基于EVE-NG平台上构建企业内网攻防环境

EVE-NG（全称EmulatedVirtual Environment），这款模拟器已经不仅可以模拟网络设备，也可以运行一切虚拟机。理论上，只要能将虚拟机的虚拟磁盘格式转换为qcow2都可以在EVE-NG上运行。所以，EVE-NG可以算打造成最佳的网络安全攻防虚拟环境。

EVE-NG在交互模式上采用linux内核结合PHP的WEB页面操作模式，EVE-NG像是BS模型，EVE-NG是服务端，用户端可以是支持http/https的任意OS。特别适合部署在企业内网，供网络安全从业人员做攻防演练和部分模拟内网渗透环境。

通过以下连接 http://eve-ng.net/downloads/eve-ng-2 登陆EVE-NG的下载网站，然后找到OVA镜像下载链接。

可以下载一个OVA的镜像，这个镜像可以直接导入到vmware w

orkstation中。

VMware 分配给 EVE-NG 的 4 个 CPU，6GB 内存当作物理资源

虚拟机设置参数考虑因素：

内存：EVE-NG 底层是用 KVM 运行Windows， ISE 等等这些虚拟机，内存消耗比较多，物理内存和虚拟内存占比基本上 1：1。内存不足时，KVM 就会做内存交换，会拖慢 EVE-NG 的运行速度。

CPU：KVM 允许 CPU 过载使用，即虚拟 CPU 总数大于物理 CPU 总数的，比如 4 个 CPU，可以虚出来 8 个，甚至 16 个 KVM 的 vCPU。具体的物理 CPU 与 vCPU 的极限比例是多少，取决于物理 CPU 的单线程性能强弱，单线程性能太弱。

硬盘：硬盘大小决定着可以存放的 KVM 虚拟机镜像数量，比如一个 Win-7.qcow2 镜像文件大小 4GB+，一个 PaloAlto.qcow2 大小 2GB+ 等等。实验环境中的虚拟设备占用容量非常小，属于增量存储，只保存改动的部分。

网络适配器：不重要，这个决定着您可以桥接的数量。也可以将虚拟环境桥接到物理设备上。

然后开启虚拟机，会看到欢迎初始化页面

输入用户名：root，密码：eve 登录后提示您修改密码

输入 hostname，默认即可。可以根据您的需要修改。

修改 IP 地址

设置 NTP 服务器，pool.ntp.org 是默认的 NTP Server，改成别的 NTP 服务器也 OK。

选择连入 Internet 的方式，默认 direct connection 即可。

确认 OK 后，系统自动重启并应用您上述的配置。

系统建议采用火狐浏览器，因为后续登陆中Native mode可能需要在选项中关联应用（只有natice模式支持wireshark抓包）。

Vmware中会提示EVE-NG的web浏览地址，直接用火狐浏览器敲入 http:// 本地产生的IP地址 就可以访问。

输入登陆web登陆用户名：admin，密码：eve，然后选择Html5的模式，这种方式比较便捷，因为不需要在PC上安装putty，vnc等终端软件，可以在html5的页面上完成配置。

左侧为功能菜单，可以添加设备，网络，注释，图片和攻防网络和设备版本和架构描述。

现在选择添加一个设备后，所有可选的设备均为灰色，为没有设备镜像状态不可选。这个时候需要下载qemu的设备镜像文件。

镜像文件可以访问 http://eve-ng.cn 获取下载！

下载后可以采用winscp这个工具，远程登陆EVE-NG的虚拟机，输入用户名和密码后，把下载的镜像文件上传到EVE-NG中。

上传的目录为：/opt/unetlab/addons/qemu，把下载的RAR镜像文件解压为文件夹格式，直接拖入就可以了。对于如果想把自己的qemu虚拟镜像上传到这个攻防环境中，可以采用直接修改文件名为had.qcow2格式，放入文件夹内替换就可以了。

现在可以添加一个Node 设备，可以在下拉菜单里看到支持的设备，添加一个思科防火墙。

然后选择一个ASAv的虚拟防火墙，IOS版本为K9系列，可以自定义防火墙设备名字，镜像文件和图标以及CPU的核数，内存的大小和接口的个数，其他参数不要动。

参数填写好后，workspace中会出现一个思科防火墙，右键可以启动，关闭，清除配置，编辑和删除等选项。

当启动后图标会变成蓝色的图标，同时双击后会产生另外一个html5的窗口，在窗口里可以看到标准的IOS的CLI命令行，敲入show version的时候，可以看到防火墙的版本为9.62。

此平台主要是模拟企业内网，所以需要添加服务器和客户机，这里添加一个windows server2008的镜像，然后启动起来。双击后可以在html5浏览器的页面里看到桌面，网络安全攻防人员可以在此设置域控，NPS等安全策略，模拟企业内网的运维策略。

右侧添加网络后，选择cloud模式，这里可以选择cloud1，这里1是指你的vmware虚拟化里的增加的第二块网卡，渗透内网人员可以通过另外一个虚拟机启动kali环境，然后网卡选择桥接到EVE-NG虚拟机的虚拟网卡上，就可以代表你的渗透通道已经打通。

Vmware里设置一个vnet8，分配了DHCP从192.16.0.0/24网段，kali的虚拟机网卡桥接到vnet8然后内部设置为dhcp，获得动态IP为192.16.0.128，而EVE-NG的环境增加一个网卡桥接到vnet8上，部署的windows server 2008桥接到cloud1上网卡设置为DHCP，自动获取IP的192.16.0.130，可以看到相互ping到。

然后设置企业内网攻防网络架构，模拟企业内网的服务器和网络设备，可以完全再现网络安全攻防过程，同时EVE-NG可以多人登陆设置和维护。

本文始发于微信公众号（疯猫网络）：基于EVE-NG平台上构建企业内网攻防环境