yogku/DevSecOps-Testing-Lab
GitHub: yogku/DevSecOps-Testing-Lab
一个企业级三层隔离实验室,在Cisco Packet Tracer中构建「数字洁净室」以安全执行恶意软件分析与DevSecOps验证。
Stars: 0 | Forks: 0
# 安全 DevSecOps 测试实验室
一个企业级三层网络隔离实验室,专为**安全恶意软件分析、软件测试和漏洞评估**而设计。
本仓库提供架构、配置和验证步骤,用于在 Cisco Packet Tracer 中部署一个**"数字洁净室"**。
## 1. 概述
复杂网络威胁的快速演进要求组织改变软件开发和安全测试的方式。
该实验室创建了一个**不可变的安全边界**,可以在其中安全地执行潜在有害代码——而不会对生产环境造成风险。
### 关键特性
- **三层分段**
生产、测试和 DMZ 区域的逻辑隔离
- **零信任 ACL**
基于最小权限原则的细粒度流量过滤
- **审计日志**
实时记录未授权访问尝试
- **可扩展蓝图**
兼容物理硬件和云沙箱环境
## 2. 网络架构
环境分为三个隔离段以防止交叉污染:
| 网络区域 | 子网 | CIDR | 默认网关 | 用途 |
|----------|--------------|------|----------|-----------------------------------|
| 生产 | 192.168.10.0 | /24 | 192.168.10.1 | 关键企业资产 |
| 测试 | 192.168.20.0 | /24 | 192.168.20.1 | 高风险沙箱 / 恶意软件分析 |
| DMZ | 192.168.30.0 | /24 | 192.168.30.1 | 共享更新与日志存储库 |
### 逻辑拓扑图
```
[Testing (192.168.20.x)] <--> [R1-Firewall] <--> [Production (192.168.10.x)]
^
|
[DMZ (192.168.30.x)]
```
## 3. 快速开始
### 先决条件
- **软件:** Cisco Packet Tracer(v8.2.x 或更高版本)
- **知识:** 熟悉 Cisco IOS CLI
### 安装与设置
#### 1. 克隆仓库
```
git clone git@github.com:yogku/DevSecOps-Testing-Lab-.git
```
#### 2. 打开实验室
* 启动 Cisco Packet Tracer
* 打开本仓库中包含的 `.pkt` 文件
### 3. 应用防火墙配置
#### 配置 ACL 110
```
R1-Firewall(config)# access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 log
R1-Firewall(config)# access-list 110 permit ip any any
```
#### 将 ACL 应用于测试接口(入站)
```
R1-Firewall(config)# interface gigabitethernet 0/0
R1-Firewall(config-if)# ip access-group 110 in
```
### 4. 配置路由(R2-Core)
```
ip route 192.168.10.0 255.255.255.0 10.0.0.1
ip route 192.168.20.0 255.255.255.0 10.0.0.1
ip route 192.168.30.0 255.255.255.0 10.0.0.1
```
## 4. 使用与验证
执行以下测试以验证功能:
| 测试类型 | 源 | 目标 | 预期结果 |
|--------------|-------------|--------------|-------------------|
| 连通性 | 测试 PC | DMZ 服务器 | 成功 Ping |
| 连通性 | 生产 PC | DMZ 服务器 | 成功 Ping |
| 安全检查 | 测试 PC | 生产 PC | 请求超时(被阻断) |
| 审计检查 | R1 控制台 | N/A | 生成日志条目 |
### 📊 监控日志
查看实时防火墙日志:
```
%SEC-6-IPACCESSLOGP: list 110 denied ip 192.168.20.2 -> 192.168.10.2 (1 packet)
```
## 5. 故障排除
### 常见问题
* **路由不对称**
* 确保 ACL 110 末尾存在 `permit ip any any`
* **ACL 方向**
* 在测试接口(Gig0/0)上**入站**应用 ACL
* **接口状态**
* 确保所有接口处于:
no shutdown
## 📄 许可证与维护
作为**开源安全研究项目**维护。
标签:AES-256, Cisco Packet Tracer, DAST, DevSecOps, DMZ, JSONLines, 三段式架构, 上游代理, 不可变边界, 企业级安全测试, 安全软件测试, 安全隔离, 审计日志, 恶意软件分析, 数字洁净室, 最小权限原则, 沙箱环境, 测试环境, 漏洞评估, 生产环境隔离, 网络分段, 网络安全, 访问控制列表, 隐私保护, 零信任