patt502090/CE-Group1-NetOps

## 项目简介 这是一个完全运行中的**企业网络与安全运营平台**，基于物理基础设施设计与部署 —— 采用 Cisco 企业级硬件，配合 Raspberry Pi 服务器和 Apple Mac Minis 运行完整的 SOC 技术栈。 这并非模拟环境。每一个组件都是在线、互联且被监控的。该平台包括网络分段、无线认证、入侵检测、集中式日志记录、网络自动化、Active Directory、具备 ACL 强制执行的文件共享，以及一个暴露于互联网的蜜罐。 ## 架构 ``` ┌──────────────────────────────┐ │ INTERNET │ │ 10.0.1.1/30 · ISP │ └──────────────┬───────────────┘ │ ┌──────────────▼───────────────┐ │ FIREPOWER-G1 │ │ Cisco FPR-2110 · NGFW │ │ IPS · NAT · URL Filter │ │ Zone: outside/inside/dmz │ └──────────────┬───────────────┘ LAG Po3 (2x1G) ┌──────────────▼───────────────┐ │ L3_SW_G1 │ │ Cisco C9200L · Core Switch │ │ SVIs · NetFlow Export │ └───────┬──────────┬───────────┘ LAG Po2 │ │ LAG Po1 ┌──────────▼──┐ │ ┌──────▼──────────┐ │ POE_SW_G1 │ │ │ WLC_G1 │ │ C3750X-48P │ │ │ AIR-CT2504-K9 │ │ 802.1X Auth│ │ │ SSID x 2 │ └─────────────┘ │ └─────────────────┘ │ ┌────────────┼──────────────────────┐ │ │ │ ┌──────▼──┐ ┌──────▼──┐ ┌───────────────▼──┐ │ RPi-01 │ │ RPi-02 │ │ Mac-Wazuh │ │VLAN10 │ │VLAN10 │ │ VLAN10 │ │.10 │ │.20 (DC) │ │ .30 │ └─────────┘ └─────────┘ └──────────────────┘ ┌────────────────┐ │ Mac-Honeypot │ │ VLAN100 · DMZ │ │ .10 · Internet │ └────────────────┘ ``` ## 网络分段 | VLAN | 名称 | 子网 | 网关 | 描述 | |:----:|------|--------|---------|-------------| | **10** | SERVER | `10.1.10.0/24` | `10.1.10.1` | 内部服务器 — 静态 IP | | **20** | EMPLOYEE | `10.1.20.0/24` | `10.1.20.1` | 有线员工接入 · 强制 802.1X | | **30** | STAFF-WIFI | `10.1.30.0/24` | `10.1.30.1` | 企业无线 · WPA2-Enterprise | | **40** | GUEST-WIFI | `10.1.40.0/24` | `10.1.40.1` | 访客无线 · 隔离 | | **50** | MGMT | `10.1.50.0/24` | `10.1.50.1` | 网络设备管理 | | **60** | EWC-MGMT | `10.1.60.0/24` | `10.1.60.1` | 2号楼无线管理 | | **100** | DMZ | `10.1.100.0/24` | `10.1.100.1` | 面向公网 · 蜜罐隔离 | ## 硬件清单 ### 网络基础设施 | 设备 | 型号 | 版本 | 管理 IP | 角色 | |--------|-------|---------|--------------|------| | FIREPOWER-G1 | Cisco FPR-2110 | NGFW v7.4.2 | `10.1.50.20` | 下一代防火墙 · IPS · NAT | | L3_SW_G1 | Cisco C9200L-48T-4G | IOS-XE 17.9.4 | `10.1.50.1` | 核心 L3 · NetFlow · DHCP | | POE_SW_G1 | Cisco C3750X-48P | IOS 15.2(4)E6 | `10.1.50.2` | PoE 接入 · 802.1X 认证方 | | WLC_G1 | Cisco AIR-CT2504-K9 | WLC 8.5.182 | `10.1.50.10` | 无线控制器 · 双 SSID | ### 服务器 | 设备 | 型号 | IP | 角色 | |--------|-------|----|------| | RPi-01 | Raspberry Pi 4B | `10.1.10.10` | Grafana · Loki · DVWA · FreeRADIUS | | RPi-02 | Raspberry Pi 4B | `10.1.10.20` | Samba AD DC · NetBox · Oxidized · InfluxDB · NetFlow | | Mac-Wazuh | Apple Mac Mini | `10.1.10.30` | Wazuh Manager + Indexer + Dashboard | | Mac-Honeypot | Apple Mac Mini | `10.1.100.10` | Honeypot v2.0 · Cloudflare Tunnel · DMZ | ## 安全技术栈 ### 边界 — Cisco FPR-2110 (FTD) - 具备 IPS 签名的有状态下一代防火墙 - 基于区域的策略：`outside → inside`、`outside → dmz`、`inside → dmz` - 为所有内部 VLAN 提供 NAT/PAT - URL 过滤和应用可视性 - Syslog 转发至 Wazuh ### 网络访问控制 — 802.1X ``` Supplicant (endpoint) └─► Authenticator (C3750X / WLC) └─► Authentication Server (FreeRADIUS · RPi-01) └─► Identity Store (Samba AD · RPi-02) Fail-open VLAN : VLAN40 (Guest) Success VLAN : VLAN20 (Employee) / VLAN30 (Staff-WiFi) ``` ### SIEM — Wazuh - 基于 Agent + 无 Agent 的 Syslog 采集 - 来源：Cisco FTD · C9200L · Honeypot · 所有服务器 - MITRE ATT&CK 框架映射 - 文件完整性监控 + 漏洞检测 ### 蜜罐 — DMZ - Mac Mini 上基于 Flask 的 Honeypot v2.0 - 通过 Cloudflare Tunnel 暴露于互联网 - 所有命中记录通过 Promtail → Loki → Grafana 攻击图展示 - 隔离在 VLAN100，仅通过 FTD 策略路由 ## Active Directory — GROUP1.CORP **域控制器：** `raspberrypi.group1.corp` (RPi-02 · `10.1.10.20`) ``` Forest: group1.corp └── Domain: GROUP1.CORP ├── Users: 20 accounts ├── Groups: IT · HR · Finance · Staff · Domain Admins └── File Shares (ACL-enforced) ├── IT_Dept → GROUP1\IT only ├── HR_Dept → GROUP1\HR only ├── Finance_Dept → GROUP1\Finance only └── Staff_Common → All Domain Users ``` **GPO — 映射网络驱动器** (登录时自动映射) ``` Z: \\10.1.10.20\Staff_Common → everyone Y: \\10.1.10.20\IT_Dept → IT group only X: \\10.1.10.20\HR_Dept → HR group only W: \\10.1.10.20\Finance_Dept → Finance group only ``` ## 可观测性 ### NetFlow 流水线 ``` C9200L ──UDP 2055──► pmacct (RPi-02) ──► InfluxDB ──► Grafana ``` ### 日志流水线 ``` FTD Syslog ───────────────────┐ C9200L Syslog ────────────────┤ Honeypot (Promtail) ──────────┼──► Loki ──► Grafana System logs (Promtail) ───────┘ ──► Wazuh ``` ### 网络自动化 - **Oxidized** — 每 6 小时配置备份，Git 版本控制差异 - **NetBox** — 所有设备、IP、VLAN、线缆的事实来源 - **Tailscale** — 零配置远程访问覆盖层 ## 服务映射 | 服务 | 主机 | 端点 | |---------|------|----------| | Grafana | RPi-01 | `http://10.1.10.10:3000` | | NetBox | RPi-02 | `http://10.1.10.20:8000` | | Oxidized | RPi-02 | `http://10.1.10.20:8081` | | Wazuh Dashboard | Mac-Wazuh | `https://10.1.10.30` | | DVWA | RPi-01 | `http://10.1.10.10:8080` | | Loki | RPi-01 | `http://10.1.10.10:3100` | | InfluxDB | RPi-02 | `http://10.1.10.20:8086` | | NetFlow Collector | RPi-02 | `UDP :2055` | | FreeRADIUS | RPi-01 | `UDP :1812` | | Samba AD DC | RPi-02 | `:389 / :445 / :88` | | Honeypot | Mac-Honeypot | 通过 Cloudflare Tunnel 公开 | | Topology Map | RPi-01 | `http://10.1.10.10/topology.html` | ## 仓库结构 ``` . ├── README.md ├── topology/ │ └── group1-topology.html # Interactive network diagram ├── netbox/ │ ├── populate-devices.sh │ ├── populate-vlans.sh │ └── populate-cables.sh ├── samba/ │ ├── smb.conf │ └── map_drives.bat # GPO logon script ├── configs/ │ ├── firewall/ │ ├── l3-switch/ │ ├── l2-switch/ │ └── wlc/ ├── grafana/ │ └── dashboards/ └── wazuh/ └── rules/ ```

标签：802.1X认证, AMSI绕过, Beacon Object File, Grafana, IPAM, IP 地址批量处理, IT基础设施, NetBox, NetFlow, NGFW, PE 加载器, Samba AD, SOC平台, Wazuh, 下一代防火墙, 企业级架构, 企业网络安全, 可视化监控, 威胁检测, 安全信息与事件管理, 安全研究社区, 安全运营中心, 密码管理, 思科防火墙, 插件系统, 搜索引擎爬取, 活动目录, 物理硬件, 网络准入控制, 网络映射, 网络流量分析, 蜜罐, 证书利用, 身份管理, 逆向工具