StarlinGmz/Corporate-DMZ-NAT-ACLs
GitHub: StarlinGmz/Corporate-DMZ-NAT-ACLs
基于 Cisco IOS 的企业网络边界安全架构,通过 DMZ 分段、NAT/PAT 和扩展 ACL 实现公共服务与内部网络的隔离防护。
Stars: 0 | Forks: 0
# 边界安全架构:DMZ、NAT 和 ACL 过滤
## 📌 概要
专注于防御性安全的企业网络拓扑设计与实施。本项目模拟了将公共 Web 应用程序(电子商务目录)与内部网络基础设施(LAN)进行隔离,在保障对外服务可用性的同时,降低服务器一旦被攻破后攻击者进行网络节点渗透的风险。
## 🏗️ 架构图
## 🛡️ 实施的安全与路由策略
* **隔离区 (DMZ):** 将公共 Web 服务器(HTTP/HTTPS)进行物理和逻辑上的分割,置于一个隔离的子网中,将其与内部运营环境分开。
* **动态和静态网络地址转换 (NAT):**
* **PAT (Overload):** 配置将所有员工发往互联网的出口流量伪装在单一的公共 IP 地址下。
* **端口转发 (Port Forwarding):** 静态规则将端口 80(公共)的传入请求专门重定向到 DMZ 中的服务器,保护路由器免受未经授权的访问。
* **访问控制列表(扩展 ACL):** * 实施了**显式拒绝**策略,拦截从 DMZ 到 LAN 的流量,作为一个无状态防火墙 (firewall) 来阻止横向移动攻击。
* 实施了允许 ICMP 响应的例外规则,确保内部 IT 人员能够对服务器进行审计。
## 🔬 审计与概念验证 (PoC)
### 1. 恶意流量拦截 (ACL Matches)
演示路由器如何拦截来自 DMZ 服务器试图入侵运营计算机的尝试。
### 2. 活动的 NAT 转换表
验证私有 IP 在离开去往 WAN 时的伪装情况。
### 3. 公共访问成功
模拟外部客户端通过端口转发使用公共 IP 访问 Web 目录。
## 💻 配置片段 (CLI)
**NAT 端口转发 (公共访问 DMZ):**
```
Router(config)# ip nat inside source static tcp 192.168.20.10 80 203.0.113.1 80
```
**ACL 100:防止横向移动:**
```
! Excepción para permitir el diagnóstico (Ping)
Router(config)# access-list 100 permit icmp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 echo-reply
! Bloqueo estricto hacia la red operativa
Router(config)# access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
! Permiso de salida a Internet
Router(config)# access-list 100 permit ip any any
```
**将规则分配给接口:**
```
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group 100 in
```
## 🛠️ 应用的技术
* Cisco IOS CLI
* 网络分段 (Subnetting)
* 扩展访问控制列表
* NAT / PAT / 端口转发
*本项目作为我在网络管理和基础设施安全领域的实践作品集的一部分而开发。*
## 🛡️ 实施的安全与路由策略
* **隔离区 (DMZ):** 将公共 Web 服务器(HTTP/HTTPS)进行物理和逻辑上的分割,置于一个隔离的子网中,将其与内部运营环境分开。
* **动态和静态网络地址转换 (NAT):**
* **PAT (Overload):** 配置将所有员工发往互联网的出口流量伪装在单一的公共 IP 地址下。
* **端口转发 (Port Forwarding):** 静态规则将端口 80(公共)的传入请求专门重定向到 DMZ 中的服务器,保护路由器免受未经授权的访问。
* **访问控制列表(扩展 ACL):** * 实施了**显式拒绝**策略,拦截从 DMZ 到 LAN 的流量,作为一个无状态防火墙 (firewall) 来阻止横向移动攻击。
* 实施了允许 ICMP 响应的例外规则,确保内部 IT 人员能够对服务器进行审计。
## 🔬 审计与概念验证 (PoC)
### 1. 恶意流量拦截 (ACL Matches)
演示路由器如何拦截来自 DMZ 服务器试图入侵运营计算机的尝试。
### 2. 活动的 NAT 转换表
验证私有 IP 在离开去往 WAN 时的伪装情况。
### 3. 公共访问成功
模拟外部客户端通过端口转发使用公共 IP 访问 Web 目录。
## 💻 配置片段 (CLI)
**NAT 端口转发 (公共访问 DMZ):**
```
Router(config)# ip nat inside source static tcp 192.168.20.10 80 203.0.113.1 80
```
**ACL 100:防止横向移动:**
```
! Excepción para permitir el diagnóstico (Ping)
Router(config)# access-list 100 permit icmp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 echo-reply
! Bloqueo estricto hacia la red operativa
Router(config)# access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
! Permiso de salida a Internet
Router(config)# access-list 100 permit ip any any
```
**将规则分配给接口:**
```
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group 100 in
```
## 🛠️ 应用的技术
* Cisco IOS CLI
* 网络分段 (Subnetting)
* 扩展访问控制列表
* NAT / PAT / 端口转发
*本项目作为我在网络管理和基础设施安全领域的实践作品集的一部分而开发。*标签:Cisco, NAT与端口转发, PE 加载器, 插件系统, 网络安全, 网络架构, 网络模拟, 防火墙与访问控制, 隐私保护