VMware + JunOS + Linux 搭建安全測試平臺

   眾所周知VMareWorkStion 是一個強大的桌面型的虛擬化軟件，比較可以建立Windows虛擬機、Linux虛擬機、甚至各網(wǎng)絡(luò)操作系統(tǒng)，比如CISCO ASA 、Juniper SRX等。并且可以利用VMWare自身的虛擬網(wǎng)卡host建立不同網(wǎng)段來組建測試平臺。下文就是就是在 VMWare上搭配Linux 系統(tǒng) 、Juniper SRX來模擬互聯(lián)網(wǎng)絡(luò)以及公司內(nèi)部網(wǎng)絡(luò)的，來做一個安全測試平臺。當然此測試平臺linux + DVWADamn Vulnerable Web Application），dvwa是一個WEB漏洞實戰(zhàn)平臺，上面有XSS、SQL注入等，關(guān)于如何測試此平臺不在此討論，大家可以參考其官網(wǎng)http://www.dvwa.co.uk/。本次所搭建的實驗的架構(gòu)圖如下：

   此架構(gòu)比較簡單，中間采用Juniper SRX防火墻(注：所有實驗全部采用虛擬機方式來搭建并測試通過)。本人用了10多年的Cisco ASA防火墻，以前我一直感覺Cisco ASA防墻很吊，自多從7.X 版本升級到8.4后的版本，我開始對思科的防火墻只能說FUCK。小J給我的感覺是邏輯性比較強，有點類似模塊化配置，很容易上手，當然我對小J還是小白一個，還在努力爬墻。

   實驗要求： 

• 此架構(gòu)分為trust(inside)區(qū)域 IP Address 172.16.100.0/24和untrust(outside)區(qū)域IP Address 10.133.83.0/24

• trust(inside)區(qū)域用戶也就是內(nèi)部用戶只能NAT方式防問互聯(lián)網(wǎng)絡(luò)，除了80、443口外其禁止；

• untrust(outside)區(qū)域用戶也就互聯(lián)網(wǎng)用戶只能通過NAT方式防問內(nèi)部服務(wù)器的80、443口外，其它一律禁止；

• 本次實驗因只是說明如何利用VMWare搭建各類平臺，防火墻配置都比較簡單。

  
  

1.   實現(xiàn)的方式比較簡單，即是VMWare上新建兩個host主機的網(wǎng)絡(luò)，如下圖:

   
   

2. 分別創(chuàng)建三個Linux虛擬主機，其中兩個屬于互聯(lián)網(wǎng)，一個屬于公司內(nèi)部網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)主機網(wǎng)卡聯(lián)接于VMnet4網(wǎng)卡（172.16.100.0/24)，公司內(nèi)部主機網(wǎng)卡聯(lián)接于VMnet8網(wǎng)卡；所有主機的網(wǎng)關(guān)指向?qū)嶓w機上所自動虛擬網(wǎng)卡的默認的IP,比如VMnet4的默認網(wǎng)關(guān)是172.16.100.1

3. 建建一個Juniper SRX防火主機，一個網(wǎng)卡連接VMnet4,另一張網(wǎng)絡(luò)連接VMnet8。

4. 內(nèi)部服務(wù)器開啟WWW服務(wù)，另外建立兩個網(wǎng)站的，如cacti、dvwa，另外此平臺只是利用測試使用，故沒有針對apache做一個優(yōu)化處理。

   
   

5. 簡單配置防火墻 NAT設(shè)定

   

6. 防火墻策略設(shè)定
   

   

7. 防火墻路由設(shè)定

   

8. 以上環(huán)境搭建完成，至于測試可以有多種命令測試是否可達，如nmap檢測80端口是否開通，curl 測試網(wǎng)站防問是否正常。此平我只用于dvwa測試，所以可以利用kali linux上系統(tǒng)工具來模擬互聯(lián)網(wǎng)用戶測試某企業(yè)的網(wǎng)站是否有安全漏洞，比如用sqlmap來測試此平臺的SQL注入、hping3來模擬網(wǎng)絡(luò)帶寬測試等。如下圖：

   

9. 當然中間為什么用Juniper 防火墻。用防火墻的目的，我可在防火墻上看到流量的，也可以做日志寫進日志服務(wù)器去觀察，當然主要還是熟悉一下小J的配置。

10. 最終我的測試平臺是這樣的。仍是利用VMWare橋接進EVE-NG內(nèi)部絡(luò)，外部利用kali Linux的工具對內(nèi)部網(wǎng)站進行參透測試，拿到管理權(quán)限并對內(nèi)網(wǎng)部架構(gòu)進行分析。

    
    

    寫在最后，VMWare平臺很強大，可以根據(jù)你想像的方式搭建不同架構(gòu)進行測試，如下圖是我很久之前搭建兩個服務(wù)器測試平臺。第一個架構(gòu)只利用1個host主機網(wǎng)絡(luò)，第二個架構(gòu)利用了5個host主機網(wǎng)絡(luò)。