我有一个快速的问题。这与其说是一个实际问题,不如说是一个概念问题,但基本上我想做的是在我公司的一台计算机上建立一个恶意软件分析实验室。我已经有一台带有一堆虚拟机的基本 Windows 机器,用于分析恶意软件。我的问题在于,我希望我正在分析的恶意软件能够访问 Internet,以便它可以正常运行,但没有机会到达内部网络。我正在使用 Watchguard XTM 2 系列防火墙,并希望了解如何实现这一目标。这样做的最佳方法是什么?像 DMZ 这样的东西,恶意软件流量可以在互联网上进出,但不能进入我们的主网络?我找不到任何关于如何正确配置它的教程,但是一旦我知道我想做的事情是正确的,我就可以做更多的搜索。谢谢!
带有 watchguard 防火墙的恶意软件实验室
网络工程
防火墙
安全
2021-07-07 18:21:01
1个回答
没有机会到达内部网络
顾名思义,这意味着一个 100%、完全独立的网络。电缆、交换机、路由器,应有尽有。如果没有物理布线错误,测试环境就不可能接触到内部网络。
但是,我明白这是不可能实现的。因此,您将回退到使用 VLAN 来创建“虚拟”隔离,以及防火墙/路由器上的 DMZ VLAN 子接口或辅助真实接口 -或第二个防火墙。然后防火墙/路由器将需要 ACL 和/或其他安全规则来防止内部和 DMZ 网络交互——超出您可能需要的非常有限的管理访问权限。
我不能夸大对尽可能多的物理隔离的需要。甚至您的 VM 主机也是您内部网络的可能载体——不要指望“VM”留在其容器内。
(我已经很久没有接触过守望者了,所以我不能告诉你如何配置你的守望者的任何细节。)