红蓝对抗中的网络安全设备操作手册

目录

关键要点

设备操作与实战应用

1. 防火墙 (Firewall)

蓝队（防御）用法

红队（攻击）用法

2. 入侵检测/防护系统 (IDS/IPS)

蓝队（防御）用法

红队（攻击）用法

3. Web 应用防火墙 (WAF)

蓝队（防御）用法

红队（攻击）用法

4. 安全信息与事件管理 (SIEM)

蓝队（防御）用法

红队（攻击）用法

5. 虚拟专用网络 (VPN)

蓝队（防御）用法

红队（攻击）用法

️ 6. 网络访问控制 (NAC)

蓝队（防御）用法

红队（攻击）用法

️ 7. 蜜罐 (Honeypot)

蓝队（防御）用法

红队（攻击）用法

8. 流量分析设备

蓝队（防御）用法

红队（攻击）用法

9. 沙箱设备

蓝队（防御）用法

红队（攻击）用法

10. 查漏补缺

11. 实际工作中的注意事项

---

在渗透测试和红蓝对抗中，网络安全设备是蓝队防御的核心，红队需测试其配置漏洞并尝试绕过。本手册从红队（攻击）和蓝队（防御）角度，详细介绍中国厂商常用网络安全设备的具体用法、操作步骤及实战应用，涵盖防火墙、IDS/IPS、WAF、SIEM、VPN、NAC、蜜罐等设备，补充流量分析、沙箱等知识点，优化逻辑结构，提供清晰的实战指南。

关键要点

• 设备类型：防火墙、IDS/IPS、WAF、SIEM、VPN、NAC、蜜罐、流量分析器、沙箱。

• 中国厂商：华为、腾讯云、阿里云、奇安信、360企业安全、深信服。

• 红队目标：识别配置漏洞，规避检测，模拟高级持续性威胁（APT）。

• 蓝队目标：优化设备配置，增强防御能力，实时监控威胁。

• 注意事项：红队需保持隐蔽性，遵守测试规则；蓝队需定期更新固件，优化规则。

---

设备操作与实战应用

1. 防火墙 (Firewall)

蓝队（防御）用法

• 功能：基于规则过滤网络流量，保护内外网边界。

• 中国厂商：华为 USG 系列（如 USG6500）。

• 操作步骤：

  1. 配置 ACL：登录华为 USG Web 界面或 CLI，设置安全区域（如 DMZ、内网）。

     • 示例命令：firewall policy add source 192.168.1.0/24 destination 10.0.0.0/24 action permit

  2. 启用日志：记录异常流量，发送至 SIEM。

     • 示例命令：logging enable

  3. 固件更新：定期检查华为官网，修补漏洞。

• 实际工作：监控防火墙日志，分析异常流量，优化规则阻止未授权访问。

红队（攻击）用法

• 目标：绕过规则或利用配置漏洞。

• 操作步骤：

  1. 端口扫描：使用 Nmap 扫描开放端口（如 SSH、HTTP）。

     • 示例命令：nmap -p- --min-rate=1000 -T4 192.168.1.1

  2. 弱口令测试：使用 Hydra 爆破管理界面。

     • 示例命令：hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.1 ssh

  3. 漏洞利用：查找华为 USG 漏洞（如 CVE-2020-7982），用 Metasploit 测试。

     • 示例命令：msfconsole -q -x "use exploit/windows/http/huawei_usg_rce; set RHOSTS 192.168.1.1; run"

• 实际工作：模拟外部攻击，测试规则漏洞，验证日志记录能力。

• 案例：发现华为 USG 开放 SSH 端口，爆破弱口令获取管理权限。

2. 入侵检测/防护系统 (IDS/IPS)

蓝队（防御）用法

• 功能：IDS 监测异常流量并告警，IPS 阻断威胁。

• 中国厂商：360 企业安全 QingLong IDS/IPS、奇安信天眼。

• 操作步骤：

  1. 配置规则：在奇安信天眼界面启用 SQL 注入、XSS 规则。

  2. 调整阈值：优化敏感度，减少误报。

  3. 日志集成：将日志发送至 SIEM。

• 实际工作：实时监控告警，分析攻击模式，优化规则应对新型威胁。

红队（攻击）用法

• 目标：规避 IDS/IPS 检测。

• 操作步骤：

  1. 加密流量：使用 HTTPS 或 Chisel 隧道隐藏攻击。

     • 示例命令：chisel server --reverse --port 9092

  2. 分段 Payload：用 Burp Suite 分段发送 SQL 注入或 XSS Payload。

     • 示例：curl "http://target.com/?id=1' OR '1'='1"

  3. 测试检测：发送编码 Payload，观察 IPS 拦截。

• 实际工作：模拟高级攻击，评估检测灵敏度和响应速度。

• 案例：使用 Metasploit 编码 Payload，测试 360 QingLong 是否检测到恶意流量。

3. Web 应用防火墙 (WAF)

蓝队（防御）用法

• 功能：防御 Web 攻击（如 SQL 注入、XSS）。

• 中国厂商：腾讯云 WAF、阿里云 WAF。

• 操作步骤：

  1. 配置规则：在腾讯云 WAF 控制台启用 SQL 注入、XSS 防护。

  2. 设置白/黑名单：允许合法 IP，阻止可疑 IP。

  3. 日志分析：检查拦截日志，优化规则。

• 实际工作：监控 WAF 日志，调整规则应对新型攻击。

红队（攻击）用法

• 目标：绕过 WAF 检测。

• 操作步骤：

  1. 编码 Payload：使用 Base64 或 Unicode 编码。

     • 示例：%3Cscript%3Ealert(1)%3C/script%3E

  2. 分段请求：用 Burp Suite Repeater 分段发送 Payload。

  3. 复杂 Payload：构造嵌套 XSS 或 SQL 注入，测试拦截能力。

• 实际工作：模拟 Web 攻击，评估 WAF 配置，提供优化建议。

• 案例：针对腾讯云 WAF，测试编码 XSS，成功绕过触发漏洞。

4. 安全信息与事件管理 (SIEM)

蓝队（防御）用法

• 功能：集中收集日志，检测威胁并生成警报。

• 中国厂商：奇安信天眼、360 态势感知平台。

• 操作步骤：

  1. 集成日志：导入防火墙、IDS/IPS、WAF 日志。

  2. 配置规则：设置异常登录、恶意 IP 检测规则。

  3. 生成报告：生成威胁分析报告。

• 实际工作：监控网络态势，及时响应威胁。

红队（攻击）用法

• 目标：规避 SIEM 检测。

• 操作步骤：

  1. 低频攻击：使用慢速扫描规避告警。

     • 示例命令：nmap -p- --min-rate=10 -T2 192.168.1.1

  2. 伪造日志：注入虚假日志，测试误报。

  3. 横向移动：用 PowerShell 模拟内网移动，观察检测。

     • 示例命令：Invoke-Command -ComputerName target -ScriptBlock { whoami }

• 实际工作：评估 SIEM 告警阈值，提出优化建议。

• 案例：模拟内网横向移动，测试奇安信天眼是否生成警报。

5. 虚拟专用网络 (VPN)

蓝队（防御）用法

• 功能：提供加密通道，确保远程访问安全。

• 中国厂商：华为 VPN 网关、腾讯云 VPN。

• 操作步骤：

  1. 配置 VPN：设置 IPSec 或 SSL VPN。

  2. 启用认证：使用证书或双因素认证。

  3. 日志审计：检查访问日志，检测异常。

• 实际工作：确保仅合规用户访问，防止未授权接入。

红队（攻击）用法

• 目标：测试 VPN 安全性。

• 操作步骤：

  1. 弱口令测试：用 Hydra 爆破凭据。

     • 示例命令：hydra -l admin -P /usr/share/wordlists/rockyou.txt target ssh

  2. 漏洞利用：查找 VPN 固件漏洞，尝试 RCE。

  3. 内网访问：通过 VPN 获取内网权限。

• 实际工作：评估 VPN 认证机制和内网隔离效果。

• 案例：测试华为 VPN 网关 TCP 443 端口弱口令，获取内网权限。

️ 6. 网络访问控制 (NAC)

蓝队（防御）用法

• 功能：管理设备接入，验证身份和合规性。

• 中国厂商：华为 NAC、大华 NAC。

• 操作步骤：

  1. 配置策略：设置基于 MAC 或证书的认证。

  2. 隔离设备：将未认证设备隔离到客体网络。

  3. 日志监控：检查接入日志，识别异常设备。

• 实际工作：确保仅合规设备接入网络。

红队（攻击）用法

• 目标：绕过 NAC 认证。

• 操作步骤：

  1. 伪造身份：用 Kali 伪造 MAC 地址。

     • 示例命令：ifconfig eth0 hw ether 00:11:22:33:44:55

  2. 弱认证测试：尝试破解默认凭据。

  3. 测试隔离：模拟未合规设备接入，验证隔离效果。

• 实际工作：评估 NAC 设备管理能力。

• 案例：伪造设备身份，测试大华 NAC 是否隔离未授权设备。

️ 7. 蜜罐 (Honeypot)

蓝队（防御）用法

• 功能：诱捕攻击者，收集攻击情报。

• 中国厂商：360 企业安全蜜罐、奇安信蜜罐系统。

• 操作步骤：

  1. 部署蜜罐：模拟真实服务（如 Web 服务器）。

  2. 监控流量：记录访问蜜罐的流量。

  3. 情报分析：分析攻击模式，优化防御。

• 实际工作：通过蜜罐收集情报，改进安全策略。

红队（攻击）用法

• 目标：测试蜜罐防护效果。

• 操作步骤：

  1. 攻击蜜罐：用 Metasploit 攻击蜜罐。

     • 示例命令：msfconsole -q -x "use exploit/windows/http/apache_chunked; set RHOSTS honeypot_ip; run"

  2. 分析响应：检查蜜罐是否记录攻击细节。

• 实际工作：评估蜜罐的吸引力和防护效果。

• 案例：攻击 360 蜜罐，验证其记录攻击细节的能力。

8. 流量分析设备

蓝队（防御）用法

• 功能：监控网络流量模式，检测异常行为。

• 中国厂商：深信服流量分析器。

• 操作步骤：

  1. 配置流量采集：设置捕获点，收集网络流量。

  2. 分析异常：识别异常流量模式（如高频扫描）。

  3. 告警设置：配置告警规则，通知安全团队。

• 实际工作：监控流量，及时发现潜在威胁。

红队（攻击）用法

• 目标：规避流量分析检测。

• 操作步骤：

  1. 低频扫描：降低扫描频率，规避检测。

     • 示例命令：nmap -p- --min-rate=10 -T2 192.168.1.1

  2. 加密流量：使用 HTTPS 或 VPN 隐藏攻击。

  3. 伪造流量：模拟正常流量，混淆分析。

• 实际工作：测试流量分析器的检测能力，提供优化建议。

• 案例：使用低频扫描规避深信服流量分析器检测。

9. 沙箱设备

蓝队（防御）用法

• 功能：分析恶意文件，检测潜在威胁。

• 中国厂商：奇安信沙箱。

• 操作步骤：

  1. 配置沙箱：设置文件分析环境（如 Windows、Linux）。

  2. 上传样本：上传可疑文件进行分析。

  3. 分析报告：生成恶意行为报告。

• 实际工作：检测恶意软件，阻止潜在威胁。

红队（攻击）用法

• 目标：绕过沙箱检测。

• 操作步骤：

  1. 编码 Payload：使用 Base64 或混淆技术隐藏恶意代码。

  2. 环境检测：构造 Payload 检测沙箱环境，规避执行。

  3. 测试样本：上传样本，观察沙箱检测能力。

• 实际工作：评估沙箱检测效果，提供改进建议。

• 案例：使用混淆 Payload 绕过奇安信沙箱检测。

10. 查漏补缺

• DDoS 防护设备：

  • 功能：防御分布式拒绝服务攻击。

  • 中国厂商：腾讯云、阿里云 DDoS 防护。

  • 红队用法：模拟 DDoS 攻击，测试响应能力。

• 端点检测与响应（EDR）：

  • 功能：监控终端，检测恶意行为。

  • 中国厂商：奇安信天擎、360 终端安全。

  • 红队用法：模拟恶意软件植入，测试检测能力。

• 零信任架构：

  • 功能：验证每次访问。

  • 中国厂商：华为云零信任、腾讯云零信任。

  • 红队用法：测试凭证窃取或会话劫持。

• 威胁情报平台：

  • 功能：提供实时威胁数据。

  • 中国厂商：奇安信威胁情报中心。

  • 红队用法：评估情报准确性。

11. 实际工作中的注意事项

• 隐蔽性：红队使用加密流量、低频攻击规避检测。

• 规则遵守：遵循测试规则，避免影响生产环境。

• 报告撰写：提供详细测试报告，包含漏洞详情和修复建议。

• 协作：与蓝队沟通，优化防御策略。

#!/bin/bash
# 红队网络安全设备测试脚本
TARGET="192.168.1.1"
WAF_URL="http://target.com"
LOG_FILE="red_team_test.log"
​
# 防火墙端口扫描
echo "[*] 扫描防火墙开放端口..." | tee -a $LOG_FILE
nmap -p- --min-rate=1000 -T4 $TARGET >> $LOG_FILE
​
# WAF 绕过测试
echo "[*] 测试 WAF 绕过..." | tee -a $LOG_FILE
curl -X GET "$WAF_URL/?id=%3Cscript%3Ealert(1)%3C/script%3E" >> $LOG_FILE
​
# IDS/IPS 检测规避
echo "[*] 测试 IDS/IPS 检测..." | tee -a $LOG_FILE
msfconsole -q -x "use auxiliary/scanner/http/http_version; set RHOSTS $TARGET; run; exit" >> $LOG_FILE
​
# VPN 弱口令测试
echo "[*] 测试 VPN 弱口令..." | tee -a $LOG_FILE
hydra -l admin -P /usr/share/wordlists/rockyou.txt $TARGET ssh >> $LOG_FILE
​
echo "[*] 测试完成，查看 $LOG_FILE 获取结果" | tee -a $LOG_FILE