內網的一些基礎知識

將不同的計算機按功能或者部門進行分類，同一網路中的工作組可以隨意加入退出，可以互相訪問，沒有集中管理的作用，所有計算機許可權對等。

乙個有安全邊界的計算機集合（公升級版的工作組），不同域不可互訪，想要訪問域內的資源必須以合法的身份訪問，並且有響應的許可權。

類似於域的門禁，負責所有計算機使用者的身份許可權驗證工作，域內的計算機如果想互相訪問就需要經過域控制器的審核。

就是乙個域、一般至少有兩台伺服器，一台為域控，另一台做為備份域控，一般活動目錄的資料庫是存在域控中的。一旦使用過程中其中一台掛掉了，可以使用另一台恢復。否側域內的其他使用者就不能登入域了。

由於管理的特殊需求，需要在網路中劃分多個域，第乙個域就是父域，之後劃分出的域就是該域的子域。比如公司的一些保密部門需要一些特殊的策略，那麼可以將這些部門單獨作為乙個子域來管理，並且這個子域可以自己管理自己的資源。

是多個域建立信任關係的集合。乙個域管理員只能管理本域，不能訪問或者管理其他的域，如果兩個域之間需要互相訪問，則需要建立信任關係。

是多個域樹建立信任關係的集合。比如a公司收購了b公司，只需要將兩個域樹互信，就可以管理和使用整個域森的資源，並且保留公司原來的特性。

用於實現網域名稱和與之對應的ip位址轉換的伺服器，域中的計算機是使用dns來定位域控、伺服器和其他網路服務的，域的名字就是dns域的名字。測試中一般都是通過尋找dns伺服器來確定域控制器的位置。（dns和域控一般都放在一台伺服器上）

域環境中提供目錄服務的元件。比如網路規模很大，需要把網路中的眾多的資訊整理在一起，這個擁有層次的資料庫就是活動目錄資料庫，簡稱ad庫，內網中安裝了ad庫的計算機，就成為了域控（dc）

劃分安全與的目的就是將一組安全等級相同的計算機劃入同乙個網段，這個網段內的計算機有相同的網路邊界，並在網路邊界上通過部署防火牆來實現對其他安全域的訪問控制策略（nacl）。當攻擊發生到時候就可以盡可能的將威脅隔離，從而降低攻擊影響。

一般劃分為三個區域，

1.安全級別最高的內網，內網分為

辦公區員工日常工作的區域，是攻擊者進入內網的重要途徑之一。

核心區重要資料、文件資訊，一般只有很少的計算機有訪問許可權。

2.安全級別中等的dmz，dmz稱為隔離區，就是為了解決安裝防火牆以後外部網路不能訪問內部網路伺服器的問題，是乙個非安全區域與安全區域之間的乙個緩衝區。一般在dmz中放置一些對外的伺服器裝置，比如web伺服器，論壇伺服器等。

3.安全級別最低的外網