bastiaan365/homelab-infrastructure

# 🏠 Homelab 基础设施 完全隔离的家用网络，作为实操安全实验室构建。采用防御纵深架构，包含 7 个隔离区域、实时威胁检测和集中式监控。 ## 🏗️ 架构 ``` ┌─────────────────────────────────────────────────────┐ │ OPNsense Firewall │ │ (Topton N355 - 6 NIC ports) │ ├──────┬──────┬──────┬──────┬──────┬──────┬───────────┤ │ WAN │ LAN │ IoT │Guest │ Mgmt │ VPN │ Monitor │ │ │Trust │Isol. │Only │Admin │Tunnel│ TIG Stack │ └──────┴──────┴──────┴──────┴──────┴──────┴───────────┘ ``` ## 🔒 网络分段 | Zone | Purpose | Internet | Cross-zone | |---|---|---|---| | LAN | 受信任设备、工作站 | ✅ 通过 VPN | 受限 | | IoT | 智能家居设备 | ✅ 已过滤 | ❌ 已阻断 | | Guest | 访客 WiFi | ✅ 直连 | ❌ 已阻断 | | Management | 管理访问、OPNsense GUI | ✅ 通过 VPN | ✅ 所有区域 | | VPN | WireGuard 隧道 (Mullvad) | ✅ 已加密 | ❌ 已阻断 | | Monitoring | TIG stack, syslog | ❌ 无 | 📥 仅接收 | | Home Assistant | 智能家居自动化 | ✅ 已过滤 | 📤 仅 IoT | ## 🛡️ 安全技术栈 - **防火墙**: OPNsense，配置了分区域规则集 - **IDS/IPS**: Suricata 配合 ET Open + 自定义规则 - **VPN**: WireGuard 配备 kill switch，集成 Mullvad - **DNS**: Unbound 支持 DNS-over-TLS、DNSSEC 验证和屏蔽列表 - **加固**: 支持回滚功能的自动化脚本 ## 📊 监控 - **Telegraf** → **InfluxDB** → **Grafana** (运行在 Raspberry Pi 上的 TIG stack) - 来自所有网络设备的集中式 syslog - 针对流量、威胁、DNS 查询的自定义仪表盘 - 异常模式告警 ## 🧠 设计决策 每个设计选择都基于风险分析： - 智能家居设备被隔离，因为它们会向未知服务器回传数据 - Management 区域拥有独立的访问路径，以防 VPN 隧道故障 - Monitoring 仅具备接收权限，以防止受损仪表盘导致横向移动 - Guest 网络无法查看任何内部区域 ## 📝 经验教训 - ISP 光纤连接的特性导致 Suricata 无法在 WAN 接口运行 —— 已记录并移至内部网段 - 网卡与安全工具的兼容性问题 —— 通过自动化驱动配置解决 - DNS 屏蔽列表揭示了惊人的 IoT 遥测流量 ## 🔗 链接 - [我网站上的完整文章](https://bastiaan365.com) - [我的 Grafana 仪表盘](https://github.com/bastiaan365/grafana-dashboards) - [系统加固脚本](https://github.com/bastiaan365/ubuntu-hardening-scripts) *这是一个文档仓库。敏感的配置详细信息（IP、主机名、凭据）已匿名化或替换为占位符。*

标签：Beacon Object File, CISA项目, DNS-over-TLS, DNSSEC, DNS安全, Grafana, IDS/IPS, InfluxDB, IoT隔离, IP 地址批量处理, Metaprompt, OISF, OPNsense, Suricata, Telegraf, TIG监控栈, Unbound, VLAN隔离, VPN, WireGuard, 家庭实验室, 插件系统, 日志管理, 智能家庭, 物联网安全, 现代安全运营, 系统加固, 网络分段, 网络安全, 网络安全, 网络架构, 访客网络, 边缘计算, 防御纵深, 防火墙, 隐私保护, 隐私保护