jasserv/SecOps-Lab-Enterprise-Network-Segmentation-Threat-Detection-on-Proxmox-VE
GitHub: jasserv/SecOps-Lab-Enterprise-Network-Segmentation-Threat-Detection-on-Proxmox-VE
该项目在 Proxmox VE 上构建了一个双防火墙、多区域分段的企业网络安全实验室,集成 IDS 和 SIEM 实现攻击模拟、威胁检测和自动化告警分诊的完整流程。
Stars: 0 | Forks: 0
# SecOps-实验室-企业-网络-分段-Proxmox-VE-上的-威胁-检测
在 Proxmox VE 上使用 OPNsense、FortiGate-VM、Suricata IDS 和 Wazuh SIEM 构建了一个分段的企业安全实验室。从 Kali Linux 跨越隔离的网络区域模拟了真实的攻击,使用 Python 自动化处理告警分类,并生成了事件响应文档。
# 企业级双防火墙分段实验室与检测工程流水线
## 执行摘要
本项目展示了托管在单节点 hypervisor 上的高度分段企业网络环境的架构、部署和验证。该实验室采用双防火墙拓扑(边界防火墙和内部防火墙),旨在模拟企业基础设施,包含一个隔离的攻击者区域,以及一个受网络入侵检测系统(NIDS)和集中式安全信息和事件管理(SIEM)pipeline 保护的企业专用区域。
该环境的主要目标是安全地模拟高级对手的战术和技术(MITRE ATT&CK),并工程化构建健壮且自定义的检测逻辑来识别它们。
## 网络架构
该基础设施利用明确的硬件/软件隔离,通过不同的虚拟交换机(Linux Bridges)来实施严格的边界控制。
* **`vmbr0` (WAN):** 外部桥接,为边界提供真实的互联网连接。
* **`vmbr1` (攻击者区域):** 包含对抗工具包(Kali Linux)的隔离网段,与企业网络完全解耦。
* **`vmbr2` (DMZ / 过渡区域):** 位于边界防火墙和内部防火墙之间的高度受控缓冲区。
* **`vmbr3` (CORP 区域):** 最深层的内部网段,容纳受保护的企业资产、NIDS 引擎和 SIEM 索引器。
## 硬件与系统规格
* **宿主机 CPU:** AMD Ryzen 5 7600X (6 核心 / 12 线程)
* **宿主机内存:** 32 GB DDR5 6000MHz
* **宿主机存储:** 256 GB NVMe SSD (通过 Thin Provisioning 和 Discard 标志进行优化)
* **Hypervisor:** Proxmox VE
## 实验室组件清单
| 虚拟机名称 | 角色 | 操作系统 | vCPU | 内存 | 分配的网桥 |
| :--- | :--- | :--- | :--- | :--- | :--- |
| **OPNsense** | 边界防火墙 | FreeBSD (UFS) | 2 核心 | 2 GB | `vmbr0` (WAN), `vmbr1` (LAN/攻击者), `vmbr2` (OPT1/DMZ) |
| **FortiGate VM** | 内部防火墙 | FortiOS | 1 核心 | 2 GB | `vmbr2` (DMZ), `vmbr3` (CORP) |
| **Ubuntu Server** | SIEM / NIDS | Ubuntu Server LTS | 4 核心 | 12 GB | `vmbr3` (CORP) |
| **Kali Linux** | 攻击者 | Kali Linux | 2 核心 | 4 GB | `vmbr1` (攻击者) |
## 项目里程碑与产出物
### 第一天:宿主基础设施与边界设置
*以下产出物验证了 hypervisor 和边界网关的基础配置。*
**1. Hypervisor 存储优化**
* **产出物:** `https://kommodo.ai/i/ZZhxYJR1mHpyOs23dn7u`
* **背景:** 为了确保宿主机 256GB NVMe SSD 的使用寿命和性能,OPNsense 虚拟磁盘配置了 `Discard` 标志。这允许客户操作系统向 hypervisor 发出 TRIM 命令,防止存储耗尽并保持闪存介质上的最佳写入速度。
**2. 多宿主边界网关配置**
* **产出物:** `https://kommodo.ai/i/iGI1vOXQvbLCaAZVBBMY`
* **背景:** OPNsense 被部署为具有三个独立虚拟网络接口的边界防火墙。消费级默认设置被弃用,转而采用企业级路由原则:
* **WAN (`vtnet0`):** 上游 DHCP
* **LAN (`vtnet1`):** `172.16.1.1/24` (攻击者网关)
* **OPT1 (`vtnet2`):** `10.0.0.1/24` (DMZ 网关)
**3. 虚拟交换矩阵映射**
* **产出物:** `https://kommodo.ai/i/VUlotei5US334yKTBsig`
* **背景:** 此映射验证了环境的逻辑隔离。攻击者区域、DMZ 和物理互联网之间的流量均通过 Proxmox Linux Bridges(`vmbr0`、`vmbr1`、`vmbr2`、`vmbr3`)严格执行,确保没有任何内部串扰绕过防火墙的检测引擎。
标签:Metaprompt, TGT, 安全实验室, 攻防演练, 网络分段, 逆向工具