MrR3bu5/security-homelab

# 🏠 专注于安全的家庭实验室 企业级家庭实验室基础设施，专为安全研究、红队演练和持续学习而设计。采用多区域架构，具备完整的网络分段、纵深防御安全控制以及隔离的攻击模拟环境。 [](https://www.proxmox.com/) [](https://opnsense.org/) []() [() ## 📋 目录 - [概述](#overview) - [架构](#architecture) - [主要特性](#key-features) - [基础设施](#infrastructure) - [安全模型](#security-model) - [服务](#services) - [项目](#projects) - [入门指南](#getting-started) - [文档](#documentation) - [经验总结](#lessons-learned) ## 🎯 概述 该家庭实验室具有多重用途： **生产基础设施** - 用于开发和测试的虚拟化平台 - 安全的文件存储和备份 - 远程访问基础设施 - 网络服务（DNS、DHCP、监控） **安全研究** - 隔离的红队实验室环境 - 攻击模拟和防御测试 - 安全工具开发和验证 - 应急响应实践 **持续学习** - HackTheBox Pro Lab 练习环境 - CVE 研究和漏洞利用开发 - 蓝队检测工程 - 新技术评估 ### 设计原则 1. **默认安全**：一切从锁定状态开始 2. **纵深防御**：多层保护机制 3. **分段**：严格的网络隔离 4. **监控**：活动的完整可见性 5. **文档化**：记录一切以便学习 6. **验证**：定期测试和验证 ## 🏗️ 架构 ### 网络拓扑  ### 安全区 该家庭实验室被划分为四个不同的信任区域： **🔴 红区（不受信任）** - Internet/WAN 接口 - 默认拒绝所有入站流量 - 仅暴露 WireGuard VPN **🟡 黄区（半信任）** - WireGuard VPN 隧道 (10.6.0.0/24) - 经过身份验证但受限的访问 - 服务级防火墙规则 **🟢 绿区（受信任）** - 生产服务 (192.168.x.0/24) - Proxmox、TrueNAS、管理接口 - 在多重安全层后受保护 **🔵 蓝区（隔离）** - 红队实验室网络 - 故意设计的易受攻击系统 - 与生产环境严格隔离 - 不允许反向访问 详见 [ARCHITECTURE.md](ARCHITECTURE.md)。 ## ✨ 主要特性 ### 基础设施 - **虚拟化**：Proxmox VE 配合集群存储 - **网络**：基于 VLAN 的多区域架构 - **存储**：TrueNAS 配合 ZFS 以确保数据完整性 - **计算**：每个区域专用资源 - **高可用性**：冗余服务和备份 ### 安全 - **防火墙**：双 OPNsense 实例（边缘 + 实验室） - **VPN**：采用零信任访问模型的 WireGuard - **分段**：完全的网络隔离 - **监控**：集中式日志记录和告警 - **验证**：自动化安全测试 ### 实验室环境 - **攻击基础设施**：Kali Linux，自定义工具 - **靶机系统**：故意易受攻击的虚拟机 - **网络模拟**：多种攻击场景 - **隔离**：无法触及生产网络 - **快照管理**：轻松重置和恢复 ## 🖥️ 基础设施 ### 硬件 | 组件 | 规格 | 用途 | |-----------|---------------|---------| | Hypervisor | | Proxmox 主机 | | Firewall | | OPNsense 边缘防火墙 | | Storage | | TrueNAS 服务器 | | Network | | 管理型交换机，VLANs | 完整规格详见 [docs/HARDWARE.md](docs/HARDWARE.md)。 ### 网络设计 **物理网络：** - ISP → fw-edge01 (WAN) - fw-edge01 (LAN) → 管理型交换机 - 位于 fw-lab01 后面的专用实验室 VLAN **VLANs：** - VLAN 10: 服务器 - VLAN 20: 客户端 - VLAN 30: 攻击基础设施 - VLAN 0: 跳板机 路由和防火墙规则详见 [docs/NETWORK_DESIGN.md](docs/NETWORK_DESIGN.md)。 ## 🔒 安全模型 ### 纵深防御 **第 1 层：边界** - 单个暴露端口 (WireGuard UDP 51820) - 阻断所有其他入站流量 - 通过 Cloudflare 进行 DDoS 防护 **第 2 层：认证** - WireGuard 公钥认证 - 无基于密码的 VPN 访问 - 服务上的多因素认证 **第 3 层：网络访问控制** - 服务级防火墙规则 - 仅显式允许列表 - 禁止通过 VPN 横向移动 **第 4 层：应用安全** - 单独的服务认证 - 强密码和 SSH 密钥 - 定期修补和更新 **第 5 层：监控** - 完整的访问日志记录 - 安全事件关联 - 自动化告警 威胁模型和管控措施详见 [docs/SECURITY_MODEL.md](docs/SECURITY_MODEL.md)。 ### 实验室隔离 红队实验室完全隔离： - 专用防火墙 (fw-lab01) - 无法直接访问生产环境 - 无法主动向外发起连接 - 仅能通过跳板机访问 - 时刻假定已被攻破 ## 🚀 服务 ### 生产服务 **虚拟化** - Proxmox VE 8.x - 多个虚拟机模板 - 自动化备份 - 资源监控 **存储** - TrueNAS Core - 带快照的 ZFS - SMB 和 NFS 共享 - 自动化复制 **网络服务** - 内部 DNS - DHCP 服务器 - NTP 服务器 - 反向代理 **监控** - Grafana 仪表板 - Prometheus 指标 - 日志聚合 - 正常运行时间监控 ### 实验室服务 **攻击基础设施** - Kali Linux（最新版） - 自定义漏洞利用开发环境 - Metasploit、Cobalt Strike（已授权） - C2 基础设施测试 **易受攻击系统** - 故意易受攻击的虚拟机 - HackTheBox 练习机 - CVE 测试环境 - 自定义易受攻击应用程序 **蓝队** - Security Onion (SIEM) - Suricata IDS/IPS - 日志分析平台 - 应急响应工具 完整服务清单详见 [docs/SERVICES.md](docs/SERVICES.md)。 ## 📁 项目 基于此基础设施的活跃项目： ### [安全远程访问](https://github.com/MrR3bu5/secure-remote-access) 具有服务级访问控制的零信任 VPN。攻击面减少 95%。 **状态：** 生产环境 **技术：** WireGuard, OPNsense, Python ### Active Directory 实验室（即将推出） 用于攻击和防御练习的企业 AD 环境。 **状态：** 规划中 **技术：** Windows Server, AD, GPO ### SIEM 部署（即将推出） 集中式日志记录和安全监控。 **状态：** 进行中 **技术：** Security Onion, Wazuh, ELK ### 红队基础设施（即将推出） C2 框架测试和开发。 **状态：** 规划中 **技术：** Covenant, Sliver, 自定义工具 ## 🚦 入门指南 ### 致招聘人员/雇主 **这展示了：** - 企业级基础设施设计 - 安全优先的思维模式 - 纵深防御的实施 - 完整的文档技能 - 持续学习和改进 **主要亮点：** - 多区域安全架构 - 隔离的红队环境 - 自动化验证和测试 - 真实世界的问题解决 ### 致各位家庭实验室爱好者 **学习路径：** 1. 查看 [ARCHITECTURE.md](ARCHITECTURE.md) 了解设计决策 2. 检查 [docs/NETWORK_DESIGN.md](docs/NETWORK_DESIGN.md) 了解网络布局 3. 阅读 [docs/SECURITY_MODEL.md](docs/SECURITY_MODEL.md) 了解威胁模型 4. 浏览 [projects/](projects/) 了解具体实现 5. 回顾 [docs/LESSONS_LEARNED.md](docs/LESSONS_LEARNED.md) 了解避坑指南 **前置条件：** - 基础网络知识 - 虚拟化经验 - Linux/Unix 熟悉度 - 安全基础知识 ## 📚 文档 ### 核心文档 - [架构概览](ARCHITECTURE.md) - [硬件规格](docs/HARDWARE.md) - [网络设计](docs/NETWORK_DESIGN.md) - [安全模型](docs/SECURITY_MODEL.md) - [服务清单](docs/SERVICES.md) - [实验室环境](docs/LAB_ENVIRONMENT.md) ### 运维 - [备份与灾难恢复](docs/BACKUP_DR.md) - [监控设置](docs/MONITORING.md) - [应急响应](security/incident-response/) - [经验总结](docs/LESSONS_LEARNED.md) ### 技术指南 - [防火墙配置](infrastructure/network/fw-edge01/) - [VPN 设置](projects/secure-remote-access/) - [虚拟机模板](infrastructure/proxmox/vm-templates/) - [自动化脚本](automation/scripts/) ## 💡 经验总结 ### 效果良好的方面 **基础设施：** - Proxmox 提供了极佳的灵活性 - 网络分段简化了安全管理 - ZFS 快照多次拯救了我 - 文档记录避免了重复犯错 **安全：** - 零信任模型显著降低了风险 - 实验室隔离防止了生产事故 - 定期验证发现了配置错误 - 纵深防御提供了响应时间 **流程：** - 随时记录一切 - 部署到生产环境前先测试 - 自动化重复性任务 - 定期备份是不可妥协的 ### 遇到的挑战 **技术方面：** - 穿越多个防火墙的路由需要规划 - 资源分配需要仔细调整 - 实验室隔离规则很复杂 - 性能监控经过多次迭代 **学习方面：** - 低估了文档编写时间 - 本应更早实现备份自动化 - 需要更好的变更管理 - 日志存储需求高于预期 完整回顾详见 [docs/LESSONS_LEARNED.md](docs/LESSONS_LEARNED.md)。 ## 🔄 持续改进 ### 当前重点 (2026 年 Q1) - [ ] 完成 SIEM 部署 - [ ] 实施自动化测试 - [ ] 添加用于监控的网络分光器 - [ ] 部署蜜罐服务 ### 路线图 - [ ] Active Directory 实验室环境 - [ ] 用于容器工作负载的 Kubernetes 集群 - [ ] 高级威胁狩猎能力 - [ ] 基础设施的 CI/CD 流水线 ### 指标 **安全态势：** - 暴露端口：1 个（仅 WireGuard） - 失败访问尝试记录率：100% - 异常检测时间：<1 小时 - 备份成功率：99.9% **基础设施：** - 正常运行时间：99.95%（过去 90 天） - 虚拟机数量：[1] 个生产环境，[9] 个实验室 - 存储使用量：[4]TB / [1]TB - 网络吞吐量：[1] Gbps ## 🤝 贡献 这是一个个人学习实验室，但欢迎通过 issues 提供反馈和建议。 ### 分享知识 如果你正在构建类似的实验室： - 随意调整这些设计 - 有问题随时联系 - 分享你的改进 - 如果有帮助请引用此仓库 ## 📬 联系方式 **GitHub:** [@MrR3bu5](https://img.shields.io/badge/Infrastructure-Proxmox-orange) **LinkedIn:** [LinkedIn](https://img.shields.io/badge/Security-OPNsense-blue) **位置:** 加利福尼亚 欢迎探讨家庭实验室设计、安全架构或合作机会。 ## 🙏 致谢 **社区资源：** - r/homelab 提供硬件建议 - r/Proxmox 提供虚拟化帮助 - OPNsense 社区论坛 - HackTheBox 提供实验室灵感 **工具与技术：** - Proxmox VE 团队 - OPNsense 开发者 - TrueNAS 社区 - WireGuard 项目 **最后更新：** 2026 年 2 月 **状态：** 活跃开发中

标签：Beacon Object File, Burp Suite 替代, CSV导出, CVE研究, DHCP, DNS, Go语言工具, HackTheBox, Homelab, IP 地址批量处理, Metaprompt, OPNsense, PE 加载器, Proxmox, Web报告查看器, 企业级架构, 安全实验环境, 家庭实验室, 密码管理, 插件系统, 攻击模拟, 数据展示, 流量捕获, 监控, 管理员页面发现, 紫队, 红队, 纵深防御, 网络分段, 网络安全, 网络安全审计, 网络拓扑, 自定义请求头, 虚拟化, 遥测数据, 防御测试, 防火墙, 隐私保护, 驱动签名利用