目錄
1. 什麼是內網
學過計算機網絡的同學都知道一般內網指的是局域網,即一個局域範圍內的多個計算機設備連接而成的網絡,例如一個學校,工廠,公司等,這個範圍通常在幾千米,在這個局域網絡中,計算機之間可以實現網絡通信,文件傳輸,軟件和硬件等資源共享。
通常這個網絡是封閉的,不同區域範圍的網絡是隔離的,無法直接通信,所以局域網其實指的就是內網。
2. 內網基礎的相關概念
在正式學習內網安全之前,我們需要了解關於內網安全的一些基本概念:
- 工作組
- 域
- 域控制器
- 活動目錄
- DMZ
- 域內權限
3. 工作組
舉個栗子,例如一個公司的內部網絡可能會有成千上萬臺計算機設備,並且這個公司有多個部門,爲了區分不同部門就需要對該網絡內的計算機進行分組,例如技術部的計算機被劃分到“技術部”的工作組內,行政部的計算機劃分到“行政部”的工作組內,利用工作組來劃分不同部門的計算機,便於管理。
4. 域的相關概念
域的相關概念:
域控制器,單域,父域,子域,域樹,域森林,域名服務器。
域(Domain)簡單來說就是升級版的工作組,區別在於域的安全管理機制更加嚴格。
域控制器
域控制器(Domain Controller,簡稱DC)是域中的一臺類似於管理員的計算機,負責所有連入的計算機和用戶驗證的相關工作,域內的計算機之前相互訪問都需要經過域控制器的審覈。
上圖中研發(域)中的所有計算機想要互相訪問,就必須通過DC的管理和驗證。例如RD1計算機想要和RD3通信,那麼DC會判斷RD1是否屬於研發(域),否則就拒絕RD1的請求,如果屬於就進一步判斷用戶使用的賬戶和密碼是否正確。域控制器在域中是一個相當重要的角色,域控制器相當於整個域的通信樞紐,所有權限身份驗證和賬號,密碼都在域控制器上。
單域
單域,對於一個只有十幾臺計算機的小公司來說,建立一個域就足夠了,一個域內至少需要兩臺DC(域服務器),一臺作爲主DC,另一臺作爲備用DC,因爲用戶的賬戶和密碼信息都存儲在DC中,通過主備來防止單點故障問題。
父域和子域
有的公司出於方便管理需要在網絡中劃分多個域,第一個域成爲父域,後來劃分的域則爲該域的子域。例如一個公司有多個分公司,並且每個分公司出於不同地點,就需要使用父域和子域。這樣做的好處是每個域的資源可以單獨管理,還有就是出於安全策略考慮,每個域可以根據自身需求制定賬戶和密碼安全策略單獨管理。
域樹
域樹是多個域通過建立信任關係組成的集合。一個域管理員只能管理本域,如果兩個域想要相互訪問就需要建立信任關係(Trust Relation)。域樹中的父域和子域通過建立信任關係可以實現不同域之間的網絡資源共享與管理,以及數據通信。
在一個域樹中,父域可以包含多個子域,子域之間用“ . ”符號隔開,並且子域只能使用父域的名字作爲其域名後綴,例如aaa子域只能使用父域web.com作爲其域名後綴,test子域只能使用父域aaa.web.com作爲其域名後綴,它們之間的關係是:web.com是頂級域,aaa.web.com爲二級域,test.aaa.web.com域最低。
域森林
域森林,在理解了域樹後,那麼對於域森林就很好理解了,顧名思義,域森林是指多個域樹通過建立信任關係組成的集合,例如web.net域樹是無法掛載到web.com域樹中,那麼這兩個域樹就可以通過建立信任關係組成域森林,從而實現資源共享,方便管理。
域名服務器
域名服務器(Domain Name Server,DNS)是用於實現域名和IP地址轉換的服務器。
5. 活動目錄
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件。在目錄中存儲的信息可以是用戶,組,計算機,共享資源,打印機,聯繫人等信息。目錄服務可以幫助用戶快速準確地從目錄中找到需要的信息服務。
活動目錄主要提供的功能:
賬號集中管理:所有賬號存儲在服務器中,方便執行命令。
軟件集中管理:統一推送軟件,安裝網絡打印機。
增強安全性:統一部署殺毒軟件,病毒掃描任務,集中管理計算機權限,統一制定用戶密碼策略等。
域控制器和活動目錄的區別:如果網絡規模很大,網絡中的很多對象,例如計算機,用戶,用戶組,打印機,共享文件等資源可以分門別類放到一個活動目錄的數據庫中,簡稱AD庫。如果內網中的一臺計算機安裝了AD庫,那麼這臺計算機就變成了DC(域控制器,用於存儲活動目錄數據庫的計算機)。
舉個栗子,在域環境中,只需要在活動目錄中創建Allen賬戶一次,其他計算機中的任意一臺計算機上使用該賬號登錄,修改賬戶密碼同理,只需要在活動目錄中修改Allen賬戶的密碼一次就可以了。
6. 安全域的劃分
劃分安全域的目的是將一組安全等級相同的計算機劃入同一網段,該網段的計算機具有相同網絡邊界,通過在網絡邊界部署防火牆實現對其他安全域的網絡訪問控制策略,使得網絡攻擊風險最小化,儘可能把對計算機的威脅降到最低。
一般中小型企業內網的安全域劃分爲DMZ和內網,通過硬件防火牆的不同端口實現隔離。通常在一個用路由器連接的內網中,可以將網絡劃分爲三個區域:安全級別最高的內網;安全級別中等的DMZ,安全級別最低的外網。
內網和外網這兩個區域我們熟悉,DMZ被稱爲隔離區,主要是解決安裝防火牆後外部網絡不能訪問內部網絡問題的一個非安全系統和安全系統的緩衝區,DMZ通常部署在企業內部網絡和外部網絡之間,外部網絡通常可以訪問DMZ區域。