最近斥巨资组了一台主机,只是用来打游戏感觉有些浪费。于是便准备搭一套可以应对多网络规则的渗透环境。
装机、装系统、装vmware不在本文的讨论范围内,本文将会重点关注eve的安装调试及其环境的搭建。
一、基础设施
1、硬件
-
i5-12600kf
-
64G内存
-
1T的固态
-
3070Ti-8G
2、软件、资源
-
vmware
-
eve-ng模拟器
-
操作系统镜像windows、Linux
-
virtio-win驱动
-
各种环境的软件包、源码
二、eve-ng的安装和配置
01、获取eve-ng
此处推荐懒人版eve,因为其中已经有很多常用的网络设备了。推荐下载链接(懒人版):
https://www.emulatedlab.com/thread-489-1-1.html*左右滑动查看更多
这里备忘一下设备密码信息:
asav:进特权模式必须先设置密码
veos:账号为admin 直接回车
山石:账号密码均为hillstone 登陆后需要用户修改密码(必须满足复杂度要求:至少8位,必须包含大小写字母、数字、特殊符号)
华为ar1000v:需要自行设置账号密码
华为usg6kv:账号为admin 直接回车
Routeros:账号为admin密码为空直接回车
锐捷镜像enable密码:ruijie (注意AMD处理器有问题,镜像会经常重启,Intel处理器正常)
N9K 账号密码均为:admin
XRV 账号密码需要用户自行设置
Juniper VMX 镜像用户名:root
Juniper vSRX30 镜像用户名为 :root
Juniper VQFX 镜像用户名:root 密码:Juniper
FortiGate 账号为admin 密码为空直接回车
下载完成后直接导入vmware虚拟机,并将网卡修改为桥接。
注:虽然懒人版中已经集成了很多设备,但是我们的目标是搭建渗透测试环境,所以还需要自己手动制作一些操作系统。
这里开始自制eve中的操作系统:分别以centos7和windows7为例。
02、制作Linux节点
以centos7为例:
往虚拟机中导入centos7镜像,这里采用vmware共享文件夹的方式,将我们所需的系统镜像放入共享文件夹中。
注:
如果添加共享文件夹之后虚拟机(eve)中无法找到挂载的共享文件夹,键入以下命令:
vmhgfs-fuse .host:/ /mnt/hgfs/
然后就可以在/mnt/hgfs/下看到共享文件夹了。
1、创建镜像文件夹:
/opt/unetlab/addons/qemu/linux-centos7
并且将镜像放入该文件夹下,命名为cdrom.iso。
注意这里文件夹必须以linux-开头,否则eve无法识别到!镜像名称必须为cdrom.iso,否则等下装系统的时候eve无法识别到iso!
cd /opt/unetlab/addons/qemu/mkdir linux-centos7cp /mnt/hgfs/share/centos7.iso linux-centos7/cdrom.iso*左右滑动查看更多
2、新建qemu虚拟机磁盘:
qemu-img create -f qcow2 virtioa.qcow2 20Gqemu-img info xxx.qcow2 # 查看当前镜像信息qemu-img resize xxx.qcow2 +xG(需要增加的容量) # 如果觉得容量小可以加容量# 刷新下权限unl_wrapper -a fixpermissions*左右滑动查看更多 3、在eve网页端新建一个lab,并在lab中新建一个linux-centos7节点:
|
|
4、开机,进入vnc一步一步装好系统,装完了之后将eve中的cdrom.iso重命名例如cdrom.iso.bak并将节点关机。
注:
修改iso镜像名称是防止下次进入节点的时候仍然从安装镜像引导。
5、eve虚拟机中提交镜像:
cd /opt/unetlab/tmp/<uid>/<labid>/<computer_id># 例如:cd /opt/unetlab/tmp/0/92ce10ec-2f01-4b6b-b4f5-877a5a2c458c/5/# 然后提交qemu-img commit virtioa.qcow2*左右滑动查看更多
值得一提的是,computer_id对应的是web界面中右键点击节点图标时,括号中的数字,例如:
|
|
没有报错的话,到这里就算是完成制作eve的centos7节点了。
03、制作Windows节点
以win7为例:
我们会发现,eve是基于qemu的。由于windows全系列与qemu并不兼容,所以制作eve的windows节点会多出一步(为windows镜像加入virtio-win驱动)。
virtio-win驱动下载页面找新版的即可:
https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-virtio/*左右滑动查看更多
只需下载iso即可:
https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/archive-virtio/virtio-win-0.1.217-2/virtio-win-0.1.217.iso*左右滑动查看更多
下载完成后使用UltraISO等工具将镜像中的内容解压出来。
然后将其放到win7镜像中保存。
|
|
将新制作的win7镜像按照上文同样的步骤导入到eve中。
cd /opt/unetlab/addons/qemu/mkdir win-7cp /mnt/hgfs/share/win7.iso win-7/cdrom.iso新建qemu虚拟机磁盘:
qemu-img create -f qcow2 virtioa.qcow2 30Gqemu-img info xxx.qcow2 #查看当前镜像信息qemu-img resize xxx.qcow2 +xG(需要增加的容量) # 如果觉得容量小可以加容量# 刷新下权限unl_wrapper -a fixpermissions*左右滑动查看更多
然后在eve网页端新建一个lab,并在lab中新建一个win7节点:
|
|
同样使用vnc连上安装系统(eve网页端自带网页版vnc)。
这里需要注意的是,在选择磁盘的时候会找不到磁盘,不要慌,点击加载驱动程序-浏览-选择virtio-win/amd64/w7即可。
点击下一步,稍微等待,然后就能见到熟悉的磁盘了。
安装完成后,同样修改cdrom.iso文件名称为cdrom.iso.bak然后关机。
提交镜像:
cd /opt/unetlab/tmp/<uid>/<labid>/<computer_id># 例如:cd /opt/unetlab/tmp/0/92ce10ec-2f01-4b6b-b4f5-877a5a2c458c/5/# 然后提交qemu-img commit virtioa.qcow2*左右滑动查看更多
至此,恭喜你又得到了一个自制eve的win7镜像。
win10、winserver2008等如法炮制即可,此处不再赘述。
三、设计网络拓扑
内网网段:10.16.0.0/16。
主要有几个区域:公网服务器、DMZ、防火墙、核心路由、办公区、机房、分支单位。核心路由器与办公区、机房、防火墙、分支机构相连。办公区分为各部门,并划有vlan,财务与其他部门隔离,人力部门划出192.168.2.0/24段内网。
具体如下图:
01、外部网络
我的主机作为靶场载体连接了家里的无线网,攻击机使用另一台笔记本同样连接家里的无线网,故vmware选择使用桥接模式,将家里的无线网当作靶场的“互联网”。
上文中在导入eve虚拟机的时候,我们已经将虚拟机网络修改为桥接,可在vmware虚拟网络编辑器中看到,桥接的对应网络为VMnet0,故选择网络为Cloud0。
|
|
注:
创建一个网络就行,但是因为不好看所以用了两个接口,功能上没有区别。
02、DMZ
网络:
| 部门 | 网络 | 地址划分 |
|---|---|---|
| DMZ | ASA直连 | 10.16.10.0/24 |
一台Centos7,提供web服务,与防火墙连接。
03、防火墙
注:
因为此处涉及到内外网转发,可用性越高越好。
最开始用的是思科asa,但是不知是否为虚拟的原因,在使用中发现这东西稳定性欠佳。随后换了个华三的设备试试。这里两种都留下记录,供大家参考。
思科:
| 接口 | 策略 | IP |
|---|---|---|
| g0/0 | dmz | 10.16.10.51 |
| g0/1 | inside | 10.16.100.51 |
| g0/2 | outside | 192.168.31.251 |
| dmz nat | dmz-nat | 192.168.31.241 |
| 方向 | 范围 | 动作 |
|---|---|---|
| dmz nat | 10.16.10.20 | nat 192.168.31.241 映射端口7001 80 8080 8888 |
| inside->dmz | vlan10 | 默认允许访问 |
| inside->outside | vlan10 | 允许访问互联网 |
| dmz_web->inside-db | 10.16.10.20 <->10.16.180.202:1433 |
vlan10允许上互联网。
dmz web服务器允许访问机房180段的10.16.180.202的1433mssql端口。
vlan10 允许访问dmz服务器。
配置:
! dmzinter g0/0ip add 10.16.10.51 255.255.255.0nameif dmzsecurity-level 50no shexit!! insideinter g0/1ip add 10.16.100.51 255.255.255.0nameif insidesecurity-level 100no shexit!! outsideinter g0/2ip add 192.168.31.251 255.255.255.0nameif outsidesecurity-level 0no shexit!!! (nat) dmz -> outside!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 10.16.10.20 -> 192.168.31.241! port 7001 80 8080 8888!object network dmz_nat-192.168.31.241host 192.168.31.241exitobject network dmz-10.16.10.20host 10.16.10.20exitobject service 7001service tcp source eq 7001exitobject service 80service tcp source eq 80exitobject service 8080service tcp source eq 8080exitobject service 8888service tcp source eq 8888exitnat (dmz,outside) source static dmz-10.16.10.20 dmz_nat-192.168.31.241 service 7001 7001nat (dmz,outside) source static dmz-10.16.10.20 dmz_nat-192.168.31.241 service 80 80nat (dmz,outside) source static dmz-10.16.10.20 dmz_nat-192.168.31.241 service 8080 8080nat (dmz,outside) source static dmz-10.16.10.20 dmz_nat-192.168.31.241 service 8888 8888access-list dmz2outside extended permit tcp any object dmz-10.16.10.20 eq 80access-list dmz2outside extended permit tcp any object dmz-10.16.10.20 eq 8080access-list dmz2outside extended permit tcp any object dmz-10.16.10.20 eq 7001access-list dmz2outside extended permit tcp any object dmz-10.16.10.20 eq 8888access-list dmz2outside extended permit ip any anyaccess-group dmz2outside in interface outside!!! dmz(web) -> inside(db)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!access-list dmz_web2inside_db permit tcp 10.16.10.20 255.255.255.255 host 10.16.180.202 eq 1433access-group dmz_web2inside_db in interface dmzroute inside 10.16.180.0 255.255.255.0 10.16.100.1 1!!! inside -> dmz!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!object network inside-10.16.18.0subnet 10.16.18.0 255.255.255.0exitobject network inside-10.16.200.0subnet 10.16.200.0 255.255.255.0exitroute inside 10.16.18.0 255.255.255.0 10.16.100.1route inside 10.16.200.0 255.255.255.0 10.16.100.1!!! inside -> outside!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!object network outside-192.168.31.251host 192.168.31.251exitobject network inside-10.16.18.0subnet 10.16.18.0 255.255.255.0nat (inside,outside) dynamic interfaceexitobject network inside-10.16.200.0subnet 10.16.200.0 255.255.255.0nat (inside,outside) dynamic interfaceexitobject network inside-10.16.100.0subnet 10.16.100.0 255.255.255.0nat (inside,outside) dynamic interfaceexitaccess-list inside2outside extended permit ip any 10.16.18.0 255.255.255.0access-list inside2outside extended permit ip any 10.16.200.0 255.255.255.0access-list inside2outside extended permit ip any 10.16.100.0 255.255.255.0access-group inside2outside in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.31.1route inside 10.16.18.0 255.255.255.0 10.16.100.1!!
*左右滑动查看更多
华三:
| 接口 | 策略 | IP |
|---|---|---|
| g1/0 | dmz | 10.16.10.51 |
| g2/0 | Truest | 10.16.100.51 |
| g3/0 | Untrust | 192.168.31.251 |
| dmz nat | dmz-nat | 192.168.31.241 |
| 方向 | 范围 | 动作 |
|---|---|---|
| dmz nat | 10.16.10.20 | nat 192.168.31.241 映射端口7001 80 8080 8888 |
| Truest->dmz | vlan10 | 默认允许访问 |
| inside->outside | vlan10 | 允许访问互联网 |
配置端口和打开web界面:
system-viewinterface GigabitEthernet1/0ip address 10.16.10.51 24quitinterface GigabitEthernet2/0ip address 10.16.100.51 24quitinterface GigabitEthernet3/0ip address 192.168.31.251 24quitsecurity-zone name Trustimport interface GigabitEthernet2/0object-policy ip managerule passquitzone-pair security source trust destination localobject-policy apply ip manageip https enableip https port 38443local-user admin class managepassword simple h3cfw.pp.com_s7xg1service-type httpsauthorization-attribute user-role network-adminip route-static 10.16.18.0 24 10.16.100.1ip route-static 10.16.200.0 24 10.16.100.1ip route-static 10.16.180.0 24 10.16.100.1ip route-static 0.0.0.0 0.0.0.0 192.168.31.1
*左右滑动查看更多
刷完配置访问https://10.16.100.51:38443能看到登录页面则配置成功。
注:
win7 默认自带的ie浏览器默认情况下会400,此处不再深究。
admin/h3cfw.pp.com_s7xg1登录:
接口配置:
添加放行策略保证通路:
dmz 10.16.10.20 -> 192.168.31.241 nat映射。
内部上网,因为静态路由只配了it的10.16.18.0段的,所以只有it部门可以上网。
只允许dmz web服务器访问内部机房10.16.180.202:1433。
策略顺序必须如图:
所有的静态路由:
最终配置,web账号密码是admin/h3cfw.pp.com_s7xg1。
object-group ip address dmz_10.16.10.200 network host address 10.16.10.20#object-group ip address dmz_nat_outside_192.168.31.2410 network host address 192.168.31.241#object-group ip address inside_10.16.18.00 network subnet 10.16.18.0 255.255.255.0#object-group ip address inside_10.16.180.2020 network host address 10.16.180.202#object-group ip address outside_192.168.31.2510 network host address 192.168.31.251#object-group service 14330 service tcp destination eq 1433#object-group service dmz0 service tcp destination eq 8010 service tcp destination eq 808020 service tcp destination eq 700130 service tcp destination eq 8888#interface NULL0#interface GigabitEthernet1/0port link-mode routeip address 10.16.10.51 255.255.255.0#interface GigabitEthernet2/0port link-mode routeip address 10.16.100.51 255.255.255.0#interface GigabitEthernet3/0port link-mode routeip address 192.168.31.251 255.255.255.0nat outboundnat server protocol tcp global 192.168.31.241 80 inside 10.16.10.20 80 rule dmz_10.16.10.20:80 countingnat server protocol tcp global 192.168.31.241 7001 inside 10.16.10.20 7001 rule dmz_10.16.10.20:7001 countingnat server protocol tcp global 192.168.31.241 8080 inside 10.16.10.20 8080 rule dmz_10.16.10.20:8080 countingnat server protocol tcp global 192.168.31.241 8888 inside 10.16.10.20 8888 rule dmz_10.16.10.20:8888 counting#interface GigabitEthernet4/0port link-mode route#interface GigabitEthernet5/0port link-mode route#interface GigabitEthernet6/0port link-mode route#interface GigabitEthernet7/0port link-mode route#interface GigabitEthernet8/0port link-mode route#object-policy ip managerule 0 pass#security-zone name Local#security-zone name Trustimport interface GigabitEthernet2/0#security-zone name DMZimport interface GigabitEthernet1/0#security-zone name Untrustimport interface GigabitEthernet3/0#security-zone name Management#zone-pair security source Trust destination Localobject-policy apply ip manage#scheduler logfile size 16#line class auxuser-role network-operator#line class consoleauthentication-mode schemeuser-role network-admin#line class vtyuser-role network-operator#line aux 0authentication-mode noneuser-role network-adminuser-role network-operator#line con 0user-role network-admin#line vty 0 63authentication-mode schemeuser-role network-adminuser-role network-operator#ip route-static 0.0.0.0 0 192.168.31.1ip route-static 10.16.18.0 24 10.16.100.1ip route-static 10.16.180.0 24 10.16.100.1ip route-static 10.16.200.0 24 10.16.100.1#info-center loghost 127.0.0.1 port 3301 format defaultinfo-center source CFGLOG loghost level informational#performance-management#ssh server enable#acl advanced name dmz_web2inside_db#domain system#aaa session-limit ftp 16aaa session-limit telnet 16aaa session-limit ssh 16domain default enable system#role name level-0description Predefined level-0 role#role name level-1description Predefined level-1 role#role name level-2description Predefined level-2 role#role name level-3description Predefined level-3 role#role name level-4description Predefined level-4 role#role name level-5description Predefined level-5 role#role name level-6description Predefined level-6 role#role name level-7description Predefined level-7 role#role name level-8description Predefined level-8 role#role name level-9description Predefined level-9 role#role name level-10description Predefined level-10 role#role name level-11description Predefined level-11 role#role name level-12description Predefined level-12 role#role name level-13description Predefined level-13 role#role name level-14description Predefined level-14 role#user-group system#local-user admin class managepassword hash $h$6$RgTjX1Z1BUhsYb2g$hGl3mZSZP9V3zVIPdYP0204n9SWvweqtJQa8B8eCqzvGLPsK7bkl98w2EO0m7AF2j07uZ02sivEJudxWVxT9oA==service-type ssh terminal httpsauthorization-attribute user-role network-admin#ip https port 38443ip https enable#security-policy iprule 2 name dmz2inside_dbaction passsource-zone DMZdestination-zone Trustsource-ip dmz_10.16.10.20destination-ip inside_10.16.180.202service 1433service-port tcp destination eq 1433rule 1 name deny(dmz2inside)source-zone DMZdestination-zone Trustrule 0 name Any_Any_0_IPv4action pass#return*左右滑动查看更多
04、核心路由
核心路由器,连通DMZ、防火墙、机房内网、办公区,主要为10.16.[18,19,20,180,100,200,150].0/24 和公网提供路由服务。
路由表:
IP Netmask Next 0.0.0.0 0.0.0.0 10.16.100.51 10.16.18.0 255.255.255.0 10.16.200.254 10.16.19.0 255.255.255.0 10.16.200.254 10.16.20.0 255.255.255.0 10.16.200.254 10.16.180.0 255.255.255.0 10.16.150.254 10.16.10.0 255.255.255.0 10.16.100.51 相关配置:
hostname Core-Route!no ip domain lookup!interface GigabitEthernet0/0ip address 10.16.100.1 255.255.255.0duplex autospeed autorj45!interface GigabitEthernet0/1ip address 10.16.200.1 255.255.255.0duplex autospeed autorj45!interface GigabitEthernet0/2ip address 10.16.150.1 255.255.255.0duplex autospeed autorj45!interface GigabitEthernet0/3no ip addressshutdownduplex autospeed autorj45!ip forward-protocol nd!!ip route 0.0.0.0 0.0.0.0 10.16.100.51ip route 10.16.18.0 255.255.255.0 GigabitEthernet0/1ip route 10.16.18.0 255.255.255.0 10.16.200.254ip route 10.16.19.0 255.255.255.0 GigabitEthernet0/1ip route 10.16.19.0 255.255.255.0 10.16.200.254ip route 10.16.20.0 255.255.255.0 GigabitEthernet0/1ip route 10.16.20.0 255.255.255.0 10.16.200.254ip route 10.16.180.0 255.255.255.0 10.16.150.254*左右滑动查看更多
05、机房
网络:
部门 网络 地址划分 机房内网 vlan50 10.16.180.0/24 连通上游 vlan150 10.16.200.0/24 公网服务器 桥接主机网卡 192.168.31.242 IDC-Core-Switch配置:
hostname IDC-Core-Switch!no ip domain-lookup!interface GigabitEthernet0/0switchport access vlan 150switchport mode accessnegotiation auto!interface GigabitEthernet0/1switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!!interface Vlan50ip address 10.16.180.254 255.255.255.0ip access-group 101 in!interface Vlan150ip address 10.16.150.254 255.255.255.0!ip default-gateway 10.16.150.1!ip route 0.0.0.0 0.0.0.0 10.16.150.1IDC-Switch配置:
hostname IDC-Switch!no ip domain-lookup!interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!interface GigabitEthernet0/1switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet0/2switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet0/3switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet1/0switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet1/1switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet1/2switchport access vlan 50switchport mode accessnegotiation auto!interface GigabitEthernet1/3switchport access vlan 50switchport mode accessnegotiation auto!06、办公区
部门 网段 地址划分 研发 vlan10 10.16.18.0/24 人力 vlan20 10.16.20.0/24 财务 vlan30 10.16.19.0/24 财务部门内网 NAT转换 192.168.2.0/24 连通上游 vlan200 10.16.200.0/24 vlan10 20互通 vlan30隔离。
vlan10可以访问dmz区。
vlan10可以访问互联网。
Office-Aggregation-Switch配置:
hostname Office-Core-Switch!no ip domain-lookup!interface GigabitEthernet0/0switchport access vlan 200switchport trunk encapsulation dot1qswitchport mode accessnegotiation auto!interface GigabitEthernet0/1switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!interface GigabitEthernet0/2switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!interface Vlan10ip address 10.16.18.254 255.255.255.0ip access-group 101 in!interface Vlan20ip address 10.16.20.254 255.255.255.0!interface Vlan30ip address 10.16.19.254 255.255.255.0ip access-group 103 in!interface Vlan200ip address 10.16.200.254 255.255.255.0!interface Group-Async0physical-layer asyncno ip addressencapsulation slip!router ripversion 2network 10.0.0.0!ip default-gateway 10.16.200.1!ip route 0.0.0.0 0.0.0.0 10.16.200.1!access-list 101 permit ip any anyaccess-list 103 permit ip 10.16.19.0 0.0.0.255 10.16.19.0 0.0.0.255access-list 103 permit ip 10.16.19.0 0.0.0.255 10.16.180.0 0.0.0.255!*左右滑动查看更多
Access-Switch1配置:
hostname access-switch1!no ip domain-lookup!interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!interface GigabitEthernet0/1switchport access vlan 30switchport mode accessnegotiation auto!interface GigabitEthernet0/2switchport access vlan 30switchport mode accessnegotiation autoAccess-Switch2配置:
hostname Access-Switch2!no ip domain-lookup!interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunknegotiation auto!interface GigabitEthernet0/1switchport access vlan 30switchport mode accessnegotiation auto!interface GigabitEthernet0/2switchport access vlan 30switchport mode accessnegotiation auto!interface GigabitEthernet0/3switchport access vlan 20switchport mode accessnegotiation auto!interface GigabitEthernet1/0switchport access vlan 20switchport mode accessnegotiation auto!interface GigabitEthernet1/1switchport access vlan 10switchport mode accessnegotiation auto!interface GigabitEthernet1/2switchport access vlan 10switchport mode accessnegotiation auto!interface GigabitEthernet1/3switchport access vlan 20switchport mode accessnegotiation auto!interface GigabitEthernet2/0switchport access vlan 10switchport mode accessnegotiation auto!interface GigabitEthernet2/1switchport access vlan 10switchport mode accessnegotiation auto!interface GigabitEthernet2/2switchport access vlan 10switchport mode accessnegotiation auto!interface GigabitEthernet2/3switchport access vlan 10switchport mode accessnegotiation autoap配置:
hostname ap!no ip domain lookup!interface GigabitEthernet0/0ip address 10.16.20.201 255.255.255.0ip nat outsideip virtual-reassembly induplex autospeed automedia-type rj45!interface GigabitEthernet0/1ip address 192.168.2.254 255.255.255.0ip nat insideip virtual-reassembly induplex autospeed automedia-type rj45!ip default-gateway 10.16.20.254!ip nat pool hrintra 10.16.20.241 10.16.20.242 netmask 255.255.255.252ip nat inside source list 1 pool hrintraip nat inside source static 192.168.2.254 10.16.20.202ip route 0.0.0.0 0.0.0.0 10.16.20.254!access-list 1 permit 192.168.2.0 0.0.0.255*左右滑动查看更多
hr-intra-Switch配置:
hostname hr-intra-Switch!no ip domain-lookup至此,主体网络环境的配置完成,另外,上文中提到了“分支机构”,我将这部分暂时作为保留项,未进行过多设计原因有三:
1、于个人来讲,搭建本环境除了供自己测试使用,另一个目的是巩固下网络相关知识。 2、主观臆想的环境与实际环境一定有很大差别。 3、太多结点了,电脑快带不动了TAT。 07、分支单位
这部分未进行过多设计,仅提供可能的结构。
第一种:
分为办公网段和服务器网段,通过NAT转发的方式将服务器映射到公网。
网络:
部门 网络 地址划分 连通到核心路由器 vlan250 10.16.210.0/24 分支办公网络 vlan510 10.16.211.0/24 服务器网段 vlan520 10.16.212.0/24 对外服务 NAT转换 10.16.212.39->192.168.31.43 第二种:
分为办公网段和服务器网段,服务器双网卡。
网络:
部门 网络 地址划分 连通到核心路由器 vlan250 10.16.210.0/24 分支办公网络 vlan510 10.16.211.0/24 服务器网段 vlan520 10.16.212.0/24 对外服务 双网卡 10.16.212.39, 192.168.31.43 第三种:
分为办公网段和服务器网段,服务器不对外。
网络:
部门 网络 地址划分 连通到核心路由器 vlan250 10.16.210.0/24 分支办公网络 vlan510 10.16.211.0/24 服务器网段 vlan520 10.16.212.0/24 写在最后
本人才疏学浅,文笔拙劣,已尽力为之,不当之处,还望各位大佬在评论区指正。
原文始发于微信公众号(安恒信息安全服务):九维团队-橙队(赋能)| 从零开始搭建一套多网络规则渗透环境
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论