内网安全——内网渗透基础

1. 什么是内网

学过计算机网络的同学都知道一般内网指的是局域网，即一个局域范围内的多个计算机设备连接而成的网络，例如一个学校，工厂，公司等，这个范围通常在几千米，在这个局域网络中，计算机之间可以实现网络通信，文件传输，软件和硬件等资源共享。

通常这个网络是封闭的，不同区域范围的网络是隔离的，无法直接通信，所以局域网其实指的就是内网。

2. 内网基础的相关概念

在正式学习内网安全之前，我们需要了解关于内网安全的一些基本概念：

工作组

域

域控制器

活动目录

DMZ

域内权限

3. 工作组

举个栗子，例如一个公司的内部网络可能会有成千上万台计算机设备，并且这个公司有多个部门，为了区分不同部门就需要对该网络内的计算机进行分组，例如技术部的计算机被划分到“技术部”的工作组内，行政部的计算机划分到“行政部”的工作组内，利用工作组来划分不同部门的计算机，便于管理。

4. 域的相关概念

域的相关概念：

域控制器，单域，父域，子域，域树，域森林，域名服务器。

域（）简单来说就是升级版的工作组，区别在于域的安全管理机制更加严格。

域控制器

域控制器（ ，简称DC）是域中的一台类似于管理员的计算机，负责所有连入的计算机和用户验证的相关工作，域内的计算机之前相互访问都需要经过域控制器的审核。

上图中研发（域）中的所有计算机想要互相访问，就必须通过DC的管理和验证。例如RD1计算机想要和RD3通信，那么DC会判断RD1是否属于研发（域），否则就拒绝RD1的请求，如果属于就进一步判断用户使用的账户和密码是否正确。域控制器在域中是一个相当重要的角色，域控制器相当于整个域的通信枢纽，所有权限身份验证和账号，密码都在域控制器上。

单域

单域，对于一个只有十几台计算机的小公司来说，建立一个域就足够了，一个域内至少需要两台DC（域服务器），一台作为主DC，另一台作为备用DC，因为用户的账户和密码信息都存储在DC中，通过主备来防止单点故障问题。

父域和子域

有的公司出于方便管理需要在网络中划分多个域，第一个域成为父域，后来划分的域则为该域的子域。例如一个公司有多个分公司，并且每个分公司出于不同地点，就需要使用父域和子域。这样做的好处是每个域的资源可以单独管理，还有就是出于安全策略考虑，每个域可以根据自身需求制定账户和密码安全策略单独管理。

域树

域树是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域，如果两个域想要相互访问就需要建立信任关系（Trust ）。域树中的父域和子域通过建立信任关系可以实现不同域之间的网络资源共享与管理，以及数据通信。

在一个域树中，父域可以包含多个子域，子域之间用“ . ”符号隔开，并且子域只能使用父域的名字作为其域名后缀，例如aaa子域只能使用父域作为其域名后缀，test子域只能使用父域作为其域名后缀，它们之间的关系是：是顶级域，为二级域，域最低。

域森林

域森林，在理解了域树后，那么对于域森林就很好理解了，顾名思义，域森林是指多个域树通过建立信任关系组成的集合，例如域树是无法挂载到域树中，那么这两个域树就可以通过建立信任关系组成域森林，从而实现资源共享，方便管理。

域名服务器

域名服务器（ Name ，DNS）是用于实现域名和IP地址转换的服务器。

5. 活动目录

活动目录（ ，AD）是指域环境中提供目录服务的组件。在目录中存储的信息可以是用户，组，计算机，共享资源，打印机，联系人等信息。目录服务可以帮助用户快速准确地从目录中找到需要的信息服务。

活动目录主要提供的功能：

账号集中管理：所有账号存储在服务器中，方便执行命令。

软件集中管理：统一推送软件，安装网络打印机。

增强安全性：统一部署杀毒软件，病毒扫描任务，集中管理计算机权限，统一制定用户密码策略等。

域控制器和活动目录的区别：如果网络规模很大，网络中的很多对象，例如计算机，用户，用户组，打印机，共享文件等资源可以分门别类放到一个活动目录的数据库中，简称AD库。如果内网中的一台计算机安装了AD库，那么这台计算机就变成了DC（域控制器，用于存储活动目录数据库的计算机）。

举个栗子，在域环境中，只需要在活动目录中创建Allen账户一次，其他计算机中的任意一台计算机上使用该账号登录，修改账户密码同理，只需要在活动目录中修改Allen账户的密码一次就可以了。

6. 安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一网段，该网段的计算机具有相同网络边界，通过在网络边界部署防火墙实现对其他安全域的网络访问控制策略，使得网络攻击风险最小化，尽可能把对计算机的威胁降到最低。

一般中小型企业内网的安全域划分为DMZ和内网，通过硬件防火墙的不同端口实现隔离。通常在一个用路由器连接的内网中，可以将网络划分为三个区域：安全级别最高的内网；安全级别中等的DMZ，安全级别最低的外网。

内网和外网这两个区域我们熟悉，DMZ被称为隔离区，主要是解决安装防火墙后外部网络不能访问内部网络问题的一个非安全系统和安全系统的缓冲区，DMZ通常部署在企业内部网络和外部网络之间，外部网络通常可以访问DMZ区域。