Musa3w/SOC-Network-Security-Lab

GitHub: Musa3w/SOC-Network-Security-Lab

该项目是一个基于 VMware 的企业级 SOC 与网络安全实验室,集成了 OPNsense 防火墙、Windows Server AD 和 Splunk SIEM,用于演示网络分段、集中身份管理和安全日志分析与威胁检测。

Stars: 1 | Forks: 0

# 🛡️ 企业级 SOC 与网络安全架构 ## 📌 项目概述 本仓库记录了从零开始构建的企业级安全运营中心 (SOC) 和网络安全实验室的架构、实现与分析。 该实验室在隔离的、气隙式的 VMware Workstation 环境中运行,演示了使用 OPNsense Firewall 进行企业网络分段、通过 Windows Server Active Directory 进行集中式身份管理,以及使用 Splunk Enterprise SIEM 进行集中式日志收集、摄取和分析。 ## 🏗️ 完整架构与工作流 该环境围绕企业安全原则设计,包括网络分段、集中式身份验证和集中式日志管理。OPNsense 作为主要的安全网关,而 Splunk 则为整个环境中的安全事件提供全面的可见性。 ![完整架构与工作流](https://raw.githubusercontent.com/Musa3w/SOC-Network-Security-Lab/main/architecture.png) ### 1. 基础设施与域骨干 网络被划分为专用的安全区域,OPNsense 作为中央防火墙和网关。Windows Server 管理 Active Directory 基础设施,允许企业端点通过集中式域进行身份验证。 #### 步骤 1:域控制器验证 该基础设施建立在 Windows Server 上运行的 Active Directory Domain Services (AD DS)、DNS 和 DHCP 之上,成功管理着 APPLE.LOCAL 域。 ![域控制器验证](https://static.pigsec.cn/wp-content/uploads/repos/cas/6d/6daf92004860ac782102777b20863c8861d06963615ac3f14084e45b4369d46f.png) #### 步骤 2:端点集成 企业工作站 (CLIENT-10) 已成功加入 APPLE.LOCAL 域,提供集中式的身份验证和身份管理。 ![端点集成](https://static.pigsec.cn/wp-content/uploads/repos/cas/d9/d95d994e040724f1344dea811ef6d3803cbc37499014777bcf5be2ff8252a356.png) ### 2. 日志管理与数据摄取 为了实现集中式可见性,OPNsense 和 Windows 系统生成的安全日志将被收集并摄取到 Splunk Enterprise 中。 #### 步骤 1:交互式字段提取 OPNsense 生成的原始 Syslog 事件在 Splunk 中使用交互式字段提取器 (IFX) 结合自定义正则表达式进行解析,以提取有意义的安全字段。 ![交互式字段提取](https://static.pigsec.cn/wp-content/uploads/repos/cas/ff/ffef683f4c309bcff1a9dae4587c79b9404766432a70e540683b2821e2ce4e08.png) #### 步骤 2:结构化安全字段 日志处理 pipeline 成功将原始日志事件标准化为可搜索的安全字段,包括防火墙操作、网络接口 (em1)、TCP 标志 (tcp_flag=S)、源 IP 地址、目标端口和协议信息。 ![结构化安全字段](https://static.pigsec.cn/wp-content/uploads/repos/cas/49/490a6157ad7e7e6a6c8bc355f0586aeb68d7b9713cda4db99872c169f69fe682.png) ### 3. 威胁模拟与防御控制 为了验证安全架构,从外部的 Kali Linux 机器生成了模拟攻击和侦测流量。 #### 步骤 1:流量阻断验证 从攻击者机器 (192.168.1.50) 发起未经授权的连接尝试 (curl -v)。防火墙立即阻止了该请求,导致连接超时。 ![流量阻断验证](https://static.pigsec.cn/wp-content/uploads/repos/cas/d8/d88407a0cc23f2b5d6188aff8739746d5fb6aa0e3dfb8ec40032e68d5ccf64b4.png) #### 步骤 2:实时防火墙监控 被阻止的连接尝试会立即记录在 OPNsense 实时视图中,证明了边界安全策略的成功执行。 ![实时防火墙监控](https://static.pigsec.cn/wp-content/uploads/repos/cas/d5/d5507fd41e7dba8f1006477d40b697c74ebe807c6980dbda74974583831719db.png) #### 步骤 3:防火墙策略执行 流量过滤是通过在 OPNsense 上配置专用的“Block Others from GUI”防火墙规则来执行的。 ![防火墙策略执行](https://static.pigsec.cn/wp-content/uploads/repos/cas/ca/ca8e21c0610293fe171d1ee375e3766e37d859c1ca06699951e10cbd56a2e963.png) ### 4. 安全监控仪表板 从基础设施收集的所有安全事件都集中在 Splunk Enterprise 中,并通过企业安全仪表板进行可视化。 该仪表板为 Blue Team 操作提供可操作的可见性: * **被阻止的攻击总数:** 显示被阻止的防火墙事件总数 (214)。 * **前 5 名攻击者 IP 地址:** 识别生成被阻止流量的最活跃源 IP 地址。 * **随时间变化的被阻止攻击:** 可视化展示监控时间段内的攻击频率和趋势。 ![安全监控仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/7b/7b0da81586f8479a4684a4aaa16679db5bfa9cdf6eb6ec4c3754b855daa28880.png) ## 🛠️ 使用的技术 * **SIEM:** Splunk Enterprise * **防火墙与网络安全:** OPNsense Firewall * **身份与访问管理:** Windows Server Active Directory (AD DS, DNS, DHCP) * **端点平台:** Windows 10 Enterprise * **攻击模拟:** Kali Linux * **虚拟化:** VMware Workstation ## 🚀 部署指南 要重现此实验室环境: 1. 使用 VMware Workstation 配置隔离的 Host-Only 网络。 2. 部署具有独立 WAN 和 LAN 接口的 OPNsense。 3. 安装 Windows Server 并将其提升为 APPLE.LOCAL 域的 Domain Controller。 4. 将 Windows 10 客户端加入 Active Directory 域。 5. 安装 Splunk Enterprise 并配置 Syslog 接收器。 6. 将 OPNsense Syslog 事件转发到 Splunk。 7. 为防火墙事件创建自定义字段提取(例如 src_ip、dest_port、tcp_flag)。 8. 从 Kali Linux 生成测试流量,并验证 OPNsense 和 Splunk 仪表板中是否均捕获到了安全事件。 ## 👤 作者 **Anar Musayev** * [GitHub 主页](https://github.com/Musa3w) * [LinkedIn 主页](https://www.linkedin.com/in/anarmusayev-/)
标签:OPNsense, VMware, Windows Server, 安全运营中心, 网络安全实验环境, 网络映射