1.5 常规安全域划分

基于业务架构与对外的商业形式，组织可能需要针对不同职责或功能的域环境设计特定的域管理规则，其中基于安全考量的域范围划分往往需要重点关注，这便是所谓的安全域划分。

常规的安全域划分往往根据主机功能来划定不同的边界，提供不同的安全防护措施和管理机制，并设置严格的访问策略来约束域内的主机活动。图1-7显示了以银行业域环境为例的安全域划分，主要包含3个网络区域：DMZ区、网银区及核心区。其中DMZ区为银行门户网站等Web站点提供服务支持，并处理相关内外交互；网银区为网上银行提供服务基础，并根据不同交易需求进行对应数据处理与交互；核心区则属于重要网段，包含其内网办公人员的办公网终端区、内部研发生产区以及管理信息系统（MIS）和决策支持系统（DSS）核心区。

在域树拓扑中，DMZ区和网银区分别为两个子域，在访问控制上彼此独立，禁止彼此间的访问，同时禁止DMZ区和网银区两个子域向核心区内部域环境的访问，仅允许外部网络访问上述两个子域，前端边界防火墙以及WAF/IDS/F5集群等为DMZ区和网银区两个子域提供安全能力，将其与外网环境分离开来。核心区则作为重要网段位于拓扑后端，并单独拥有核心防火墙等安全设施，同时办公网终端区、内部研发生产区以及MIS/DSS核心区将设置为彼此独立的子域，需要满足特定访问控制要求方可彼此访问，同时严格限制与检测核心区3个子域与DMZ区、网银区子域之间的网络通信，仅允许常规的业务更新或运维操作，并禁止一切外部来源或者DMZ区、网银区子域来源的对核心区的访问请求，确保更为良好的安全水平。

以上述安全域划分为例，当进行内网渗透时，我们往往已获得DMZ区或网银区某台主机的控制权限，希望借助该权限完成对当前子域其他主机的控制，并进一步扩展控制权到其他域环境，这需要大量的测试域环境间的访问规则，并发现其中的疏漏。同时从渗透难度而言，对核心区内部3个子域的渗透难度将远大于DMZ区或网银区，因此可以反推出各网络的安全级别如下。

图1-7 银行业安全域划分示意图

外部网络＜DMZ区/网银区＜核心区

与之类似，在通常情况下，各类目标网络的安全级别往往都是“外部网络＜DMZ区＜核心区/生产区”，而我们内网渗透的目标便是尽可能地获得最高安全级别网络中域环境的控制权，从而实现对业务的完全控制。

本章简要介绍了工作组和域的概念，并分别阐述了上述两种环境在内网渗透中的关注要点。同时介绍了域环境的常见实现方式——活动目录，并在此基础上介绍域树与域森林的概念和拓扑结构，最终以银行业为例介绍了常规的安全域划分与渗透难度梯度。至此，我们已经理解了阅读本书所需的全部内网环境相关概念。