RossMora-Pilots/CSEC-Infrastructure-CSC-7302

GitHub: RossMora-Pilots/CSEC-Infrastructure-CSC-7302

一份系统记录 Palo Alto NGFW 企业级部署全流程的网络安全课程作品集,涵盖从基础配置到高级威胁防护的完整技术栈,并配有自动化运维脚本。

Stars: 0 | Forks: 0

# CSEC 基础设施 — Palo Alto Networks NGFW 产品组合 [![CI](https://github.com/RossMora-Pilots/CSEC-Infrastructure-CSC-7302/actions/workflows/ci.yml/badge.svg)](https://github.com/RossMora-Pilots/CSEC-Infrastructure-CSC-7302/actions/workflows/ci.yml) [![Gitleaks](https://github.com/RossMora-Pilots/CSEC-Infrastructure-CSC-7302/actions/workflows/gitleaks.yml/badge.svg)](https://github.com/RossMora-Pilots/CSEC-Infrastructure-CSC-7302/actions/workflows/gitleaks.yml) [![Markdown Lint](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/49fbaf26d3113413.svg)](https://github.com/RossMora-Pilots/CSEC-Infrastructure-CSC-7302/actions/workflows/markdownlint.yml) **Ross Moravec** | Cambrian College | CSC-7302 CSEC 基础设施 | 2024 年秋季 [![LinkedIn](https://img.shields.io/badge/LinkedIn-Ross_Moravec-0A66C2?style=flat-square&logo=linkedin&logoColor=white)](https://www.linkedin.com/in/rossmoravec/) [![GitHub](https://img.shields.io/badge/GitHub-RossMora-181717?style=flat-square&logo=github&logoColor=white)](https://github.com/RossMora-Pilots) [![Email](https://img.shields.io/badge/Email-ross@moravec.dev-EA4335?style=flat-square&logo=gmail&logoColor=white)](mailto:ross@moravec.dev) ## 专业总结 毕业于 Cambrian College 的计算机系统技术 — 网络安全专业,在虚拟化企业环境中部署和配置 Palo Alto Networks 下一代防火墙(NGFW)方面拥有丰富的实践经验。熟练掌握基于区域的安全架构、身份驱动的访问控制、加密流量检查和基于云的威胁分析。**目标职位是防火墙管理员或网络安全工程师的入门级岗位**,期望在其中运用我实用的 NGFW 专业知识和系统的威胁防护方法 —— 并希望在未来逐步向安全架构方向发展。 ### 为什么选择网络安全? 防火墙处于网络工程和安全运营的交汇点 —— 即架构决策转化为可执行策略的控制平面。将 Palo Alto 的 NGFW 平台作为明确的专业化方向,是因为它将六项安全学科(基于区域的隔离、应用识别、基于身份的访问控制、加密流量检查、威胁情报和云端沙箱)统一到了一个可编程的执行点。掌握这套技术栈意味着理解现代企业安全是如何实际落地的,而不仅仅是理论上的描述。我的目标是成为网络安全团队中既能正确配置设备,又能解释每项策略存在*原因*的人。 ## 认证与资格 | 资格 | 状态 | 备注 | |------------|--------|-------| | **CompTIA Security+ (SY0-701)** | 准备中 — 自学 | 目标考试时间:在重点复习密码学和风险管理领域后的下一个可用考试窗口 | | **Palo Alto PCNSA** | 已计划 — 将在 Security+ 之后学习 | 为期 13 周的 CSEC 基础设施课程内容 100% 覆盖了 PCNSA 的 4 个考试领域;以课程实验作为实操准备 | | **CompTIA Network+** | 未计划 | 网络基础知识已在先前的 CST 课程中涵盖 | | **PCNSE** | 长期目标 | 在获得 1-2 年的 NGFW 实际操作经验之后 | **PCNSA 内容对齐(非认证声明):** 课程内容映射到了 [SKILLS_BASED_EXAMINATION.md](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/SKILLS_BASED_EXAMINATION.md) 中记录的所有四个 PCNSA 考试领域。这意味着该作品集展示了考试所测试的每个领域的实际操作能力 —— 但这**并不**意味着我已经通过了该考试。 ### 认证路线图 ``` %%{init: {'theme':'neutral'}}%% flowchart LR Now["Current State
(Fall 2024)
---
• CSEC Infrastructure
coursework complete
• SBE capstone passed
• Portfolio published"] SecPlus["Security+
(SY0-701)
---
Self-study
Vendor-neutral baseline"] PCNSA["PCNSA
---
Builds on portfolio
Palo Alto-specific"] OnJob["First 1-2 Years
(Hands-on operations)
---
Production NGFW
experience"] PCNSE["PCNSE
---
Expert-level
requires real deployment
experience"] Now --> SecPlus --> PCNSA --> OnJob --> PCNSE style Now fill:#fef9e7,color:#333 style SecPlus fill:#fdebd0,color:#333 style PCNSA fill:#d6eaf8,color:#333 style OnJob fill:#e8daef,color:#333 style PCNSE fill:#d5f5e3,color:#333 ``` ## 关于本作品集 本作品集记录了通过 Cambrian College 的 CSEC 基础设施项目培养的实操网络安全基础设施技能。这些工作展示了在企业网络安全方面的实际能力 — 从最初的防火墙部署到高级威胁防护、基于身份的访问控制和 加密流量检查。每次实验都使用行业标准的 Palo Alto Networks 技术,逐步构建起一个完整的零信任安全架构。 ## 招聘经理快速入门指南 | 时间 | 查看内容 | |------|---------------| | **5 分钟** | 本 README + [下方的架构图](#defense-in-depth-architecture) | | **15 分钟** | [实验作品集总结](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/PALO_ALTO_LABS_SUMMARY.md) + [SBE 毕业项目](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/SKILLS_BASED_EXAMINATION.md) | | **30 分钟** | [完整的 13 周课程图](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/WEEKLY_TOPIC_MAP.md) + 浏览[实验提交记录](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/) | | **深入钻研** | [事件响应场景](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/INCIDENT_RESPONSE_SCENARIOS.md) — SOC 告警分诊 & NGFW 响应工作流 | ## 主要成就 | 指标 | 数值 | 证据 | |--------|-------|----------| | 已完成实验 | **8** 次 Palo Alto NGFW 实操实验 | [assignments/](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/) | | SBE 毕业项目 | **通过** — 在 2 小时限时考试中完成完整的 NGFW 部署 | [SKILLS_BASED_EXAMINATION.md](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/SKILLS_BASED_EXAMINATION.md) | | 涵盖的 Palo Alto 模块 | **13** 个 (EDU-210 Firewall Essentials) | [WEEKLY_TOPIC_MAP.md](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/WEEKLY_TOPIC_MAP.md) | | 各实验中构建的防火墙规则 | 累计 **25+** 条(安全 + NAT + 解密)— 最终 SBE 状态在规则整合后包含 5 条安全规则 + 2 条 NAT 规则 + 2 条解密规则 | [sbe_running_config.set](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/configs/sbe_running_config.set) | | 涵盖的威胁类别 | **6** 种(恶意软件、间谍软件/C2、漏洞利用、恶意 URL、有害文件类型、敏感数据泄露)— 参见[配置文件到类别映射](#threat-category-distribution) | [实验 3](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.md)、[实验 5](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab05_Blocking_Known_Bad_Sources.md)、[实验 8](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab08_WildFire_Unknown_Malware_Detection.md) | | 识别引擎 — 实操经验 | **3** 种 (App-ID, Content-ID, User-ID) | [实验 3](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.md)、[7](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.md)、[SBE](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/SKILLS_BASED_EXAMINATION.md) | | 配置截图 | 8 次实验 + SBE 毕业项目共 **303** 张 | [EVIDENCE_INDEX.md](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/EVIDENCE_INDEX.md) | | 编写的自动化脚本 | **3** 个(Python 审计、PowerShell 健康检查、Ansible IaC)+ 单元测试 | [scripts/](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/scripts/) | ### 实验快速参考 | 实验 | 主题 | PCNSA 领域 | 关键证据 | |-----|-------|-------------|--------------| | 1 | 初始防火墙配置 | 设备管理 (18%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab01_Initial_Firewall_Configuration.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab01_Initial_Firewall_Configuration.pdf) | | 2 | 安全区域与策略 | 网络基础 (26%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab02_Security_Zones_and_Policies.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab02_Security_Zones_and_Policies.pdf) | | 3 | Content-ID 配置 | 策略配置 (28%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.pdf) | | 5 | 阻断已知恶意源 | 安全流量 (28%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab05_Blocking_Threats_Known_Bad_Sources.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab05_Blocking_Threats_Known_Bad_Sources.pdf) | | 7 | User-ID 与 AD 集成 | 策略配置 (28%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.pdf) | | 8 | WildFire 零日检测 | 安全流量 (28%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab08_WildFire_Unknown_Malware_Detection.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab08_WildFire_Unknown_Malware_Detection.pdf) | | 9 | SSL/TLS 解密 | 安全流量 (28%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab09_Encrypted_Traffic_Inspection.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab09_Encrypted_Traffic_Inspection.pdf) | | SBE | 毕业项目 — 完整的 NGFW 部署 | 所有 4 个领域 (100%) | [报告](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Skills-Based_Examination_Capstone.md) · [PDF](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Skills-Based_Examination_Capstone.pdf) |
13 周课程时间线 — 点击展开 ``` timeline title CSEC Infrastructure — Fall 2024 section Foundation (Weeks 1-6) Week 1 : Cloud Security & Initial Config : Lab 1 - Firewall Setup Week 2 : Security Zones & Policies : Lab 2 - Zone Architecture Week 3 : Stateful Inspection Week 4 : Content-ID Configuration : Lab 3 - 7 Security Profiles Week 5 : App-ID Technology Week 6 : Review & Midterm section Advanced (Weeks 7-13) Week 7 : URL Filtering & EDLs : Lab 5 - Known Threat Blocking Week 8 : App-ID Advanced & SOC Week 9 : User-ID & AD Integration : Lab 7 - User-Based Policies Week 10 : SSL/TLS Decryption : Lab 9 - Encrypted Traffic Week 11 : WildFire Malware Analysis : Lab 8 - Zero-Day Detection Week 12 : Comprehensive Review Week 13 : SOC & Threat Intel + SBE Capstone ```
## 纵深防御架构 所有实验中配置的安全层,从边界防护到高级威胁防御: ``` %%{init: {'theme':'neutral'}}%% block-beta columns 1 block:perimeter["Perimeter Defense"] A["SSL/TLS Decryption"] end block:policy["Policy Enforcement"] B["Zone-Based Security Policies"] end block:identity["Identity Layer"] C["User-ID (Active Directory)"] end block:inspection["Deep Inspection"] D["App-ID"] E["Content-ID (7 Profiles)"] end block:advanced["Advanced Threat Prevention"] F["WildFire Sandbox"] G["EDL Threat Feeds"] end perimeter --> policy --> identity --> inspection --> advanced ```
网络拓扑、流量流向与数据平面演练 — 点击展开(详细架构图) ### 实验网络拓扑 所有 8 个实验中使用的虚拟化 NetLab 环境: ``` flowchart TB subgraph Pod["NetLab Pod — Palo Alto EDU-210"] direction TB subgraph Untrust["Untrust Zone (eth1/1)"] VRouter["Virtual Router
203.0.113.1/24"] Internet([Internet
Simulated]) VRouter --- Internet end subgraph FW["PA-VM Firewall"] Mgmt["Management
192.168.1.1/24"] E1["eth1/1 — Untrust
203.0.113.20/24"] E2["eth1/2 — Trust
192.168.1.254/24"] E3["eth1/3 — DMZ
172.16.1.1/24"] end subgraph Trust["Trust Zone (eth1/2)"] DC["Windows Server 2019
Domain Controller
192.168.1.10
(AD / DNS / User-ID)"] Client["Windows 10 Client
192.168.1.100
(Domain-Joined)"] end subgraph DMZ["DMZ Zone (eth1/3)"] WebSrv["Linux Web Server
172.16.1.10
(HTTP/HTTPS)"] end VRouter -->|"203.0.113.0/24"| E1 E2 --> DC E2 --> Client E3 --> WebSrv DC -.->|"LDAP/WMI
User-ID Agent"| FW FW -.->|"File Forwarding"| WF([WildFire Cloud]) FW -.->|"EDL Fetch"| EDL([External Dynamic Lists]) end style FW fill:#2D5F8A,color:#fff style Untrust fill:#ffcccc,color:#333 style Trust fill:#ccffcc,color:#333 style DMZ fill:#ccccff,color:#333 ``` ### 流量检查流程 通过所有识别引擎的完整端到端流量处理: ``` sequenceDiagram participant C as Client
(Trust Zone) participant FW as PA-VM NGFW participant D as Destination
(Untrust Zone) participant WF as WildFire Cloud C->>FW: HTTPS request (port 443) Note over FW: 1. Zone Lookup
eth1/2 → Trust Zone Note over FW: 2. Decryption Policy
SSL Forward Proxy match FW->>FW: Terminate TLS, re-sign with CA Note over FW: 3. Security Policy
Allow-Outbound (Trust→Untrust) Note over FW: 4. App-ID Classification
ssl → web-browsing → office-365 Note over FW: 5. Content-ID Inspection
AV, Anti-Spyware, Vuln, URL, DLP Note over FW: 6. User-ID Resolution
192.168.1.100 → CORP\jsmith alt Unknown file in response FW->>WF: Forward file for sandbox analysis WF-->>FW: Verdict (benign/malware) end FW->>FW: Re-encrypt payload Note over FW: 7. Source NAT
192.168.1.100 → 203.0.113.20 FW->>D: Forward to destination D-->>FW: Response FW-->>C: Deliver response ``` ### 识别引擎架构 ``` flowchart LR Traffic([Inbound Traffic]) --> Decrypt{SSL/TLS
Encrypted?} Decrypt -->|Yes| DecPol[Decryption Policy] Decrypt -->|No| SecPol DecPol --> SecPol[Security Policy] SecPol -->|Allow| Inspect subgraph Inspect["Content Inspection"] AppID[App-ID] --> ContentID[Content-ID] ContentID --> UserID[User-ID] end Inspect --> WF{Unknown
File?} WF -->|Yes| WildFire([WildFire Cloud]) WF -->|No| Forward[Forward to Destination] WildFire -->|Verdict| Forward ``` ### HTTPS 请求 — 完整的数据平面演练 来自加入域的用户的单个 HTTPS 请求如何穿过 NGFW 上的每个安全引擎 — 标注了配置每个步骤的实验: ``` flowchart TD A["Client sends HTTPS request
(192.168.1.100 → 203.0.113.50:443)"] --> B subgraph B["1. Ingress — Zone Lookup"] B1["eth1/2 → Trust Zone
Lab 2: Zone Architecture"] end B --> C subgraph C["2. SSL/TLS Decryption"] C1["Decryption Policy match:
Decrypt_User_Traffic
(SSL Forward Proxy)"] C2["Firewall terminates TLS,
re-signs with trusted-cert CA"] C3["Cleartext payload available
for all downstream engines"] C1 --> C2 --> C3 end C --> D subgraph D["3. Security Policy Evaluation"] D1["Match: Allow-Outbound
Trust → Untrust, user = lab\\marketing"] D2["Action: Allow
Profile Group: Strict-Security"] D1 --> D2 end D --> E subgraph E["4. App-ID Classification"] E1["Initial: ssl (port 443)"] E2["After decryption: web-browsing"] E3["Final: microsoft-office-365
(application signature match)"] E1 --> E2 --> E3 end E --> F subgraph F["5. Content-ID Inspection"] F1["Antivirus: scan payload — clean"] F2["Anti-Spyware: check for C2 — clean"] F3["Vuln Protection: no exploit signatures"] F4["URL Filtering: category = business — allow"] F5["File Blocking: no restricted types"] F6["DLP: no SSN/CC patterns"] end F --> G subgraph G["6. User-ID Resolution"] G1["IP 192.168.1.100 → lab\\marketing-user
(AD event log mapping)"] G2["User logged in traffic/threat logs"] end G --> H{"7. Unknown file
in response?"} H -->|"Yes"| I["WildFire: forward to cloud sandbox
Lab 8: Zero-Day Detection"] H -->|"No"| J["8. Re-encrypt & Forward"] I --> J J --> K["Egress via eth1/1
Source NAT applied
(192.168.1.100 → 203.0.113.20)"] style B fill:#ccffcc,color:#333 style C fill:#ffffcc,color:#333 style D fill:#cce5ff,color:#333 style E fill:#e8daef,color:#333 style F fill:#fadbd8,color:#333 style G fill:#d5f5e3,color:#333 style I fill:#fdebd0,color:#333 ``` | 步骤 | 引擎 | 实验参考 | |------|--------|---------------| | 1 | 区域查找 / 接口分类 | [实验 2 — 安全区域](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab02_Security_Zones_and_Policies.md) | | 2 | SSL/TLS 正向代理解密 | [实验 9 — 加密流量](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab09_Encrypted_Traffic_Inspection.md) | | 3 | 安全策略评估 | [实验 2 — 安全区域](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab02_Security_Zones_and_Policies.md) | | 4 | App-ID 应用分类 | [SBE 毕业项目](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Skills-Based_Examination_Capstone.md) | | 5 | Content-ID 深度检查(7 个配置文件) | [实验 3 — Content-ID](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.md) | | 6 | User-ID 身份解析 | [实验 7 — User-ID](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.md) | | 7 | WildFire 云沙箱分析 | [实验 8 — WildFire](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab08_WildFire_Unknown_Malware_Detection.md) | | 8 | 重新加密、NAT 并转发 | [实验 2](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab02_Security_Zones_and_Policies.md) + [SBE](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Skills-Based_Examination_Capstone.md) |
威胁覆盖范围与 PCNSA 领域映射 — 点击展开 ### 威胁类别分布 作品集中涉及的威胁类别细分 — 每一部分代表一个独立的防御引擎: ``` pie title Lab Coverage by Threat Category (count = labs where enforcement demonstrated) "Malware (AV + WildFire)" : 8 "Spyware & C2 (Anti-Spyware)" : 7 "Exploits (Vuln Protection)" : 5 "Malicious URLs (URL Filtering)" : 6 "Unwanted Files (File Blocking)" : 4 "Data Leakage (DLP)" : 3 ``` ### 实验到毕业项目的技能流程 每个实验如何为最终的 SBE 毕业项目部署提供特定能力: ``` flowchart LR L1["Lab 1\nFirewall Setup"] -->|"Management\nAccess"| SBE L2["Lab 2\nZone Architecture"] -->|"Zones\nPolicies\nNAT"| SBE L3["Lab 3\nContent-ID"] -->|"7 Security\nProfiles"| SBE L5["Lab 5\nKnown Threats"] -->|"EDLs\nURL Filtering"| SBE L7["Lab 7\nUser-ID"] -->|"AD Integration\nIdentity Policies"| SBE L8["Lab 8\nWildFire"] -->|"Sandbox\nFile Forwarding"| SBE L9["Lab 9\nSSL/TLS"] -->|"Decryption\nCert Mgmt"| SBE SBE["SBE Capstone\n---\nComplete NGFW\nDeployment\n(2-hour exam)"] style L1 fill:#fadbd8,color:#333 style L2 fill:#fadbd8,color:#333 style L3 fill:#fdebd0,color:#333 style L5 fill:#fdebd0,color:#333 style L7 fill:#d5f5e3,color:#333 style L8 fill:#d5f5e3,color:#333 style L9 fill:#d6eaf8,color:#333 style SBE fill:#2D5F8A,color:#fff ``` ### PCNSA 考试领域覆盖范围 作品集内容映射到四个 PCNSA 认证考试领域。**这些百分比描述的是内容覆盖范围,而不是我个人通过考试的 readiness** — 我尚未参加 PCNSA 考试。 ``` xychart-beta title "PCNSA Domain Coverage (% of Exam Weight)" x-axis ["Network Security\nFundamentals (26%)", "Device\nManagement (18%)", "Policy\nConfiguration (28%)", "Securing\nTraffic (28%)"] y-axis "Portfolio Coverage %" 0 --> 100 bar [95, 85, 100, 95] ``` | 领域 | 考试权重 | 作品集实验 | 内容覆盖率 | |--------|-----------|---------------|----------| | 网络安全基础 | 26% | 实验 1–2, SBE | **~95%** — 区域、路由、接口、隐式拒绝(未涵盖基于 Panorama 的管理) | | 设备管理 | 18% | 实验 1, SBE | **~85%** — 管理员访问、更新、commit 模型;提及了 Panorama 但未实操 | | 策略配置 | 28% | 实验 2–3, 5, 7, SBE | **~100%** — 安全规则、NAT、App-ID、配置文件组 | | 安全流量 | 28% | 实验 3, 5, 7–9, SBE | **~95%** — Content-ID、User-ID、WildFire、SSL 解密(未涵盖 Panorama 管理的日志转发) |
## 第 1 周与第 13 周对比 — 架构演进 防火墙从一张白纸演变为完整的纵深防御部署: ``` %%{init: {'theme':'neutral'}}%% block-beta columns 2 block:week1["Week 1: Initial State"]:1 columns 1 W1A["Management Access Only"] W1B["Default Interzone Rules"] W1C["No Inspection Engines"] W1D["No Identity Integration"] W1E["No Threat Prevention"] end block:week13["Week 13: Final SBE State"]:1 columns 1 W13A["3 Zones + NAT + Routing"] W13B["25+ Custom Security Policies"] W13C["7 Content-ID Profiles Active"] W13D["User-ID + AD + Group Policies"] W13E["WildFire + SSL Decryption + EDLs"] end style week1 fill:#ffcccc,color:#333 style week13 fill:#ccffcc,color:#333 style W1A fill:#fff,color:#999 style W1B fill:#fff,color:#999 style W1C fill:#fff,color:#999 style W1D fill:#fff,color:#999 style W1E fill:#fff,color:#999 style W13A fill:#d5f5e3,color:#333 style W13B fill:#d5f5e3,color:#333 style W13C fill:#d5f5e3,color:#333 style W13D fill:#d5f5e3,color:#333 style W13E fill:#d5f5e3,color:#333 ``` | 能力 | 第 1 周 | 第 13 周 (SBE) | |-----------|--------|---------------| | 安全区域 | 未配置 | 3 个区域(Trust、Untrust、DMZ),具有严格的区域间策略 | | 安全策略 | 默认允许/拒绝 | 25+ 条规则,结合 App-ID、User-ID 和配置文件组强制执行 | | 威胁防御 | 已禁用 | 7 个 Content-ID 配置文件:AV、Anti-Spyware、Vuln、URL、File Blocking、DLP、WildFire | | 身份集成 | 仅基于 IP | 通过 LDAP + WMI 的 Active Directory,带有用户组策略映射 | | 加密流量 | 不可见(直接通行) | 具有受信任 CA 和金融豁免的 SSL 正向代理 | | 威胁情报 | 无 | EDLs + WildFire 云沙箱,带有自动签名更新 | | NAT | 未配置 | 用于出站的源 NAT (PAT) + 用于 DMZ 服务的静态 NAT | ## MITRE ATT&CK 覆盖范围 所有实验中配置的安全控制映射到这些 MITRE ATT&CK 技术 — 展示了在攻击生命周期的多个阶段的检测和防御: ``` %%{init: {'theme':'neutral'}}%% block-beta columns 5 IA["Initial Access"]:1 EX["Execution"]:1 CC["Command &\nControl"]:1 EXF["Exfiltration"]:1 DE["Defense\nEvasion"]:1 T1190["T1190\nExploit Public\nApplication\n---\nVuln Protection\n+ Zone Arch"]:1 T1204["T1204\nUser\nExecution\n---\nWildFire\nSandbox"]:1 T1071["T1071\nApp Layer\nProtocol\n---\nApp-ID +\nContent-ID"]:1 T1567["T1567\nExfil Over\nWeb Service\n---\nDLP\nProfiles"]:1 T1078["T1078\nValid\nAccounts\n---\nUser-ID\nEnforcement"]:1 T1566["T1566\nPhishing\n---\nURL Filtering\n(phishing block)"]:1 T1059["T1059\nCommand &\nScripting\n---\nContent-ID\nInspection"]:1 T1573["T1573\nEncrypted\nChannel\n---\nSSL/TLS\nDecryption"]:1 T1105["T1105\nIngress Tool\nTransfer\n---\nFile Blocking\n+ WildFire"]:1 space:1 style IA fill:#e74c3c,color:#fff style EX fill:#e67e22,color:#fff style CC fill:#f1c40f,color:#333 style EXF fill:#3498db,color:#fff style DE fill:#9b59b6,color:#fff style T1190 fill:#fadbd8,color:#333 style T1566 fill:#fadbd8,color:#333 style T1204 fill:#fdebd0,color:#333 style T1059 fill:#fdebd0,color:#333 style T1071 fill:#fef9e7,color:#333 style T1573 fill:#fef9e7,color:#333 style T1567 fill:#d6eaf8,color:#333 style T1105 fill:#d6eaf8,color:#333 style T1078 fill:#e8daef,color:#333 ``` | ATT&CK 技术 | ID | 作品集控制 | 实验 | |-------------------|-----|-------------------|-----| | 利用面向公众的应用 | T1190 | 漏洞防护 + 区域架构 | 实验 2, 3, SBE | | 钓鱼 | T1566 | URL Filtering(钓鱼类别阻断 | 实验 3, 5 | | 用户执行 | T1204 | WildFire 沙箱(未知文件分析) | 实验 8, SBE | | 应用层协议 | T1071 | App-ID + Content-ID 检查 | 实验 3, 5, SBE | | 加密通道 | T1573 | SSL/TLS 正向代理解密 | 实验 9, SBE | | 命令与控制 | T1071.001 | Anti-Spyware (C2 sinkholing) + EDLs | 实验 3, 5, SBE | | 入站工具传输 | T1105 | File Blocking + WildFire 分析 | 实验 3, 8, SBE | | 通过 Web 服务外渗 | T1567 | DLP 配置文件(敏感数据检测) | 实验 3, SBE | | 有效账户 | T1078 | User-ID(基于身份的强制执行) | 实验 7, SBE |
架构推理:App-ID、SSL 解密、技能递进 — 点击展开 ### App-ID 与传统基于端口的防火墙对比 为什么 App-ID 至关重要 — 同一端口承载的风险状况截然不同: | 端口 | 传统防火墙视角 | App-ID 识别结果 | 风险差异 | |------|--------------------------|-------------------|------------| | **443 (HTTPS)** | "SSL 流量 — 允许" | Dropbox, Slack, Office 365, Facebook, 恶意软件 C2, TOR | 单个“允许 HTTPS”规则在允许合法业务流量的同时,也放行了文件窃取、社交媒体和 C2 通道 | | **80 (HTTP)** | "Web 流量 — 允许" | Web 浏览, SharePoint, YouTube, 挖矿程序, Web shells | 恶意 Web shells 和挖矿程序隐藏在与业务应用相同的端口之后 | | **53 (DNS)** | "DNS — 允许" | 标准 DNS, DNS-over-HTTPS, DNS 隧道 | DNS 隧道以约 500 KB/s 的速度通过每个防火墙必须允许的端口外渗数据 | | **22 (SSH)** | "SSH — 允许" | OpenSSH, SFTP, SCP, SSH 隧道 (端口转发) | SSH 隧道通过防火墙为任意协议创建了加密旁路 | ### 加密流量 — 解密前后对比 启用和未启用 SSL 正向代理解密时 NGFW 能够检测到的威胁: | 威胁类型 | 未解密 | 使用 SSL 解密(实验 9) | |-------------|-------------------|---------------------------| | **恶意软件下载** | 不可见 — 加密的有效载荷绕过 AV | 已检测 — Content-ID 扫描解密后的有效载荷,EICAR 测试被拦截 | | **C2 信标** | 不可见 — 信标模式隐藏在 TLS 中 | 已检测 — Anti-spyware 匹配明文中的 C2 签名 | | **钓鱼页面** | 部分 — 仅通过 SNI 可见 URL 类别 | 完整 — URL 过滤检查完整的 URL 路径和页面内容 | | **数据外渗** | 不可见 — DLP 无法检查加密的上传内容 | 已检测 — DLP 模式(SSN、信用卡)在明文中匹配成功 | | **漏洞利用工具包** | 不可见 — 漏洞利用载荷被加密 | 已检测 — Vulnerability Protection 检查解密后的内容 | | **WildFire 分析** | 有限 — 无法从加密流中提取文件 | 完整 — 从解密流量中提取文件并转发至沙箱 | ### 技能递进 从第 1 周(初始访问防火墙)到第 13 周(在考试条件下完成完整的 NGFW 部署)的能力提升: ``` xychart-beta title "Cumulative Skill Domains Introduced by Week (out of 10)" x-axis ["Wk1", "Wk2", "Wk3", "Wk4", "Wk5", "Wk6", "Wk7", "Wk8", "Wk9", "Wk10", "Wk11", "Wk12", "Wk13"] y-axis "Skill Domains Introduced" 0 --> 10 line [1, 3, 3, 5, 5, 5, 7, 7, 8, 9, 10, 10, 10] ``` ``` xychart-beta title "Evidence Captured per Lab Week" x-axis ["Wk1", "Wk2", "Wk3", "Wk4", "Wk5", "Wk6", "Wk7", "Wk8", "Wk9", "Wk10", "Wk11", "Wk12", "Wk13"] y-axis "Screenshots" 0 --> 130 bar [4, 32, 0, 4, 0, 0, 30, 0, 121, 13, 15, 0, 84] ```
## 作品集概览 ``` %%{init: {'theme':'neutral'}}%% quadrantChart title Topic Coverage — Evidence Volume vs Labs Exercising the Topic x-axis Few Screenshots --> Many Screenshots y-axis 1-2 Labs --> 4+ Labs quadrant-1 Multi-Lab with Rich Evidence quadrant-2 Multi-Lab — Thinner Evidence quadrant-3 Narrow — Thin Evidence quadrant-4 Narrow — Rich Evidence SSL/TLS Decryption: [0.20, 0.25] User-ID (AD): [0.95, 0.35] Content-ID: [0.35, 0.70] Zone Architecture: [0.50, 0.90] WildFire: [0.30, 0.30] App-ID: [0.55, 0.55] EDLs / URL Filtering: [0.45, 0.30] SBE Capstone Integration: [0.85, 0.95] Firewall Management: [0.15, 0.70] ``` ### 待持续发展的领域 透明的自我评估 — 证据覆盖率较低的技能为正在积极成长的领域: | 技能差距 | 当前状态 | 发展计划 | |-----------|--------------|-----------------| | **SOC 运营** | 来自课程的理论知识;有限的实操日志分诊 | 计划建立具有 Security Onion + Palo Alto Cortex XSOAR 集成的家庭实验室;目标获取 CompTIA CySA+ | | **云安全** | 了解共享责任模型;未部署云原生防火墙 | 规划具有 Palo Alto VM-Series 云部署的 AWS/Azure 实验室;目标完成 PCCSA 云模块 | | **App-ID(证据)** | 技能已掌握但证据集中在 SBE 而非专门的实验中 | 在 SBE 毕业项目中记录了跨 6 个应用类别的 App-ID 分类行为 | ### 家庭实验室扩展 — 弥合模拟环境的差距 课程环境是学习的合适工具,但从模拟跨越到真实世界的操作需要有针对性的扩展。为缩小这一差距,计划中/进行中的家庭实验室工作包括: | 扩展 | 目的 | 状态 | |---|---|---| | 家庭网络上的 Security Onion 实例 | 捕获并分析真实的互联网边缘后台扫描,针对实时遥测进行告警分诊练习 | 规划中 | | Palo Alto VM-Series 评估许可证 | 将实验扩展到 NetLab pod 之外 — 测试升级、HA 故障转移、自定义 Panorama 模板 | 规划中 | | 威胁情报源订阅 | 将实时 IOC 输入家庭 EDL;针对真实攻击者基础设施衡量检测率 | 规划中 | | Cortex XDR 社区试用 | 将 NGFW 检测遥测桥接到真实的 SOC 工作流中 | 规划中 | | CTF 参与记录 | 对抗性思维练习 | 规划中 | 这些并非遥不可及的愿望 — 它们是将学术知识转化为专业操作经验的具体下一步。每一项都将作为后续的作品集产出物被记录。
技能矩阵、技术徽章与故障排除作品集 — 点击展开 ### 技能矩阵 | 技能 | 熟练度 | 证据 | |-------|-------------|----------| | 基于区域的安全架构 | 🟢 熟练 | 在 6 个实验 + SBE 中进行了配置;仅区域设计就有 32 张截图 | | Content-ID(7 个安全配置文件) | 🟢 熟练 | 所有 7 种配置文件类型在实验 3、5、8 中进行了配置、测试和故障排除 | | SSL/TLS 解密与证书管理 | 🟢 熟练 | 正向代理、CA 生成、信任分发、解密豁免(实验 9) | | User-ID 与 Active Directory 集成 | 🟢 熟练 | LDAP/WMI 集成、基于组的策略、121 张截图(实验 7) | | WildFire 云沙箱分析 | 🟡 已实践 | 文件转发配置文件、裁决生命周期、自动签名更新(实验 8) | | External Dynamic Lists 与威胁情报 | 🟡 已实践 | EDL 配置、URL 分类、安全搜索强制执行(实验 5) | | App-ID 应用分类 | 🟡 已实践 | 概念掌握 + SBE 部署;专门的实验证据较少 | | PAN-OS CLI 与操作命令 | 🟢 熟练 | 在所有 8 个实验中进行验证、故障排除和调试 | | 安全策略设计与 NAT | 🟢 熟练 | 累计构建 25+ 条规则;在 SBE 中包含源 NAT + 静态 NAT | | SOC 运营与威胁情报 | 🟡 已实践 | 源自课程的理论知识;应用于事件响应场景练习 | ### 技术徽章 [![PAN-OS](https://img.shields.io/badge/Palo_Alto-PAN--OS_10.x-blue?style=flat-square&logo=paloaltonetworks&logoColor=white)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/PALO_ALTO_LABS_SUMMARY.md) [![NGFW](https://img.shields.io/badge/PA--VM-Next--Gen_Firewall-0078D4?style=flat-square)](#defense-in-depth-architecture) [![App-ID](https://img.shields.io/badge/App--ID-Application_Control-2ea44f?style=flat-square)](#app-id-vs-traditional-port-based-firewalling) [![Content-ID](https://img.shields.io/badge/Content--ID-Threat_Prevention-red?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab03_Content-ID_Configuration.md) [![User-ID](https://img.shields.io/badge/User--ID-AD_Integration-purple?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.md) [![WildFire](https://img.shields.io/badge/WildFire-Zero--Day_Detection-orange?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab08_WildFire_Unknown_Malware_Detection.md) [![SSL](https://img.shields.io/badge/SSL_Decryption-Forward_Proxy-yellow?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab09_Encrypted_Traffic_Inspection.md) [![EDL](https://img.shields.io/badge/EDLs-Threat_Intel_Feeds-lightgrey?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab05_Blocking_Threats_Known_Bad_Sources.md) [![Active Directory](https://img.shields.io/badge/Active_Directory-LDAP-0078D4?style=flat-square&logo=microsoft&logoColor=white)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/assignments/Lab07_Blocking_Threats_User-ID.md) [![PCNSA](https://img.shields.io/badge/PCNSA-Content_Aligned-blue?style=flat-square)](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/SKILLS_BASED_EXAMINATION.md) ### PCNSA 内容对齐 课程内容涵盖了所有四个 PCNSA 考试领域(我*尚未*参加考试;计划在 Security+ 之后进行)。完整的领域到实验映射请参见[认证对齐](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/README.md#certification-alignment)。 ### 故障排除作品集 在所有实验中记录了 7 个系统的调试场景 — 展示了根本原因分析方法论,而不仅仅是解决方案。 请参见实验作品集中的完整[故障排除总结](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/PALO_ALTO_LABS_SUMMARY.md#troubleshooting-summary)),其中包括 7 个问题中有 3 个具有相同架构根本原因的跨领域洞察。
## 从手动实验到基础设施即代码 本作品集展示了从实操学习到生产级自动化的刻意演进: ``` %%{init: {'theme':'neutral'}}%% flowchart LR subgraph Phase1["Weeks 1–11: Learn by Doing"] Labs["8 Hands-On Labs\n(Manual Configuration)"] end subgraph Phase2["Week 13: Prove Mastery"] SBE["SBE Capstone\n(Timed Exam)"] end subgraph Phase3["Post-Course: Codify"] Py["Python Audit Tool\n(panos_security_audit.py)"] Ans["Ansible Playbook\n(baseline_security_policy.yml)"] PS["PowerShell Health Check\n(firewall_health_check.ps1)"] end Phase1 -->|"Build Skills"| Phase2 -->|"Automate"| Phase3 style Phase1 fill:#fadbd8,color:#333 style Phase2 fill:#fef9e7,color:#333 style Phase3 fill:#d5f5e3,color:#333 ``` | 工具 | 语言 | 功能 | 重要性 | |------|----------|-------------|----------------| | [`panos_security_audit.py`](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/scripts/panos_security_audit.py) | Python 3 | 根据最佳实践和风险评分审核安全策略规则 | 将手动策略审查转化为可重复、可评分的合规性检查 | | [`baseline_security_policy.yml`](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/scripts/baseline_security_policy.yml) | Ansible | 以幂等方式配置完整的 PA-VM 基线(区域、配置文件、策略、NAT) | 将整个实验 1–3 的手动过程编码为单个 playbook | | [`firewall_health_check.ps1`](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/scripts/firewall_health_check.ps1) | PowerShell | 查询 PAN-OS API 获取系统健康状况、更新状态和会话利用率 | 自动化了防火墙管理员手动执行的日常健康检查 |
量化证据(详细明细) — 点击展开 | 类别 | 指标 | 数值 | |----------|--------|-------| | **配置** | 各实验中构建的安全策略规则 | 累计 25+ 条(SBE 最终状态:整合后 5 条) | | | NAT 规则 | SBE 最终状态中 2 条(源 NAT + DMZ 静态 NAT);各实验累计 4+ 条 | | | 解密规则 | 2 条(解密 + 金融豁免) | | | 配置的 Content-ID 配置文件类型 | 7 种(AV、Anti-Spyware、Vuln Protection、URL Filtering、File Blocking、DLP、WildFire 分析) | | **威胁防御** | 涵盖的威胁类别 | 6 种(恶意软件、间谍软件/C2、漏洞利用、恶意 URL、有害文件类型、敏感数据泄露) | | | 配置的 EDL 威胁情报源 | 2+ 个(Palo Alto MDL + 自定义) | | | 转发至 WildFire 的文件类型 | 所有默认类型(PE、PDF、Office、APK、压缩包) | | **身份** | AD 集成方法 | 2 种(LDAP 用户/组查询 + Windows 安全事件日志监控) | | | 基于用户的策略规则 | 3+ 条(基于 AD 组的访问控制) | | **证据** | 配置截图 | 8 个实验 + SBE 共 303 张 | | | 实验提交(PDF + markdown) | 8 份 + SBE 毕业项目 | | | 记录的故障排除场景 | 7 个(见[故障排除作品集](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/PALO_ALTO_LABS_SUMMARY.md#troubleshooting-summary)) |
仓库导航 — 点击展开完整目录树 ``` 401-CSEC-Infrastructure/ ├── README.md # ← You are here (employer landing page) ├── portfolio/ # Publication-ready recruiter-facing subfolder │ ├── README.md # Executive summary (5-min read) │ ├── RESUME.md # Markdown résumé (render to PDF as needed) │ ├── FEATURED_LABS.md # Curated 3-lab deep-dives │ ├── SCRIPTS_SHOWCASE.md # Automation tooling with workflow diagrams │ └── config.json # Portfolio metadata (metrics + skills) ├── CC/Fall 2024/CSEC-Infrastructure-CSC-7302/ │ ├── README.md # Course showcase │ ├── WEEKLY_TOPIC_MAP.md # 13-week curriculum map │ ├── PALO_ALTO_LABS_SUMMARY.md # Lab portfolio with architecture evolution │ ├── SKILLS_BASED_EXAMINATION.md # SBE capstone + PCNSA domain mapping │ ├── WEEKS_1-6_FOUNDATION_SUMMARY.md # Foundation half synthesis │ ├── WEEKS_7-13_ADVANCED_SUMMARY.md # Advanced half synthesis │ ├── INCIDENT_RESPONSE_SCENARIOS.md # Tabletop SOC response workflows │ ├── THREAT_MODEL.md # STRIDE analysis of lab topology │ ├── EVIDENCE_INDEX.md # Full screenshot catalog (303) │ ├── assignments/ # 8 lab PDFs + markdown write-ups + SBE │ ├── configs/ # Sanitized PAN-OS configuration exports │ ├── scripts/ # Automation tooling (Python, Ansible, PowerShell) │ │ └── AUDIT_CASE_STUDY.md # Running the audit tool against SBE config │ └── screenshots/ # 303 configuration screenshots ├── docs/ │ └── CSEC-Infrastructure-CSC-7302-Fall-2024.pdf # Original course outline ├── scripts/ # Portfolio build tooling (meta) ├── templates/ # Document templates ├── .github/workflows/ # CI/CD pipelines (markdownlint, gitleaks, link-check) ├── LICENSE # MIT License ├── SECURITY.md # Responsible disclosure policy ├── ROADMAP.md # Project roadmap └── CONTRIBUTING.md # Repository conventions ```
## 作品集演练 使用上方的[招聘经理快速入门指南](#quick-start-for-hiring-managers)表格,根据您偏好的深度(5 / 15 / 30 分钟切入点)选择结构化的阅读路径。如需简明的高管摘要,请从 [portfolio/ 出版就绪子文件夹](portfolio/README.md)开始。如需文本形式的,[HTTPS 数据平面演练](#https-request--full-data-plane-walkthrough)部分提供了完整的流量流向注释,并附有配置每个步骤的实验说明。 ## 仓库治理 本仓库遵循专业的开源规范: - **[LICENSE](LICENSE)** — MIT 许可证,旨在实现最大程度的可共享性。招聘经理、面试官和学习伙伴可以自由克隆、参考和学习本作品集。 - **[SECURITY.md](SECURITY.md)** — 针对已发布脚本或文档中发现的安全问题的负责任披露政策。漏洞报告请发送至 [ross@moravec.dev](mailto:ross@moravec.dev)。 - **[CONTRIBUTING.md](CONTRIBUTING.md)** — 针对任何未来外部贡献或反馈的规范。 - **CI/CD** — GitHub Actions 工作流在每次提交时强制执行 markdownlint、链接检查 和密钥扫描。本 README 顶部的徽章反映了流水线的状态。
参考文献 — 点击展开 - [Palo Alto Networks PAN-OS 10.x 管理员指南](https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin) - [PCNSA 认证指南](https://www.paloaltonetworks.com/services/education/paloalto-networks-certified-network-security-administrator) - [NIST 网络安全框架 v2.0](https://www.nist.gov/cyberframework) - [MITRE ATT&CK — 网络防御](https://attack.mitre.org/matrices/enterprise/) 有关详细的技术参考资料,请参见[课程 README](CC/Fall%202024/CSEC-Infrastructure-CSC-7302/README.md#references)。
*Ross Moravec | CSEC 基础设施作品集*
标签:AI合规, Cambrian College, Checkov, GitHub Actions, Gitleaks, IP 地址批量处理, Markdown Lint, NGFW, Palo Alto Networks, Terraform 安全, 下一代防火墙, 云威胁分析, 企业级网络, 区级安全架构, 基于身份的访问控制, 大学课程项目, 安全架构, 密钥泄露检测, 流量解密与检测, 系统提示词, 网络基础设施, 网络安全, 网络安全实训, 网络安全工程师, 网络工程师, 自动笔记, 虚拟化环境, 防御加固, 防御绕过, 防火墙管理, 隐私保护