CN111585979B - 一种基于网络映射的复杂多构网络隔离技术实现方法 - Google Patents
一种基于网络映射的复杂多构网络隔离技术实现方法 Download PDFInfo
- Publication number
- CN111585979B CN111585979B CN202010321482.6A CN202010321482A CN111585979B CN 111585979 B CN111585979 B CN 111585979B CN 202010321482 A CN202010321482 A CN 202010321482A CN 111585979 B CN111585979 B CN 111585979B
- Authority
- CN
- China
- Prior art keywords
- network
- gateway
- address
- layer gateway
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于网络映射的复杂多构网络隔离技术实现方法,属于网络安全领域,包括如下步骤:S1:使用虚拟局域网VLAN隔离技术和网络地址转换NAT技术,并结合虚拟化技术,在有限的交换机和物理服务器中创建多个隔离的内部网络;S2:在外层网关上建立地址白名单,控制基于源地址的发现而激活NAT映射;S3:设置中间层网关下各个区域主机的IP地址,多个中间层之间的网络信息完全相同且隔离。本发明更有效地利用物理资源,更简易地搭建出多个复杂结构体系的网络隔离环境。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于网络映射的复杂多构网络隔离技术的实现方法。
背景技术
随着互联网的飞速发展,网络安全已成为人们非常关注的问题。提升网络安全性,成为互联网中的头等大事。在网络安全领域中,存在着各种各样的技术,如路由器、防火墙、身份验证、渗透技术等为人熟知的技术,它们对网络***的安全性提高都有较显著的效果。网络隔离技术是一项新兴起的网络安全技术,它是指两个或两个以上的计算机或网络在断开网络物理连接的基础上,实现信息交换和资源共享。网络隔离技术共经历了五个发展阶段,目前,网络隔离技术大致上分为绝对的物理隔离、通过专用协议进行网络隔离,如VLAN隔离技术。
在渗透测试中,通常情况,我们会设定多个或者多组入侵成员。假定一个渗透测试的网络环境如图1所示,我们需要给渗透测试中的入侵者提供两个入口,分别是外部服务区的WEB服务器A和B。为了区分入侵者们的攻击流量,更好地进行相关数据分析工作开展,保持网络构建的一致性是测试前提,这样才能确保公平性。由于WEB服务器A和B中的中间层网关、底层网关和主机的IP地址都完全相同,对入侵者来说是透明的,要实现入侵者A和入侵者B有相同的攻击入口,就需要进行网络隔离,使得入侵者们攻击主机或服务器的时候互不影响。常见处理方式是采用完全物理隔离去搭建两套完全一样的物理环境,步骤如下:
1.在第一套物理环境的核心交换机上创建2个VLAN,分别为VLAN112和VLAN100,其中VLAN112作为入侵者的局域网网段,IP地址是192.168.112.254/24;VLAN100作为服务器局域网网段,IP地址是192.168.100.254/24。类似地,在第二套物理环境的核心交换机上创建2个VLAN,分别为VLAN113和VLAN111,其中VLAN113作为入侵者的局域网网段,IP地址是192.168.113.254/24;VLAN111作为服务器局域网网段,IP地址是192.168.111.254/24;
2.第一个入侵者的IP网段设定在被允许的网段。IP地址设定为:192.168.112.24/24;第二个入侵者的IP网段设定在被允许的网段。IP地址设定为:192.168.113.24/24。
第一套物理环境中的服务器的IP地址设定为:192.168.100.191/24;第二套物理环境中的服务器的IP地址设定为:192.168.111.191/24;它们分别连接在核心交换机下各自所属的VLAN局域网中,网关分别指向交换机的各自VLAN地址。
3.中间层网关和底层网关的网络以虚拟化构建在服务器中,两套物理环境中的网络信息完全一致(网关、主机IP)其中,底层网关的下一跳指向中间层网关,中间层的下一跳指向外层网关。
4.上述两套物理环境完全相同,提供的入口为外层网关IP映射到WEB服务器中,入侵者们各自在所属的完全物理隔离环境中对入口发起攻击,最终他们在各自网络拓扑中完成渗透测试过程。
5.这样实现了两个完全物理隔离的网络环境,使得渗透测试工作的正常运行。
现有技术至少存在以下不足:
1.需要在相同的网络环境中做渗透测试时,物理环境搭建繁琐,N个入侵者需要搭建N套物理环境,搭建这种演练场景环境的成本高、繁琐。
2.当上述拓扑实际情况较为复杂的时候,比如当渗透测试人员、真实主机、服务区以及办公区主机数量增大时,即使物理资源充足,搭建起来的过程也非常繁琐,且构建网络结构过程的效率显然大大降低。
3.物理环境的增多也使得数据的汇总、分析工作难度加大。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种基于网络映射的复杂多构网络隔离技术的实现方法,该方法采用了VLAN隔离技术和虚拟化技术结合NAT技术,通过建立NAT映射规则,对入侵者进行标记,多个中间层之间的网络信息完全相同、完全隔离。该方法所构建的网络隔离环境对渗透人员来说是透明的,简化了渗透测试中测试网络环境的搭建,有利于渗透测试人员进行渗透测试环境搭建和后续的数据分析。
本发明提供了一种基于网络映射的复杂多构网络隔离技术的实现方法,该方法使用硬件包括外部网关、交换机、路由器、物理服务器、虚拟网关和软件平台,所述虚拟网关包括中间层网关和底层网关;所述交换机具有二层VLAN以上功能(即至少支持物理层和数据链路层);所述路由器具有NAT功能;所述外部网关与所述交换机连接,所述交换机与所述服务器连接,所述中间层网关的下一路由为所述服务器,所述底层网关下一路由指向所述中间层网关;所述软件平台为所述物理服务器安装的操作***;该方法包括如下步骤:
S1:使用VLAN隔离技术和NAT技术,并结合虚拟化技术,在有限的交换机和物理服务器中创建多个隔离的内部网络;
根据步骤S1所述的方法,包括以下步骤:
S11:在交换机上创建多个VLAN,并分别配置地址,供服务器网段使用;
S12:在交换机上创建多个VLAN,并分别配置地址,供入侵者网段使用;
S13:物理服务器在虚拟化平台上配置多个VLAN身份标识VLANID,用以隔离多个分别为中间层网关、底层网关以及各区域的主机所在的内部网络。
S2:在外层网关上建立地址白名单,控制基于源地址的发现而激活NAT映射;
根据步骤S2所述的方法,包括如下步骤:
S21:在外层网关的地址表里新增预设置的地址名和所包含的网段;
S22:通过标记流量行为,对来源IP属于地址表里预先设置的情况进行标记;
S23:建立NAT映射规则,若同时匹配标记的名称和预设置的来源IP地址段,则发生映射关系。
S3:设置中间层网关下各个区域主机的IP地址,多个中间层之间的网络信息完全相同且隔离。
优选地,该方法中所述的中间层网关下一路由通过桥接服务器的网卡指向外层网关;
优选地,该方法中所述的中间层网关将自身80端口和8080端口分别映射给底层网关的80端口和8080端口;
优选地,该方法中所述的软件平台要求服务器安装了虚拟化平台ESXI5.5以上版本操作***;
优选地,该方法的步骤S11中与步骤S12中配置的IP地址段不同;
优选地,该方法的步骤S13中配置的VLAN ID的数目与入侵者数目相同;
优选地,该方法的步骤S21中地址表里新增的预设置网段为入侵者网段;
优选地,该方法的步骤S22中每个标记名称标记流向同一网关不同端口的流量行为。
与现有技术相对比,本发明的有益效果如下:
(1)本发明通过只利用交换机的技术特点以及虚拟化技术构建出多个网络隔离环境,不需要在主机运行任何第三方程序,达到了摆脱第三方程序带来风险的效果。
(2)本发明通过服务器在虚拟化平台上配置多个VLANID,用以隔离多个分别为中间层网关、底层网关以及各区域的主机所在的内部网络,达到了有效利用物理资源的效果,更简易地搭建出多个复杂结构体系的网络隔离环境,实现可维护性较高的效果。
(3)本发明通过利用NAT技术进行地址匹配映射的技术手段,入侵者们在发起攻击的同时实现了反弹shell效果,而反弹shell在渗透测试过程中是一个直接有力的手段,从而达到入侵者能更真实仿真黑客开展更多攻击行为的技术效果。
附图说明
图1是现有技术搭建的网络隔离结构图;
图2是本发明搭建的复杂多构网络隔离实施图;
图3是本发明图2中物理层详细结构图:
物理层结构图包括交换机、外层网关设备、服务器,以及攻击者接入区域。
图4是本发明图2中中间层结构及其与物理层的连接示意图:
中间层结构在服务器虚拟化内部中体现,以包含4个中间层网关为例。
图5是本发明图2中内部网络和底层网络结构及其连接示意图:
底层网络在服务器虚拟化内部中体现,并且下联于中间层网络下;内部网络包含办公区、内部服务器、外部服务器,外部服务器含2个WEB服务器设定为攻击入口。实施图以4个底层网络结构为例,它们的网络信息完全一致,由中间层网关通过虚拟端口组号码隔离开,图中应用10-14四个号码。
图6是本发明隔离区服务器发生的流量行为图。
具体实施方式
下面结合附图1-6,对本发明的具体实施方式作详细的说明。
本发明提供了一种基于网络映射的复杂多构网络隔离技术的实现方法,该方法使用硬件包括外部网关、交换机、路由器、物理服务器、虚拟网关和软件平台,所述虚拟网关包括中间层网关和底层网关;所述交换机具有二层VLAN以上功能;所述路由器具有NAT功能;所述外部网关与所述交换机连接,所述交换机与所述服务器连接,所述中间层网关的下一路由为所述服务器,所述底层网关下一路由指向所述中间层网关;所述软件平台为所述物理服务器安装的操作***;该方法包括如下步骤:
S1:使用VLAN隔离技术和NAT技术,并结合虚拟化技术,在有限的交换机和物理服务器中创建多个隔离的内部网络;
根据步骤S1所述的方法,包括以下步骤:
S11:在交换机上创建多个VLAN,并分别配置地址,供服务器网段使用;
S12:在交换机上创建多个VLAN,并分别配置地址,供入侵者网段使用;
S13:物理服务器在虚拟化平台上配置多个VLAN身份标识VLANID,用以隔离多个分别为中间层网关、底层网关以及各区域的主机所在的内部网络。
S2:在外层网关上建立地址白名单,控制基于源地址的发现而激活NAT映射;
根据步骤S2所述的方法,包括如下步骤:
S21:在外层网关的地址表里新增预设置的地址名和所包含的网段;
S22:通过标记流量行为,对来源IP属于地址表里预先设置的情况进行标记;
S23:建立NAT映射规则,若同时匹配标记的名称和预设置的来源IP地址段,则发生映射关系。
S3:设置中间层网关下各个区域主机的IP地址,多个中间层之间的网络信息完全相同且隔离。
作为优选实施方式,该方法中所述的中间层网关下一路由通过桥接服务器的网卡指向外层网关;
作为优选实施方式,该方法中所述的中间层网关将自身80端口和8080端口分别映射给底层网关的80端口和8080端口;
作为优选实施方式,该方法中所述的软件平台要求服务器安装了虚拟化平台ESXI5.5以上版本操作***;
作为优选实施方式,该方法的步骤S11中与步骤S12中配置的IP地址段不同;
作为优选实施方式,该方法的步骤S13中配置的VLAN ID的数目与入侵者数目相同;
作为优选实施方式,该方法的步骤S21中地址表里新增的预设置网段为入侵者网段;
作为优选实施方式,该方法的步骤S22中每个标记名称标记流向同一网关不同端口的流量行为。
实施例1
本发明提供了一种基于网络映射的复杂多构网络隔离技术的实现方法,该方法主要涉及硬件具有二层VLAN以上功能的交换机、具有NAT功能的路由器、物理服务器、虚拟网关中间层网关和底层网关以及安装了ESXI5.5以上版本操作***的虚拟化软件平台,包括如下步骤,以下实施例以4个入侵者为例进行说明:
S1:使用VLAN隔离技术和NAT技术,并结合虚拟化技术,在有限的交换机和物理服务器中创建多个隔离的内部网络;
根据步骤S1所述的方法,包括以下步骤:
S11:在核心交换机上创建2个VLAN,分别为VLAN100和VLAN101,然后配置地址分别为192.168.100.254/24和192.168.111.254/24,供服务器网段使用;
S12:在核心交换机上创建4个VLAN,分别为VLAN302,VLAN303,VLAN304和VLAN305,然后配置地址分别为:192.168.112.254/24、192.168.113.254/24、192.168.114.254/24和192.168.115.254/24,供给4个入侵者网段使用;
S13:将物理服务器分为两组,分别为A组服务器和B组服务器,结合访问控制列表ACL对各组局域网做好访问控制权限。A组物理服务器安装虚拟化平台ESXI操作***。在虚拟化平台上配置2个VLANID隔离两个分别为中间层网关、底层网关以及各区域的主机所在的内网环境。
这样,A组服务器就构建了两个隔离的虚拟网络环境,使得两个位于中间层网关下局域网内的主机IP地址相同而不冲突。
中间层网关下一路由通过桥接服务器的网卡指向外层网关,中间层网关将自身80端口和8080端口分别映射给底层网关的80端口和8080端口。底层网关下一路由指向中间层网关。
同理,B组服务器也构建出两个隔离的虚拟网络环境,这两个网络环境网络信息相同而隔离。
从而A、B两组服务器构建了4个网络隔离环境,对应4个中间层网关和4个底层网关。
将进入A组服务器进行渗透测试的入侵者分别为入侵者A和入侵者B,网段(不是具体地址,具体地址可以配置为112.0/24这个C段里面的任一地址)分别设定为192.168.112.0/24和192.168.113.0/24,进入B组服务器进行渗透测试的入侵者分别为入侵者C和入侵者D,网段分别设定为192.168.114.0/24和192.168.114.0/25。
S2:在外层网关上建立地址白名单,控制基于源地址的发现而激活NAT映射;
将外层网关中两个接口连接核心交换机,分别接入核心交换机两个VLAN所属的接口,IP分别为:192.168.100.1和192.168.111.1。
根据步骤S2所述的方法,包括如下步骤:
S21:在外层网关上建立地址白名单,地址名单列表为getone、gettwo、getthr和getfou。getone包含的网段为入侵者A,gettwo包含的网段为入侵者B,getthr包含的网段为入侵者C,getfou包含的网段为入侵者D;
S22:将源IP地址为步骤S21中的4个地址列表的网段流向本网关的80端口和8080端口流量分别标记为mark-a、mark-b、mark-c和mark-d,一个标记名称分别标记了2个端口;
S23:基于NAT技术和mangle表,做DST-NAT端口映射,将自身80端口和8080端口分别基于所标记的mark-a、mark-b、mark-c、mark-d映射给4个中间层网关的80端口和8080端口。
同时,外层网关的2组服务器的VLANIP地址的两个端口即192.168.100.1:80和192.168.100.1:8080以及192.168.111.1:80和192.168.111.1:8080作为渗透入口。
S3:中间层网关A、B、C和D的外部IP地址分别设定为192.168.100.236、192.168.100.235、192.168.111.236和192.168.111.235,所有中间层网关的内部地址设定为192.168.9.2;所有底层网关的IP地址设定为192.168.9.1。WEB服务器A、WEB服务器C、WEB服务器E和WEB服务器G的IP地址相同,为192.168.10.23,每组隔离网络中的WEB服务器B、WEB服务器D、WEB服务器F和WEB服务器H的IP地址相同,为192.168.10.34。
采用本发明上述实施例构建的4个内部网络隔离环境,可供4个网段的入侵者展开渗透攻击行为,入侵者在该网络中发起攻击的详细隔离实现如下:
1.提供入口,入侵者A和入侵者B的入口是192.168.100.1:80和192.168.100.1:8080,入侵者C和入侵者D的入口是192.168.111.1:80和192.168.111.1:8080。
2.当入侵者A攻击192.168.100.1:80时,这个数据包先到达核心交换机,由于核心交换机和外层网关直连,含有目标IP的信息,则把数据包交给外层网关,根据网络路由通信原理,外层网关会接收这个数据包。
3.外层网关打开接收到的这个数据包,发现访问的是自身的80端口,将检测到来源IP是属于getone列表,则会触发NAT映射,由于外层网关已经把自身的80端口映射给中间层网关的80端口,接着外层网关把数据包转发给中间层网关。
4.中间层网关接收并打开该数据包,发现访问的是自身的80端口,则会触发NAT映射,由于中间层网关已经把自身的80端口映射给底层网关,中间层网关把数据包转发给底层网关。
5.底层网关接收并打开该数据包,发现访问的是自身的80端口,则会触发NAT映射,由于底层网关已经把自身的80端口映射给WEB服务器A的80端口,底层网关把数据包转发给WEB服务器A。
最终,入侵者A攻击192.168.100.1:80时,实际攻击发生在WEB服务器A上;当入侵者A攻击192.168.100.1:8080时,实际攻击发生在WEB服务器B上。当入侵者B攻击192.168.111.1:80时,实际攻击发生在WEB服务器C上;当入侵者B攻击192.168.111.1:8080时,实际攻击发生在WEB服务器D上,其他隔离组可同理推断,攻击分别发生在WEB服务器E、WEB服务器F、WEB服务器G和WEB服务器H上。可见,入侵者们分别在各自隔离的网络结构中完成渗透工作,互不影响。
本发明实施例关键步骤的构建配置如下:
1.在所有底层网关中做如下配置:
//配置两个IP地址
a:/ip address
addaddress=192.168.10.1/24interface=ether5 network=192.168.10.0
add address=192.168.9.1/24interface=WAN network=192.168.9.0
//配置下一条路由
b:/ip routeadd distance=1gateway=192.168.9.2
//将自身端口映射到WEB服务器入口,具体链接参看图2
c:/ip firewall nat
add action=dst-nat chain=dstnat comment=jfjdst-address=192.168.9.1dst-port=80protocol=tcp to-addresses=192.168.10.23to-ports=80
add action=dst-nat chain=dstnat comment=jfjdst-address=192.168.9.1dst-port=8080protocol=tcp to-addresses=192.168.10.34to-ports=80
2.在中间层网关中做如下配置:
//中间层网关内网IP地址,外网IP地址已经描述过,不再赘述
/ip address
add address=192.168.9.2/24interface=ros-ros network=192.168.9.0
//根据所在隔离网络组指向外层网关具体IP配置外层路由
/ip route
add distance=1gateway=192.168.100.1/192.168.111.1
//建立NAT映射规则
/ip firewall nat
add action=dst-nat chain=dstnat comment=dst-address=192.168.X.Xdst-port=80protocol=tcp to-addresses=192.168.10.23to-ports=80
add action=dst-nat chain=dstnat comment=dst-address=192.168.X.Xdst-port=8080protocol=tcp to-addresses=192.168.10.34to-ports=80
3.在外层网关中做如下配置:
//配置IP地址、建立地址列表名单:
/ip firewall address-list
add address=192.168.112.0/24list=getone
add address=192.168.113.0/24list=gettwo
add address=192.168.114.0/24list=getthr
add address=192.168.115.0/24list=getfou
//标记地址列表名单反问外层网关IP的流量:
/ip firewall mangle
add action=mark-routing chain=prerouting comment=dst-address=192.168.100.1dst-port=80new-routing-mark=mark-a passthrough=yes protocol=tcpsrc-address-list=getone
add action=mark-routing chain=preroutingdst-address=192.168.100.1dst-port=8080new-routing-mark=mark-a passthrough=yes protocol=tcpsrc-address-list=getone
add action=mark-routing chain=preroutingdst-address=192.168.100.1dst-port=80new-routing-mark=mark-b passthrough=yes protocol=tcpsrc-address-list=gettwo
add action=mark-routing chain=preroutingdst-address=192.168.100.1dst-port=8080new-routing-mark=mark-b passthrough=yes protocol=tcpsrc-address-list=gettwo
add action=mark-routing chain=prerouting comment=11.1dst-address=\
192.168.111.1dst-port=80new-routing-mark=mark-c passthrough=yes\
protocol=tcpsrc-address-list=getthr
add action=mark-routing chain=preroutingdst-address=192.168.111.1dst-port=8080new-routing-mark=mark-c passthrough=yes protocol=tcpsrc-address-list=getthr
add action=mark-routing chain=preroutingdst-address=192.168.111.1dst-port=80new-routing-mark=mark-d passthrough=yes protocol=tcpsrc-address-list=getfou
add action=mark-routing chain=preroutingdst-address=192.168.111.1dst-port8080new-routing-mark=mark-d passthrough=yes protocol=tcpsrc-address-list=getfou
//进行NAT映射配置:
/ip firewall nat
add action=dst-nat chain=dstnatdst-address=192.168.100.1dst-port=80\
protocol=tcp routing-mark=mark-a src-address-list=getone to-addresses=192.168.100.236to-ports=80
add action=dst-nat chain=dstnatdst-address=192.168.100.1dst-port=8080protocol=tcp routing-mark=mark-a src-address-list=getone to-addresses192.168.100.236to-ports=8080
add action=dst-nat chain=dstnatdst-address=192.168.100.1dst-port=80\
protocol=tcp routing-mark=mark-b src-address-list=gettwo to-addresses192.168.100.235to-ports=80
add action=dst-nat chain=dstnatdst-address=192.168.100.1dst-port=8080protocol=tcp routing-mark=mark-b src-address-list=gettwo to-addresses=192.168.100.235to-ports=8080
add action=dst-nat chain=dstnatdst-address=192.168.111.1dst-port=80\
protocol=tcp routing-mark=mark-c src-address-list=getthr to-addresses192.168.111.236to-ports=80
add action=dst-nat chain=dstnatdst-address=192.168.111.1dst-port=8080protocol=tcp routing-mark=mark-c src-address-list=getthr to-addresses=192.168.111.236to-ports=8080
add action=dst-nat chain=dstnatdst-address=192.168.111.1dst-port=80\
protocol=tcp routing-mark=mark-d src-address-list=getfou to-addresses=192.168.111.235to-ports=80
add action=dst-nat chain=dstnatdst-address=192.168.111.1dst-port=8080protocol=tcp routing-mark=mark-d src-address-list=getfou to-addresses192.168.111.235to-ports=8080
采用本发明实施例构建的隔离网络进行渗透测试,其隔离试验证明:
参见图6,入侵者A(前面设定其IP地址为192.168.112.139/24)前面给出的192.168.112.0/24是指网段,192.168.112.139/24是指入侵者具体配置为上述网段的IP地址为192.168.112.139,掩码是24,当他攻击192.168.100.1的80端口时,此时,可以在WEB服务器A(192.168.10.23)通过tcpdump命令抓包发现入侵者A的真实IP发出的数据包,而在WEB服务器C、WEB服务器E和WEB服务器G上没有发现任何关于入侵者A的流量行为。
本发明实施例提供给每个入侵者的入口分别是各自所身处的网络中的网关IP,当入侵者发起对入口IP的具体端口攻击时,构建的隔离网络环境使得攻击发生在被限制的网络的WEB服务器中,最终实现在一个服务器上构建多个渗透测试隔离环境的目的。
本发明实施例的网络拓扑已经在使用千兆级网关、千兆级交换设备和千兆级网卡的服务器上搭建,并经过实际的渗透测试证明,本发明的网络隔离构建方式能完整地实现整个渗透攻击过程。与此同时,实际网络隔离环境构建中能够兼容实现反弹shell效果,这对渗透测试的环境搭建意义重大。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (8)
1.一种基于网络映射的复杂多构网络隔离技术实现方法,所述方法使用硬件包括外部网关、交换机、路由器、物理服务器、虚拟网关和软件平台,所述虚拟网关包括中间层网关和底层网关;所述交换机具有二层VLAN以上功能;所述路由器具有NAT功能;所述外部网关与所述交换机连接,所述交换机与所述物理服务器连接,所述中间层网关的下一路由为所述物理服务器,所述底层网关下一路由指向所述中间层网关;所述软件平台为所述物理服务器安装的操作***;其特征在于,包括如下步骤:
S1:使用虚拟局域网VLAN隔离技术和网络地址转换NAT技术,并结合虚拟化技术,在有限的交换机和物理服务器中创建多个隔离的内部网络;
S2:在外层网关上建立地址白名单,控制基于源地址的发现而激活NAT映射;
S3:设置中间层网关下各个区域主机的IP地址,多个中间层之间的网络信息完全相同且隔离;
步骤S1中创建多个隔离的内部网络包括以下步骤:
S11:在交换机上创建多个VLAN,并分别配置地址,供服务器网段使用;
S12:在交换机上创建多个VLAN,并分别配置地址,供入侵者网段使用;
S13:物理服务器在虚拟化平台上配置多个VLAN身份标识VLANID,用以隔离多个分别为中间层网关、底层网关以及各区域的主机所在的内部网络;
步骤S2包括如下步骤:
S21:在外层网关的地址表里新增预设置的地址名和所包含的网段;
S22:通过标记流量行为,对来源IP属于地址表里预先设置的情况进行标记;
S23:建立NAT映射规则,若同时匹配标记的名称和预设置的来源IP地址段,则发生映射关系。
2.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,所述中间层网关下一路由通过桥接服务器的网卡指向外层网关。
3.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,所述中间层网关将自身80端口和8080端口分别映射给底层网关的80端口和8080端口。
4.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,所述物理服务器的软件平台安装虚拟化平台EXSI操作***。
5.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,步骤S11与步骤S12中配置的IP地址段不同。
6.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,步骤S13中配置的虚拟局域网身份标识VLAN ID的数目与入侵者数目相同。
7.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,步骤S21中,地址表里新增的预设置网段为入侵者网段。
8.根据权利要求1所述的基于网络映射的复杂多构网络隔离技术实现方法,其特征在于,步骤S22中每个标记名称标记流向同一网关不同端口的流量行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010321482.6A CN111585979B (zh) | 2020-04-22 | 2020-04-22 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010321482.6A CN111585979B (zh) | 2020-04-22 | 2020-04-22 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111585979A CN111585979A (zh) | 2020-08-25 |
CN111585979B true CN111585979B (zh) | 2020-12-18 |
Family
ID=72124480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010321482.6A Active CN111585979B (zh) | 2020-04-22 | 2020-04-22 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111585979B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112737850B (zh) * | 2020-12-30 | 2023-03-24 | 杭州迪普科技股份有限公司 | 一种互斥访问的方法及装置 |
CN115996150B (zh) * | 2023-03-22 | 2023-05-23 | 成都云祺科技有限公司 | 虚拟演练室创建方法、***、存储介质及数据验证方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络*** |
CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关***、方法及部署架构 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102238030B (zh) * | 2011-05-16 | 2013-11-13 | 北京全路通信信号研究设计院有限公司 | 信号安全数据网***和网管*** |
US10129180B2 (en) * | 2015-01-30 | 2018-11-13 | Nicira, Inc. | Transit logical switch within logical router |
CN105376133A (zh) * | 2015-11-20 | 2016-03-02 | 南京优速网络科技有限公司 | 一种基于虚拟化技术的网络实验***及构造方法 |
CN108965210A (zh) * | 2017-05-19 | 2018-12-07 | 南京骏腾信息技术有限公司 | 基于场景式攻防模拟的安全试验平台 |
CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场*** |
-
2020
- 2020-04-22 CN CN202010321482.6A patent/CN111585979B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN110932907A (zh) * | 2019-12-03 | 2020-03-27 | 北京大学 | 一种Linux容器网络配置方法及网络*** |
CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关***、方法及部署架构 |
Also Published As
Publication number | Publication date |
---|---|
CN111585979A (zh) | 2020-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2724497B1 (en) | Private virtual local area network isolation | |
US11611454B2 (en) | Distributed network interfaces for application cloaking and spoofing | |
JP2017204887A (ja) | コンピューティングノード間の通信の構成 | |
CN110290045B (zh) | 一种云架构下网络靶场软硬结合模型构建方法 | |
US20190250938A1 (en) | Computer system architecture and computer network infrastructure including a plurality of such computer system architectures | |
US20200153861A1 (en) | Decoy apparatus and method for expanding fake attack surface using deception network | |
CN111585979B (zh) | 一种基于网络映射的复杂多构网络隔离技术实现方法 | |
Ashraf et al. | Analyzing challenging aspects of IPv6 over IPv4 | |
Tran et al. | A network topology-aware selectively distributed firewall control in sdn | |
US20060150243A1 (en) | Management of network security domains | |
Robertson et al. | CINDAM: Customized information networks for deception and attack mitigation | |
Ahmed et al. | Designing a secure campus network and simulating it using Cisco packet tracer | |
Ranjbar et al. | Domain isolation in a multi-tenant software-defined network | |
Shimanaka et al. | Cyber deception architecture: Covert attack reconnaissance using a safe sdn approach | |
CN110505095B (zh) | 一种使用少量服务器搭建大规模虚拟数据中心的方法 | |
US10944665B1 (en) | Auto-discovery and provisioning of IP fabric underlay networks for data centers | |
CN107659446B (zh) | 一种waf迁移方法和装置 | |
George et al. | A Brief Overview of VXLAN EVPN | |
CN114422196B (zh) | 一种网络靶场安全管控***和方法 | |
CN115865601A (zh) | 一种跨云数据中心的sdn网络通信*** | |
JP7000863B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
Alani et al. | Survey of optimizing dynamic virtual local area network algorithm for software-defined wide area network | |
Mim et al. | A Secure Network Architecture for any on Premises Organization; Possible Vulnerabilities & their Solutions in CISCO | |
Reyes et al. | Security assessment on a VXLAN-based network | |
KR102184757B1 (ko) | 네트워크 은닉 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |