分域控制系统网络安全

A. “域安全策略”和“域控制器安全策略”的问题

首先你要清楚“域安全策略”和“域控制器安全策略”的作用范围，以及他们作用的先后顺序。

当一台计算机处于域模式，就会采用域策略。域对于独立的计算机而言，就是计算机本身。域策略属于计算机策略。

计算机的策略大体上分为四类，他们分别是本地策略，域策略，站点策略以及ou策略。起作用的先后顺序为local policy（本地）——〉site policy（站点）——〉domain policy（域）——〉ou policy。

一台处于工作组模式的计算机只会执行本地安全策略，而dc（domain controller)则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，换言之，处于域模式的计算机要执行多条策略，那么就要有相应的措施保证策略不冲突。默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是merge的关系，即和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。

域控制器安全策略属于ou策略的一种。而域控制器安全策略仅仅作用在domain controller 这个组织单元（ou)上,他并不与域安全策略冲突，当他们和并执行时，在你所说的第一种情况下（“域控制器安全策略”中的“重命名管理员帐号名称”更改为sandong，而“域安全策略”设置为“未定义”），计算机的管理员帐户遵照将本地安全策略执行，而域控制器安全策略中的管理员帐户则改为sandong。第二种情况下（“域安全策略”中设置sandong，而“域控制器安全策略”设置为“未定义”）本地安全策略将与域安全策略冲突，根据上述解释，由于域安全策略后于本地安全策略执行，且域控制器安全策略为“未定义”所以将执行域安全策略，所有所有域中计算机管理员将更名为sandong.

B. 局域网的网络安全

局域网的安全：1、物理安全：是指机房的网络环境安全，机房规范化部署，保持温度和湿度，防止灰尘，抗电磁干扰等，可预防火灾等情况发生。
2、网络结构/系统安全：网络拓扑上考虑冗余链路，设置防火墙，设置入侵检测，设置实时监控系统。①设置严格内外网隔离 ②内网不同区域物理隔离，划分多个不同广播域。③网络安全检测 ④网络监控和管控（上网行为管理软件）
以上简单列了一些局域网安全的注意事项，还有需要注意的非常多，题主可以多搜搜。我个人感觉这块比较简单一点，防火墙装一个，上网行为管理软件装一个 就差不多了。
防火墙 推荐华为或者思科的防火墙，上网行为管理软件 推荐Lanecat网猫

C. 分布式系统环境下网络安全的重要性

计算机网络安全不仅关系到国计民生，还与国家安全密切相关，不仅涉及到国家政治、军事和经济各个方面，而且影响到国家的安全和主权。其重要性具体从以下几方面看：
1、计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。
2、随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。
3、人们对计算机系统的需求在许多方面都是不可替代的，而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等，这些环境都比较恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。
4、随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。
5、计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术等等。
6、从认识论的高度看，其广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。
目前国内国外针对网站网络安全方面，对于网站建议安装安信ssl证书，前所未有的安全加密和更快速的访问体验，ssl证书的安装好处：
1 防止中间人流量劫持
2 Https加密使网站更安全
3 保障用户隐私信息安全
4 帮助用户识别钓鱼网站
5 http将被标记“不安全”
6 提升搜索排名
7 提升公司形象和可信度
安信SSL证书可以解决以下问题：
机密性问题:防止网上交易时黑客盗走客户的银行卡,帐号等机密信息。
完整性问题:防止非法恶意篡改客户的银行卡号等个人信息。
真实身份认证:验证网站的真实性,树立可信赖的企业形象,辨别钓鱼网站。
交易不可否认:保证每笔交易都有可靠的记录
提高搜索排名顺序,数据推荐参考,为SEO的目标和网站增强了安全系数。

D. 什么是网络安全域

网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。

网络安全域从大的方面分一般可划分为四个部分：本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。

1、远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。

2、公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。

3、伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性

(4)分域控制系统网络安全扩展阅读：

安全域划分原则

将所有相同安全等级、具有相同安全需求的计算机划入同一网段内，在网段的边自界处进行访问控制。

一般实现方法是采用防火墙部署在边界处来实现，通过防火墙策略控制允许哪些IP访问知此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。

一般将应用、服务器、数据库等归入最高安全域，办公网归道为中级安全域，连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。

E. 雷网主机数据泄露防护（DLP）分域安全简述

目前，数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛，信息安全问题变得尤为突出。建立完善的数据泄露防护体系、保护核心资源，已迫在眉睫。鉴于目前内部局域网的现状，可以针对数据存储层和数据传输层进行加密，结合文档和数据生命周期，对内部网络分为终端、端口、磁盘、服务器、局域网四大区域，并针对数据库、移动存储设备、笔记本电脑等特例，统一架构，分别防护，实现分域安全。 一、数据泄露的主要威胁 电子文档多以明文方式存储在计算机硬盘中，分发出去的文档无法控制，极大的增加了管理的复杂程度。影响文档安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，按照对电子信息的使用密级程度和传播方式的不同，我们将信息泄密的途径简单归纳为如下几方面： 1.由电磁波辐射泄漏泄密(传导辐射 、设备辐射等) 这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等，由于这类机构具备非常严密的硬保密措施，只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。 2.网络化造成的泄密(网络拦截、黑客攻击、病毒木马等) 网络化造成的泄密成为了目前企业重点关注的问题，常用的防护手段为严格的管理制度加访问控制技术，特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围，但是，当控制的安全性和业务的高效性发生冲突时，信息明文存放的安全隐患就会暴露出来，泄密在所难免。 3.存储介质泄密(维修、报废、丢失等) 便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件，同样会给企业带来极大的损失，在监管力量无法到达的场合，泄密无法避免。 4.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等) 目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，内部人员的主动泄密是目前各企业普遍关注的问题，通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施，能很大程度的降低内部泄密风险，但是，对于终端由个人灵活掌控的今天，这种防护手段依然存在很大的缺陷，终端信息一旦脱离企业内部环境，泄密依然存在。 5.外部窃密 国家机密、军事机密往往被国外间谍觊觎，商业机密具备巨大的商业价值，往往被竞争对手关注。自古以来对机密信息的保护，都不可避免以防止竞争对手窃密作为首要目标。 二、数据泄露防护的实现方式 当前，数据泄露防护以动态加解密技术为核心，分为文档级动态加解密和磁盘级动态加解密两种方式。 1. 文档级动态加解密技术 在不同的操作系中(如WINDOWS、LINUX、UNIX等)，应用程序在访问存储设备数据时，一般都通过操作系统提供的API 调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS(Encryption File System)支持，但作为一种通用的系统，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求。 2.磁盘级动态加解密技术 对于信息安全要求比较高的用户来说，基于磁盘级的动态加解密技术才能满足要求。在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可，对系统性能的影响仅与采用的加解密算法的速度有关，对系统性能的影响也非常有限，这类产品对系统性能总体的影响一般不超过10%(取目前市场上同类产品性能指标的最大值)。 三、数据泄露防护分域控制方案 在数据泄露防护方面，可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而，针对数据安全，我们采用分域控制方案，将整个网络分为终端、端口、磁盘、内部网络四种域，进而对各域的安全采取不同的技术措施。 1.终端 终端是指在接入内部网络的各个操作终端。为了保证安全，可以从四个方面采取措施： 1).针对研发类、技术类局域网终端，可以采用文档透明加密系统加以控制。 2).针对研发设计类之外的局域网终端，可以采用文档权限管理系统加以控制。 3).从局域网发往外部网路的文档，可以采用文档外发控制系统加以控制。 4).针对整个局域网内部文档和数据安全，可以采用文档安全管理系统加以控制。 2.端口 局域网和外部网络之间的网络端口，局域网各个终端的移动设备接入端口，以及各个终端的信息发送端口，可以采用两种方式加以控制： 1)端口控制 对移动储存设备、软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用/禁止手机同步等。 应用端口控制技术，可以使所有从端口输出的文档和数据自动加密，防止明文出口。 2)移动设备接入控制 通过对外部移动设备接入访问控制，防止非法接入。 3.磁盘 所有的文档和数据都必须保存在存储介质上。存储介质主要包括PC机硬盘、工作站硬盘、笔记本电脑硬盘，移动存储设备（主要是U盘和移动硬盘）。对这些存储设备的磁盘和扇区进行控制，主要可以采用磁盘全盘加密技术和磁盘分区加密（虚拟磁盘加密）技术。 1)磁盘全盘加密 磁盘全盘加密技术（FDE）是目前已经非常成熟的一项技术，能对磁盘上所有数据（进行动态加解密。包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证，一个没有授权的用户，如果不提供正确的密码，就不可能绕过数据加密机制获取系统中的任何信息。 2)磁盘分区加密 磁盘分区加密，顾名思义，就是对磁盘的某一个分区（扇区）进行加密。目前比较流行的虚拟磁盘加密就是对分区进行磁盘级加密的技术。这种技术在国内比较多，一般用于个人级的免费产品。 相应的产品有文档保险柜DocSec。 4.服务器 同样是应用文档级加密的数据泄露防护体系，针对服务器防护已有专门的产品。通常，用户的服务器有资源服务器（文档服务器等）和应用服务器（PDM、OA、ERP等服务器），对这些服务器，可以采用网关级产品来进行保护。部署实施文档级安全网关之后，所有上传到服务器上的文档和数据都自动解密为明文，所有从服务器上下载的文档和数据都自动加密为密文。 目前市面上唯一的一款专业文档安全网关系统（DNetSec），由北京亿赛通开发研制。 5.内部网络 内部网络主要由各个终端和连接各个终端的网络组成。通过对各个终端硬盘和终端端口的加密管控，足以对内部网络进行全面控制，形成有效的内部网络防护体系。这种解决方案，其实是把磁盘全盘加密技术与网络端口防护技术相结合，形成整体一致的防护系统。相应的产品有磁盘全盘加密防护系统(TerminalSec)。 四、数据泄露防护分域控制方案特例 基于动态加解密技术的数据泄露防护体系用途非常广泛，并可以针对各个网络域定制开发出相对应的产品。以下是数据泄露防护分域控制方案针对网络域的几种典型例子。 1.移动存储设备 目前应用得最多的的移动存储设备是U盘和移动硬盘。针对这两种移动存储设备，目前通常采用的是磁盘分区加密技术，对磁盘分区或者扇区进行加密控制，所有从内部网络流转到移动存储设备的文档和数据都会自动加密保护。市面上有成熟的产品如安全U盘（UDiskSec）和安全移动硬盘(EDiskSec)可以选择。 2.数据库 使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过三种加密方式来实现：1.系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密，2.DBMS内核层（服务器端）加密：在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。3.DBMS外层（客户端）加密：在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。 针对以上三种数据加密方式的不足，目前已经有全新的数据库加密保护技术。通过磁盘全盘加密技术和端口防护技术，对数据库的载体（磁盘）进行全盘加密和数据流转途径（端口）进行控制，从而实现数据库加密保护。这种方式还能解决数据库加密方案最常见的问题——无法对数据库管理员进行管控。通过端口防护，即使数据库管理员能得到明文，但是因为端口已经被管控，所以数据依然不被外泄。 目前市场上成熟的产品有北京亿赛通公司的数据库加密防护系统（DataBaseSec）。 3.笔记本电脑 笔记本电脑在运输途中，比如在出租汽车、地铁、飞机上，经常会被遗失；在停放的汽车、办公桌、会议室甚至是家里，也常发生笔记本电脑被外贼或者家贼盗取；在笔记本电脑故障送修时，硬盘上的数据就完全裸露在维修人员面前。针对笔记本电脑数据保护，国际上通用的防护手段就是磁盘全盘加密技术。 硬盘生产厂商例如希捷、西部数据和富士通等都支持全盘加密技术，将全盘加密技术直接集成到硬盘的相关芯片当中，并且与可信计算机组（TCG）发布的加密标准相兼容。在软件系统方面，赛门铁克推出的Endpoint Encryption 6.0全盘版，以及McAfee的Total Protection for Data、PGP全盘加密和北京亿赛通公司的DiskSec，都是不错的选择。 五、总结 信息系统安全需要从多方面加以考虑，需要研究整个内部网络的安全策略，并在安全策略的指导下进行整体的安全建设。本文所介绍的是一个典型的分域安全控制方案，针对不同的网络区域采用不同的技术手段进行实现加密防护。

F. 1. 目前网络安全域划分有哪些基本方法

随着业务的不断发展，计算机网络变得越来越复杂，将网络划分为不同的区域，对每个区域进行层次化地有重点的保护，是建立纵深防御安全系统的自然而有效的手段。 
网络安全域的定义和划分原则网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义的安全域是具有相同业务要求和安全要求的系统要素集合，这些要素包括网络区域、主机和系统、人和组织、物理环境、策略和流程、业务和使命等诸多因素。
通过网络安全域的划分，可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险;利用网络安全域的划分，理顺网络架构，可以更好地指导。

G. 作为一个网络管理者,如何解决局域网安全问题

看了你提问，下面我就用比较通俗的方式进行解答，我的解答主要是为了提高你的网络安全的基础认识，而不是应答这个题目

首先局域网是什么？局域网是由服务器或者多台计算机组成的小范围内的互联网络，它的最大好处是：1可以实现局域网内共享 2局域网内各台计算机的传输速度快，所以是现代最为流行的组网方式

局域网的安全威胁个人认为分为两大类：来自internet（外网）的威胁和来自内部的威胁，但是内外的攻击方式可能一样，譬如外部的人可以发一封携带病毒的邮件到内网的邮箱，内部那个人点击了邮件，同样，内网某个用户也可以发一封邮件到另外一个内网人的电子邮箱，而且来自内部的攻击往往难以防范。

下面列举一个攻击的例子让你有个大概的网络攻击的认识：

（1）ICMP协议（icmp协议主要用来主机之间，主机与路由器之间实现信息查询和错误通告的），攻击者可以利用echo reply原理进行ICMP泛洪攻击，他只要想目标一个广播网络发送echo请求，讲源地址伪装成受害者的ip地址，广播网络就会不停的对受害者发送echo应答，导致带宽耗尽，形成Dos（拒绝服务）攻击

这种攻击利用 客户端一服务器的模式工作，服务器驻留在防火墙内部被安装了木马程序

(一般通过电子邮件传送的主机上)一旦运行,就可以接收来自驻留在攻击者机器上的客户端的echo请求包，客户端把要执行的命令包裹在echo数据包中,服务器(受害者主机)接收到该数据包,

解出其中包裹的命令,并在受害者的机器上执行它,然后,将结果放人 echo rely数据包中回送给攻击者,一般来说防火墙的具备的功能如下：

a内外网数据必须通过防火墙

b只有被防火墙认可的数据才能通过

c防火墙本身具备抵抗攻击的能力

但是一般防火墙对echo报数据都是“宽大处理”，攻击者通过这种模式可以完全越过没有禁止echo requset 和echo reply数据包的防火墙!!!

（2）TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃，不过现在这个bug已经修改了（所以更新操作系统很重要~）

(3)SMTP是目前最常用的邮件协议，也是隐患最大的协议之一。在SMTP中，发件人的地址是通过一个应用层的命令"MAIL FROM”来传送的，协议本身没有对其作任何验证，这导致了垃圾邮件的发送者可以隐藏他们的真实地址，同时发送的电子邮件可以携带各种病毒文件

（4）ARP（地址解析）协议漏洞，ARP用来将IP地址映射成MAC地址的（以太网中传送数据需要用MAC地址进行寻址），在TCP/IP协议中，A给B发送IP包，在报头中需要填写B的IP为目标地址，但这个IP包在以太网上传输的时候，还需要进行一次以太包的封装，在这个以太包中，目标地址就是B的MAC地址.

计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下，A就广播一个ARP请求包，请求包中填有B的IP(192.168.1.2)，以太网中的所有计算机都会接收这个请求(因为是一个广播域，所有主机都可以收到)，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。

A得到ARP应答后，将B的MAC地址放入本机缓存，便于下次使用。

本机MAC缓存是有生存期的，生存期结束后，将再次重复上面的过程。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器A向B发送一个自己伪造的ARP应答，而如果这个应答是A冒充C的，即IP地址为C的IP，而MAC地址是伪造无效的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。通理，如果攻击者A将MAC地址设为自己的MAC，那么每次B跟C通信的时候，其实都是在跟A通信，那么A就达到了获取B的消息的目的，而B全然不觉- -！！

以上只是从底层原理让你大概了解攻击者到底是如何进行攻击的，不是什么神秘的事情，其实攻击很简单，无非就是利用系统漏洞或者说钻空子来达到获取信息，破坏的目的，为什么经常要进行系统升级？

举个例子，有人钻法律的空子做一些事，有了这个先例，然后司法机构才补充一条新的法律条文，而并不是说原来的法律就是错误的，而是没有注意到那一点，系统升级也一样，就是根据最新发现的攻击进行一些规则的补充，让攻击者不能再钻这个空子，但是攻击者会去发现新的空子，其实攻击者对我们的网络发展贡献了很大的力量，为我们提供了许多思路，如果没有那些病毒或者攻击，网络安全的发展也停滞不前了。所以作为一个网络管理员，要解决局域网安全问题要注意一下几点：

（1）内外网根据局域网内部的安全等级需要选择适当的防火墙

（2）处于局域网的服务器要进行隔离，局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

（3）及时安装杀毒软件，更新操作系统，由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。

（4）对一个局域网的机器进行vlan分割，实现广播域的隔离

（5）封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密

（6）数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。譬如一个网吧内，必须安装一个还原系统，机器重启就还原

（7）加强安全意识，往往引起的攻击不是外部网络攻击，而是来自内部一些别有用心的人破坏

平时要多学习网络的一些基础知识和网络的一些常见攻击手段以达到反侦察的目的，纯手打，希望对你有用，QQ137894617

H. 关于服务器的 域控制器安全策略

1、建议将DC的备份信息恢复，覆盖掉现在的组策略设置。
2、另外，查一查有没有中病毒。
3、实在不行，准备重装服务器系统吧！

I. 公司内网如何网络分域管理

同意! 我姐们单位就用的科盾，她们企业内部得职能部门比较复杂，所以存在安全等级的差异，因此部门之间以及部门与外网之间的安全访问显得尤为重要，科盾内网安全平台的安全域特别好，就可以实现不同等级部门之间的网络阻断和信息加密，从而防止特定部门内部信息的外泄。

J. 局域网组建中，我们怎样才能保证整个局域网的网络安全

做好以下三个方面的工作，来确保局域网的安全：
物理安全、网络结构安全、网络系统安全
一、物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面：
1、环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》
2、设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等
3、媒体安全：包括媒体数据的安全及媒体本身的安全。
在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。
二、网络结构安全
安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。 网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完 善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。
网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。
三、网络系统安全
1、 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现：
a.制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
b.配备相应的安全设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火 墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。
2、 内部网不同网络安全域的隔离及访问控制
在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的LAN段内，就可以限制局部网络安全问题对全局网络造成的影响。
3、 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。检测工具应具备以下功能：
具备网络监控、分析和自动响应功能
找出经常发生问题的根源所在；
建立必要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。

漏洞分析和响应、配置分析和响应、漏洞形势分析和响应
认证和趋势分析
具体体现在以下方面：
a.防火墙得到合理配置
b.内外WEB站点的安全漏洞减为最低
c.网络体系达到强壮的耐攻击性
d.各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低
e.对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受黑客攻击和内部人员误操作的侵害。