安全 --- 内网基础知识(01)

这篇具有很好参考价值的文章主要介绍了安全 --- 内网基础知识(01)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

内网基础知识

(1)概念

内网也称局域网(Local Area Network,LAN)是指在某一工作区域内由多台计算机互联形成的计算机组,一般是方圆几千米内。局域网可实现文件管理、应用软件共享、打印机共享、工作内的历程安排、电子邮件和传真通信服务等功能。

内网为封闭性网络,一定程度上能够防止信息泄露和外部网络攻击,具有较高安全性。

(2)工作组(WorkGroup)

一个大的单位内,可能有成百上千台电脑相连形成局域网,它们都会列在“网络”内。如果不分组,就会相当混乱。为了解决这个问题,就有了工作组的概念。

工作组:对局域网中计算机进行分类,使得网络有序。计算机之间的管理依然是各自为政,所有计算机是对等的,可随意加入和退出,且不同工作组之间的共享资源可以互相访问。

(3)域

域(Domain)是一个有安全边界的计算机集合,可以吧域理解成为升级版的“工作组”。相比工作组,它有更严格的安全管理控制机制,若想访问域内资源,必须要有合法身份登录到域中,并且这个合法身份的用户身份,决定着在该域内所拥有的权限。

域管理员只能管理域内部的关系,除非其他的域显示赋予管理权限,才可访问其他域,每个域都有自己的安全策略,以及与其他域之间的安全信任关系。

<1> 域控制器

域控制器(Domain Controller --- DC)是一个域中类似管理服务器的计算机,负责每一台联入的电脑和用户的验证工作,域内电脑相互访问首先经过它的审核。

<2> 安全域

目的:将一组安全等级相同的计算机划分到同一网段内,这一网段内的计算机有相同的网络边界,网络边界上采用防火墙部署来实现其他安全域的NACL(网络访问控制策略),允许哪些IP访问,哪些不能IP访问;允许此域可访问哪个IP/网段,不允许访问哪个IP/网段

安全 --- 内网基础知识(01)

<3> 域的分类

分为:单域、父子域、域树、域森林、DNS域名服务器

【1】单域:只有一个域的网络环境,一般需要两台DC,一台常用,一台备用

【2】父子域:类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。

  • 好处:减少了域之间信息交互的压力(域内信息交互不会压缩,域间信息交互可压缩);不同子域之间可以指定特定的安全策略

【3】域树(tree):多个域通过建立信任关系组成的集合,若两个域之间需要互相访问,则需建立信任关系(trust relation),通过信任关系可将父子域连接为树状结构

安全 --- 内网基础知识(01)

【4】域森林(forest):若干个树通过信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持了域自身原有的特性。

安全 --- 内网基础知识(01)

【5】DNS域名服务器:DNS域名服务器是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器。

(一般情况下,在内网渗透时通过寻找DNS服务器来定位域控制器,通常DNS服务器和域控制器处于同一台机器

<4> 域中计算机分类

  • 域控制器
  • 成员服务器
  • 客户机
  • 独立服务器

安全 --- 内网基础知识(01)


域和工作组的区别:

[1] 适用环境不同

域一般是在比较大的网络中,工作组较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他计算机需互相访问都得经过域控服务器;工作组则不同,一个工作组中所有计算机都是对等的,没有服务器和客户机之分,与域相同,若一台计算机访问其他计算机首先也要找到组中的一台类似组控服务器,而组控服务器是不固定的,以选举方式实现,它存储这个组的相关信息,找到这台计算机得到组信息然后进行访问。

[2] 分类

工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理,需访问一台计算机,还是要到被访问的计算机上实现用户验证;域是一个有安全边界的计算机集合,在同一个域中的计算机上已经建立了信任关系,域内访问其他机器不需被访问机器的许可了

[3] 拓展

  • 域是windows网络中运行的独立单位,域之间相互访问需要建立信任关系(trust relation),信任关系是在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需相互管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享管理。
  • 工作组是局域网中的一个概念,是最常见最普通的资源管理模式,将不同电脑按所需执行的功能划分到不同组中,以方便管理。

安全 --- 内网基础知识(01)


(4)活动目录(Activity Directory -- AD)

活动目录是域环境中提供目录服务的组件。

若将内网中的资源看做字典,则AD就是这个字典的索引。活动目录存储的是内网中所有资源的快捷方式,用户通过寻找快捷方式来定位资源。

(5)AD和DC的区别

  1. 网络规模较大,会考虑将网络中的众多对象:计算机、用户、用户组、打印机、共享文件等,分类放在仓库中,做好检索信息,便于查找、管理和使用。这个有层次结构的数据库,就是活动目录数据库,简称AD库;
  2. 我们将存放AD库的计算机称为DC。实现域环境,就是安装AD(当内网中其中一台计算机安装AD后,它就变成了DC)。
  3. DC的本质是一台计算机,AD的本质是提供目录服务的组件

(6)域内权限

分类:域本地组、全局组、通用组、AGDLP

【1】域本地组:多域用户访问单域资源(访问同一个域)。可从任何域添加用户账户、通用组和全局组,只能在其所在域内分配权限。域本地组不能嵌套于其他组中。主要是用于授予位于本域资源的访问权限

【2】全局组:单域用户访问多域资源。只能在创建该全局组的域上进行添加用户的全局组,可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中。一般不用来直接分配权限。

【3】通用组:来自域林中任何域中的用户账户、全局组和其他通用组。可在域林中的任何域中指派权限,可嵌套于其他域组中。适合域林中的跨域访问。

记忆方法:

  • 域本地组:来自全林,作用于本域
  • 全局组:来自本域,作用域全林
  • 通用组:来自全林作用于全林

【4】A-G-DL-P策略

  • A(account),表示用户账号

  • G(Global group),表示全局组

  • U(Universal group),表示通用组

  • DL(Domain local group),表示域本地组

  • P(Permission 许可),表示资源权限。

A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。文章来源地址https://www.toymoban.com/news/detail-498432.html

到了这里,关于安全 --- 内网基础知识(01)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 内网基础知识

    1.信息收集 2.漏洞利用 3.权限提升 4.权限维持 5.隧道技术 6.内网渗透 工作组: 将不同的计算机按功能(或部 门)分别列入不同的工作组,例如技术部的计算 机都列入\\\"技术部\\\"工作组、行政部的计算机都 列入\\\"行政部\\\"工作组。要想访问某个部门的资源,只要 在\\\"网络\\\"里双击该部门的

    2023年04月08日
    浏览(30)
  • 区块链基础知识01

    区块链:区块链技术是一种高级数据库机制,允许在企业网络中透明地共享信息。区块链数据库将数据存储在区块中,而数据库则一起链接到一个链条中。数据在时间上是一致的,在没有网络共识的情况下,不能删除或修改链条。 即:首尾相连的数据结构,区块头中存放着前

    2024年03月15日
    浏览(43)
  • 01通信基础知识

    码元(符号) 也可以叫符号(symbol)。通过不同的调制方式(诸如FSK、QAM等等),可以在一个码元符号上负载多个bit位信息。举个例子,4QAM(即QPSK)调制的全部四种码元符号,一种符号可以带两个bit的信息。 波特率 波特率(也称信息传送速率、码元速率、符号速率、或传

    2024年02月06日
    浏览(38)
  • 云计算基础知识01

    答: 话说英特尔创始人戈登·摩尔曾说过:“ 集成电路上可容纳的晶体管数目,约每隔两年便会增加一倍 ”。 换言之,就是:处理器的性能每隔两年翻一倍。如此快速的发展,导致硬件的成本越来越低,单个企业也就买得起大量的服务器。 对于很多大型企业来说,在业务高

    2024年04月28日
    浏览(35)
  • Kafka 基础知识-01

    目录 一、Kafka概述 1、简介 2、消息队列 (1)消息队列应用场景 (2)消息队列的两种模式 ​3、Kafka的基础架构 二、Kafka的安装与常见命令 1、Kafka的安装 2、Kafka的命令行操作 (1)kafka-topics.sh (2)kafka-console-producer.sh和kafka-console-consumer.sh ​三、Kafka的生产者 1、发送原理 2、

    2024年01月25日
    浏览(42)
  • 【01】基础知识:React简介与案例

    React 概述 React 是一个将数据渲染为 HTML 视图 的开源 JavaScript 库 React 由 FaceBook 开发,且开源 为什么要学习 React 1、原生 JavaScript 操作 DOM 繁琐、效率低(使用 DOM-API 操作 UI) 2、使用 JavaScript 直接操作 DOM,浏览器会进行大量的重绘重排 3、原生 JavaScript 没有组件化编码方案,

    2024年02月07日
    浏览(58)
  • 【新星计划2023】SQL SERVER (01) -- 基础知识

    1.1 Official Website 官方文档(小技巧) Officail Website: https://learn.microsoft.com/en-us/sql/sql-server/?view=sql-server-ver16. Officail Website(中文): https://learn.microsoft.com/zh-cn/sql/sql-server/?view=sql-server-ver16. 1.2 Conn Tool 官方自带的 SQL Server Management Studio (SSMS) SSMS Install: https://learn.microsoft.com/en-us/sql/ssm

    2024年02月04日
    浏览(42)
  • 【01】html&css&git&网络基础知识

    一图胜千言 使用 border-box 控制尺寸更加直观,因此,很多网站都会加入下面的代码 颜色的 alpha 通道标识了色彩的透明度,它是一个 0~1 之间的取值,0 标识完全透明,1 标识完全不透明 在 css 中使用 rgba 可以为颜色添加 alpha 通道 rgba 还可以有多种书写方式,例如 rgba(0, 0, 0,

    2024年03月21日
    浏览(32)
  • FPGA基础知识-层次建模的概念

    目录 学习目标 学习内容 1.设计方法学  2.设计实例 3.逻辑仿真实例 学习时间 总结 提示:这里可以添加学习目标 理解数字电路设计中自底向上和自顶向下的设计方法; 解释verilog中模块和模块实例之间的区别; 学习从4中不同的抽象角度来描述同一个模块; 解释仿真中的各个

    2024年02月08日
    浏览(58)
  • 密码基础知识——密码的概念与作用

    密码是指采用 特定变换 的方法对 信息 等进行 加密保护、安全认证 的 技术、产品和服务 。 在我国,密码分为 核心密码、普通密码和商用密码 ,其中商用密码用于保护 不属于国家秘密 的信息。 从内容上看,密码技术包括密码编码、实现、协议、安全防护、分析破译,以

    2023年04月26日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包