alvin-alvo/safenet-soho-security-framework

# SafeNet SOHO 安全框架 [](https://www.python.org/) [](https://fastapi.tiangolo.com/) [](https://www.wireguard.com/) [](LICENSE) SafeNet 是一个专为小型办公室/家庭办公室 (SOHO) 环境设计的生产级零信任网络访问 (ZTNA) 框架。通过利用 **WireGuard** 协议编排安全的身份感知 VPN 覆盖网络，SafeNet 通过动态节点同步和严格的 **/32 CIDR 微分段** 提供精细化的网络访问控制。该框架通过临时密钥管理和现代异步控制平面确保了高度安全的边界。 ## 核心架构 SafeNet 实施了严格的 **Hub-and-Spoke（枢纽辐射）** 拓扑结构，其中中央网关充当权威控制平面。通过对每个连接的节点强制执行 **/32 CIDR 掩码**，在数学上限制了横向移动，确保设备在覆盖网络中保持隔离，除非定义了明确的路由策略。 ### 系统拓扑  *具有健壮控制平面和数据平面的核心 Hub-and-Spoke 拓扑* ### 数据流  ## 关键特性 * **基于 JWT 的身份验证**：对所有管理操作进行安全的、基于令牌的访问控制。 * **自动化网络编排**：Windows WireGuard 服务和接口的程序化管理。 * **动态节点同步**：在不中断隧道的情况下实时更新 WireGuard 配置。 * **密钥路由**：为每个网络包验证公钥身份绑定。 * **零磁盘密钥策略**：临时服务器密钥在内存中管理，并在服务终止时清除。 ## 综合安装指南 ### 方法 1：自动部署（推荐） SafeNet 提供自动化批处理脚本来处理环境准备和网关启动。 1. **初始化环境**：双击 `setup_env.bat`。此脚本验证 Python 安装，创建本地虚拟环境，并安装所有必需的依赖项。 2. **启动网关**：右键单击 `run_server.bat` 并选择 **以管理员身份运行**。这将提升进程权限，允许 FastAPI 后端与 Windows 内核和 WireGuard 驱动程序交互。 ### 方法 2：手动部署（高级） 适用于需要对初始化序列进行精细化控制的开发者： 1. **前置条件**：确保已安装 [WireGuard for Windows](https://www.wireguard.com/install/) 并将其添加到系统 PATH 中。 2. **虚拟环境**： python -m venv venv .\venv\Scripts\activate 3. **安装依赖项**： pip install -r requirements.txt 4. **启动服务器**： 打开 **提升的命令提示符（管理员）** 并执行： python run_api.py ## CLI 管理仪表板 管理界面允许快速注册和监控安全边界状态。 ``` # 验证系统和接口状态 python cli/console.py status # 激活 WireGuard tunnel 服务 python cli/console.py start # 注册新设备并生成 /32 配置 python cli/console.py enroll new-device-name ``` ## 文档目录 | 文档 | 描述 | | :--- | :--- | | [架构](docs/ARCHITECTURE.md) | 深入探讨 ZTNA 原理和数据流。 | | [API 契约](docs/FRONTEND_API_CONTRACT.md) | REST API 规范和身份验证模式。 | | [安装指南](docs/SETUP.md) | 详细的前置条件和安装故障排除。 | | [CLI 参考](docs/CLI_REFERENCE.md) | 详细的命令语法和管理用法。 | ## 许可证与安全免责声明 SafeNet 项目根据 **GPL-3.0 许可证** 发布。

标签：AV绕过, FastAPI, Hub-and-Spoke, JSONLines, JWT认证, MacOS取证, Overlay网络, PE 加载器, Python, SOHO网络, VPN, WireGuard, ZTNA, 加密传输, 家庭办公安全, 小型企业网络, 微隔离, 无后门, 最小权限, 流量控制, 策略驱动, 网络分段, 网络安全, 自动化运维, 虚拟专用网络, 路由控制, 身份感知, 逆向工具, 防横向移动, 隐私保护, 零信任