì)算機(jī)得到組信息然后進(jìn)行訪問(wèn)。

[2] 分類(lèi)

工作組是一群計(jì)算機(jī)的集合，它僅僅是一個(gè)邏輯的集合，各自計(jì)算機(jī)還是各自管理，需訪問(wèn)一臺(tái)計(jì)算機(jī)，還是要到被訪問(wèn)的計(jì)算機(jī)上實(shí)現(xiàn)用戶(hù)驗(yàn)證；域是一個(gè)有安全邊界的計(jì)算機(jī)集合，在同一個(gè)域中的計(jì)算機(jī)上已經(jīng)建立了信任關(guān)系，域內(nèi)訪問(wèn)其他機(jī)器不需被訪問(wèn)機(jī)器的許可了

[3] 拓展

• 域是windows網(wǎng)絡(luò)中運(yùn)行的獨(dú)立單位，域之間相互訪問(wèn)需要建立信任關(guān)系（trust relation），信任關(guān)系是在域與域之間的橋梁。當(dāng)一個(gè)域與其他域建立了信任關(guān)系后，2個(gè)域之間不但可以按需相互管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享管理。
• 工作組是局域網(wǎng)中的一個(gè)概念，是最常見(jiàn)最普通的資源管理模式，將不同電腦按所需執(zhí)行的功能劃分到不同組中，以方便管理。

（4）活動(dòng)目錄（Activity Directory -- AD）

活動(dòng)目錄是域環(huán)境中提供目錄服務(wù)的組件。

若將內(nèi)網(wǎng)中的資源看做字典，則AD就是這個(gè)字典的索引。活動(dòng)目錄存儲(chǔ)的是內(nèi)網(wǎng)中所有資源的快捷方式，用戶(hù)通過(guò)尋找快捷方式來(lái)定位資源。

（5）AD和DC的區(qū)別

1. 網(wǎng)絡(luò)規(guī)模較大，會(huì)考慮將網(wǎng)絡(luò)中的眾多對(duì)象：計(jì)算機(jī)、用戶(hù)、用戶(hù)組、打印機(jī)、共享文件等，分類(lèi)放在倉(cāng)庫(kù)中，做好檢索信息，便于查找、管理和使用。這個(gè)有層次結(jié)構(gòu)的數(shù)據(jù)庫(kù)，就是活動(dòng)目錄數(shù)據(jù)庫(kù)，簡(jiǎn)稱(chēng)AD庫(kù)；
2. 我們將存放AD庫(kù)的計(jì)算機(jī)稱(chēng)為DC。實(shí)現(xiàn)域環(huán)境，就是安裝AD（當(dāng)內(nèi)網(wǎng)中其中一臺(tái)計(jì)算機(jī)安裝AD后，它就變成了DC）。
3. DC的本質(zhì)是一臺(tái)計(jì)算機(jī)，AD的本質(zhì)是提供目錄服務(wù)的組件

（6）域內(nèi)權(quán)限

分類(lèi)：域本地組、全局組、通用組、AGDLP

【1】域本地組：多域用戶(hù)訪問(wèn)單域資源（訪問(wèn)同一個(gè)域）?？蓮娜魏斡蛱砑佑脩?hù)賬戶(hù)、通用組和全局組，只能在其所在域內(nèi)分配權(quán)限。域本地組不能嵌套于其他組中。主要是用于授予位于本域資源的訪問(wèn)權(quán)限

【2】全局組：?jiǎn)斡蛴脩?hù)訪問(wèn)多域資源。只能在創(chuàng)建該全局組的域上進(jìn)行添加用戶(hù)的全局組，可以將某個(gè)全局組添加到同一個(gè)域上的另一個(gè)全局組中，或添加到其他域的通用組和域本地組中。一般不用來(lái)直接分配權(quán)限。

【3】通用組：來(lái)自域林中任何域中的用戶(hù)賬戶(hù)、全局組和其他通用組?？稍谟蛄种械娜魏斡蛑兄概蓹?quán)限，可嵌套于其他域組中。適合域林中的跨域訪問(wèn)。

記憶方法：

• 域本地組：來(lái)自全林，作用于本域
• 全局組：來(lái)自本域，作用域全林
• 通用組：來(lái)自全林作用于全林

【4】A-G-DL-P策略

• A(account)，表示用戶(hù)賬號(hào)

• G(Global group)，表示全局組

• U(Universal group)，表示通用組

• DL(Domain local group)，表示域本地組

• P(Permission 許可)，表示資源權(quán)限。

A-G-DL-P策略是將用戶(hù)賬號(hào)添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權(quán)限。按照AGDLP的原則對(duì)用戶(hù)進(jìn)行組織和管理起來(lái)更容易。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-498432.html

到了這里，關(guān)于安全 --- 內(nèi)網(wǎng)基礎(chǔ)知識(shí)（01）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！