内网学习笔记2

安全域简介

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。 安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的IT要素的集合。环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制盒边界控制策略的网络或系统。

简单点来说就是把不同的计算机划入不同的保护区域。

安全域划分方式

目前比较流行的安全域划分方式为：根据业务划分、根据安全级别划分。针对不同行业由于业务不同，划分的方法也不同，划分的结果也不同。所以具体的安全域的划分应根据不同的行业、不同用户、不同需求结合自身在行业的经验积累来进行。最终的目的是达到对用户业务系统的全方位防护，满足用户的实际需求。

这要我们在内网渗透中要灵活行动。

在图中我们可以看到有外网，DMZ，数据中心和内网办公区。

我们可以把它分为：

一般服务区 用于存放防护级别较低（资产级别小于等于3），需直接对外提供服务的信息资产，如办公服务器等，一般服务区与外界有直接连接，同时不能够访问核心区； 重要服务区 重要服务区用于存放级别较高（资产级别大于3），不需要直接对外提供服务的信息资产，如前置机等，重要服务区一般通过一般服务区与外界连接，并可以直接访问核心区； 核心区 核心区用于存放级别非常高（资产级别大于等于4）的信息资产，如核心数据库等，外部对核心区的访问需要通过重要服务区跳转。

DMZ

两个防火墙之间的空间被称为DMZ。与Internet相比，DMZ可以提供更高的安全性，但是其安全性比内部网络低。

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

DNZ位于企业内网与外网之间，一般企业都会把web服务器，ftp服务器，代理服务器等等对外提供服务的服务器放在DNZ中。

DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

在DNZ中一般都有入侵检测，防火墙，WAF等等

我们可以将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。

如果我们想要进入内网，我们就要通过DNZ的重重防御

控制策略

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ访问内网有限制 很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 6.DMZ不能访问外网 此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。

内网分区

内网可以访问办公区和核心区。

办公区：公司员工的工作区，一般会统一安装杀毒软件等等。办公区可以访问DMZ。攻击者如果想进入内网一般会重点攻击这个办公区，常见的有鱼叉攻击，水坑攻击和社会工程学，还有新兴的近源攻击。 核心区：在这个区域中会存有企业的重要资料数据和文档等，层层保护，往往只要很少的主机能访问，一般来说运维人员和经理层人员是重点关注对象。我们在内网横行移动改击时一定要查找这类的主机！