（二）内网基础域名词解释_dmz区域划分

一，域树林



域森林指若干个域树通过信任关系组成的集合。可以通过域树间建立的信任关系来管理和使用整个森林中的资源，从而保持了原有的域自身原有的特性。



二，DNS域名服务器

DNS域名服务器是进行域名（domain name）和与之相对于的ip地址（ip address）转换的服
务器。
在域树中的介绍中，可以看到域树中的域的名字和DNS域的名字非常相似，实际上域的名字就
是DNS域的名字，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务
等。
一般情况下，我们在内网渗透时就是通过寻找dns服务器来定位域控制器，因为通常DNS服务
器和域控制器会处于同一台机器上。

三，域与工作组注意事项

1、域和工作组是两个不同的帐户，工作组帐户存在于本机，域用户存在于DC上。
2、要用工作组就登陆本机，要用域就登陆域。
3、由于原来的域用户名还存在于DC上，并没有删除，重新加入域后可以继续使用。
4、工作组要使用的话，请注销域，登陆本机。

四，活动目录

活动目录（Active Directory）是域环境中提供目录服务的组件。

目录就是存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务

如果将企业的内网看成是一本字典，那么内网里的资源就是字典的内容，活动目录就是相当于字典的索引。即活动目录储存的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。

五，逻辑结构
在活动目录中，管理员可以完全忽略被管理对象的具体地理位置，而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置，这种组织框架称为“逻辑结构”。

活动目录的逻辑结构就包括上面讲到的组织单元、域、域树、域森林。在域树内的所有域共享一个活动目录，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据。

六，活动目录主要功能
1、账号集中管理，所有账号均储存在服务器上，方便对账号的重命名/重置密码。
2、软件集中管理，统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件，可以让用户自由选择安装软件。
3、环境集中管理，利用AD可以统一客户端桌面，IE，TCP/IP等设置。
4、增强安全性，统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限、统一制订用户密码策略等，可监控网络，资料统一管理。
5、更可靠、更少的宕机时间。如利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。
6、活动目录为Microsoft统一管理的基础平台，其它isa，exchange，sms等服务都依赖于这个基础平台。

七，AD和DA的区别

如果网络规模较大，我们就会考虑把网络中的众多对象：计算机、用户、用户组、打印机、共享文件等，分门别类，井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。

那么我们应该把这个书库放在那台计算机上呢？

规定是这样的，我们把存放有活动目录的数据库的计算机称为DC。所以说我们要实现域环境，其实就是要安装AD，当内网的一台计算机安装了AD后，它就变成了DC。

八，安全域划分
安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥
有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略），允许那些IP访问此域、不允许那些访问此域；允许此域范围哪些IP/网段、不允许访问那些IP/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响。安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略），允许那些IP访问此域、不允许那些访问此域；允许此域范围哪些IP/网段、不允许访问那些IP/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响。



九，DMZ区


DMZ称为“隔离区”，也称为“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。


这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业web服务器、ftp服务器和论坛等。


另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。



十，DMZ的屏障功能
1、内网可以访问外网，内网的用户需要自由地访问外网，在一策略中，防火墙需要执行NAT。
2、内网可以访问DMZ，此策略使内网用户可以使用或者管理DMZ中的服务器。
3、外网不能访问内网，这是防火墙的基本策略，内网中存放的是公司内部数据，显然这些数据是
不允许外网的用户进行访问的，如果需要访问，就要通过VPN方式来进行。
4、外网可以访问DMZ，DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同
时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5、DMZ不能访问内网，如不执行策略，则当入侵者攻陷DMZ时，内部网络将不受保护。
6、DMZ不能访问外网，此策略也有例外，比如邮件服务器就需要访问外网来进行收发邮件。