HexShieldX/ShieldWatch-pfSense-Wazuh-Security-Monitoring-Lab

## ShieldWatch：pfSense 与 Wazuh 安全监控实验室 ## 概述 SentinelWall 是一个企业级风格的网络安全实验室，专注于集成 pfSense Community Edition 与 Wazuh，以模拟真实世界的安全运营中心 (SOC) 监控和威胁检测工作流。 该项目演示了在虚拟化环境中进行集中式日志收集、防火墙监控、自定义日志解析、基于 GeoIP 的流量过滤、基于 DNS 的内容阻止以及安全事件分析。 该实验室旨在加强对以下方面的实践理解： * SIEM 部署与监控 * 防火墙日志分析 * 威胁检测工作流 * 网络可见性与流量控制 * 安全事件关联 * 防御性安全运营 # 主要功能 * 将 pfSense 防火墙日志集成到 Wazuh SIEM 中 * 配置集中式 Syslog 监控 * 为 pfSense 防火墙事件创建自定义 Wazuh 解码器 * 开发用于可疑流量活动的自定义告警规则 * 使用 pfBlockerNG 实现 GeoIP 流量过滤 * 启用基于 DNSBL 的网站限制 * 测试防火墙控制和流量阻止场景 * 验证 Wazuh Manager、Indexer 和 Dashboard 服务 * 模拟 SOC 监控和告警分析工作流 # 实验室环境 | 组件 | IP 地址 | | ----------------- | -------------- | | pfSense 防火墙 | 192.168.10.1 | | Kali Linux | 192.168.10.101 | | Wazuh SIEM 服务器 | 192.168.10.102 | # 使用的技术 * pfSense Community Edition * Wazuh * VMware Workstation * Linux * Syslog * pfBlockerNG * MaxMind GeoIP * XML 规则与解码器配置 # Wazuh 集成 pfSense 防火墙日志通过 UDP 端口 514 上的 Syslog 转发到 Wazuh Manager，以进行集中监控和分析。 ### Wazuh 服务验证 ``` systemctl status wazuh-manager systemctl status wazuh-indexer systemctl status wazuh-dashboard ``` ### 重启服务 ``` systemctl start wazuh-manager ``` # 自定义解码器开发 开发了自定义解码器以解析 pfSense 防火墙日志并提取关键网络字段： * 源 IP * 目标 IP * 源端口 * 目标端口 ### 解码器配置 ``` filterlog pfsense-custom ^.*filterlog:.* (\d+\.\d+\.\d+\.\d+),(\d+\.\d+\.\d+\.\d+),(\d+),(\d+).*$ srcip,dstip,srcport,dstport ``` # 自定义检测规则 创建了专用的 Wazuh 规则以检测： * 被阻止的防火墙流量 * 允许的连接 * 重复的拒绝事件 * 可疑的网络行为 ### 规则文件 ``` pfsense_rules.xml ``` # pfBlockerNG 安全控制 使用以下方式实现高级流量过滤： * 基于 GeoIP 的国家/地区阻止 * 威胁情报源 * DNSBL 域名过滤 ### 威胁源 * Spamhaus DROP * ET Block * Abuse_Feodo_C2 * CINS Army ### GeoIP 策略 使用以下内容配置了区域流量限制： ``` Deny Both ``` 以阻止入站和出站通信。 # DNSBL 网站过滤 通过 DNSBL 限制对所选平台的访问： ``` facebook.com instagram.com youtube.com googlevideo.com ``` # 防火墙测试与验证 ## ICMP 流量阻止 创建了 LAN 防火墙规则以阻止来自所选主机的 ICMP 流量，并验证了成功的数据包丢弃。 ## GeoIP 过滤验证 使用 curl 和基于 ping 的测试方法，针对被阻止的区域 IP 执行了连接测试，以验证出站流量限制。 # 展示技能 * SIEM 管理 * 防火墙配置 * 日志管理 * 威胁检测工程 * 安全监控 * 网络流量分析 * 规则与解码器开发 * SOC 运营基础 * 防御性安全实践 # 作者 ## Arshman Abbas LinkedIn： [LinkedIn 个人主页](https://www.linkedin.com/in/arshman-abbas-89a95732a/?utm_source=chatgpt.com) # 许可证 根据 MIT 许可证授权。

标签：AMSI绕过, DNSBL, GeoIP, IP 地址批量处理, MaxMind, PB级数据处理, pfBlockerNG, pfSense, Syslog, VMware, Wazuh, 威胁检测, 安全事件分析, 安全实验室, 安全运维, 实验环境, 密码管理, 日志转发, 流量监控, 网站拦截, 网络安全, 自动化扫描, 自定义规则, 虚拟化, 解码器, 防火墙, 隐私保护