VMware + JunOS + Linux 搭建安全测试平台
众所周知VMareWorkStion 是一个强大的桌面型的虚拟化软件,比较可以建立Windows虚拟机、Linux虚拟机、甚至各网络操作系统,比如CISCO ASA 、Juniper SRX等。并且可以利用VMWare自身的虚拟网卡host建立不同网段来组建测试平台。下文就是就是在 VMWare上搭配Linux 系统 、Juniper SRX来模拟互联网络以及公司内部网络的,来做一个安全测试平台。当然此测试平台linux + DVWADamn Vulnerable Web Application),dvwa是一个WEB漏洞实战平台,上面有XSS、SQL注入等,关于如何测试此平台不在此讨论,大家可以参考其官网http://www.dvwa.co.uk/。本次所搭建的实验的架构图如下:
此架构比较简单,中间采用Juniper SRX防火墙(注:所有实验全部采用虚拟机方式来搭建并测试通过)。本人用了10多年的Cisco ASA防火墙,以前我一直感觉Cisco ASA防墙很吊,自多从7.X 版本升级到8.4后的版本,我开始对思科的防火墙只能说FUCK。小J给我的感觉是逻辑性比较强,有点类似模块化配置,很容易上手,当然我对小J还是小白一个,还在努力爬墙。
实验要求:
此架构分为trust(inside)区域 IP Address 172.16.100.0/24和untrust(outside)区域IP Address 10.133.83.0/24
trust(inside)区域用户也就是内部用户只能NAT方式防问互联网络,除了80、443口外其禁止;
untrust(outside)区域用户也就互联网用户只能通过NAT方式防问内部服务器的80、443口外,其它一律禁止;
本次实验因只是说明如何利用VMWare搭建各类平台,防火墙配置都比较简单。
实现的方式比较简单,即是VMWare上新建两个host主机的网络,如下图:
分别创建三个Linux虚拟主机,其中两个属于互联网,一个属于公司内部网络。互联网主机网卡联接于VMnet4网卡(172.16.100.0/24),公司内部主机网卡联接于VMnet8网卡;所有主机的网关指向实体机上所自动虚拟网卡的默认的IP,比如VMnet4的默认网关是172.16.100.1
建建一个Juniper SRX防火主机,一个网卡连接VMnet4,另一张网络连接VMnet8。
内部服务器开启WWW服务,另外建立两个网站的,如cacti、dvwa,另外此平台只是利用测试使用,故没有针对apache做一个优化处理。
简单配置防火墙 NAT设定
防火墙策略设定
防火墙路由设定
以上环境搭建完成,至于测试可以有多种命令测试是否可达,如nmap检测80端口是否开通,curl 测试网站防问是否正常。此平我只用于dvwa测试,所以可以利用kali linux上系统工具来模拟互联网用户测试某企业的网站是否有安全漏洞,比如用sqlmap来测试此平台的SQL注入、hping3来模拟网络带宽测试等。如下图:
当然中间为什么用Juniper 防火墙。用防火墙的目的,我可在防火墙上看到流量的,也可以做日志写进日志服务器去观察,当然主要还是熟悉一下小J的配置。
最终我的测试平台是这样的。仍是利用VMWare桥接进EVE-NG内部络,外部利用kali Linux的工具对内部网站进行参透测试,拿到管理权限并对内网部架构进行分析。
写在最后,VMWare平台很强大,可以根据你想像的方式搭建不同架构进行测试,如下图是我很久之前搭建两个服务器测试平台。第一个架构只利用1个host主机网络,第二个架构利用了5个host主机网络。
