VMware + JunOS + Linux 搭建安全测试平台

hb_sz

　　众所周知VMareWorkStion 是一个强大的桌面型的虚拟化软件，比较可以建立Windows虚拟机、Linux虚拟机、甚至各网络操作系统，比如CISCO ASA 、Juniper SRX等。并且可以利用VMWare自身的虚拟网卡host建立不同网段来组建测试平台。下文就是就是在 VMWare上搭配Linux 系统 、Juniper SRX来模拟互联网络以及公司内部网络的，来做一个安全测试平台。当然此测试平台linux + DVWADamn Vulnerable Web Application），dvwa是一个WEB漏洞实战平台，上面有XSS、SQL注入等，关于如何测试此平台不在此讨论，大家可以参考其官网http://www.dvwa.co.uk/。本次所搭建的实验的架构图如下：

　　此架构比较简单，中间采用Juniper SRX防火墙(注：所有实验全部采用虚拟机方式来搭建并测试通过)。本人用了10多年的Cisco ASA防火墙，以前我一直感觉Cisco ASA防墙很吊，自多从7.X 版本升级到8.4后的版本，我开始对思科的防火墙只能说FUCK。小J给我的感觉是逻辑性比较强，有点类似模块化配置，很容易上手，当然我对小J还是小白一个，还在努力爬墙。
　　实验要求：

• 　　此架构分为trust(inside)区域 IP Address 172.16.100.0/24和untrust(outside)区域IP Address 10.133.83.0/24
  
• 　　trust(inside)区域用户也就是内部用户只能NAT方式防问互联网络，除了80、443口外其禁止；
  
• 　　untrust(outside)区域用户也就互联网用户只能通过NAT方式防问内部服务器的80、443口外，其它一律禁止；
  
• 　　本次实验因只是说明如何利用VMWare搭建各类平台，防火墙配置都比较简单。
  　　
  
  

• 　　实现的方式比较简单，即是VMWare上新建两个host主机的网络，如下图:
  
  
  
  
  
• 　　分别创建三个Linux虚拟主机，其中两个属于互联网，一个属于公司内部网络。互联网主机网卡联接于VMnet4网卡（172.16.100.0/24)，公司内部主机网卡联接于VMnet8网卡；所有主机的网关指向实体机上所自动虚拟网卡的默认的IP,比如VMnet4的默认网关是172.16.100.1
  
• 　　建建一个Juniper SRX防火主机，一个网卡连接VMnet4,另一张网络连接VMnet8。
  
• 　　内部服务器开启WWW服务，另外建立两个网站的，如cacti、dvwa，另外此平台只是利用测试使用，故没有针对apache做一个优化处理。
  
  
  
  
  
• 　　简单配置防火墙 NAT设定
  
  
  
  
• 　　防火墙策略设定
  
  
  
  
  
• 　　防火墙路由设定
  
  
  
  
• 　　以上环境搭建完成，至于测试可以有多种命令测试是否可达，如nmap检测80端口是否开通，curl 测试网站防问是否正常。此平我只用于dvwa测试，所以可以利用kali linux上系统工具来模拟互联网用户测试某企业的网站是否有安全漏洞，比如用sqlmap来测试此平台的SQL注入、hping3来模拟网络带宽测试等。如下图：
  
  
  
  
• 　　当然中间为什么用Juniper 防火墙。用防火墙的目的，我可在防火墙上看到流量的，也可以做日志写进日志服务器去观察，当然主要还是熟悉一下小J的配置。
  
• 　　最终我的测试平台是这样的。仍是利用VMWare桥接进EVE-NG内部络，外部利用kali Linux的工具对内部网站进行参透测试，拿到管理权限并对内网部架构进行分析。
  
  
  
  
  

　　写在最后，VMWare平台很强大，可以根据你想像的方式搭建不同架构进行测试，如下图是我很久之前搭建两个服务器测试平台。第一个架构只利用1个host主机网络，第二个架构利用了5个host主机网络。