使用开源免费软件建立企业内部安全研发网络(一)

最新推荐文章于 2024-05-12 00:37:48 发布
最新推荐文章于 2024-05-12 00:37:48 发布
阅读量2.9k 收藏 2
点赞数 2
文章标签: 开源 免费 安全网络 安装设置 教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laotou1963/article/details/84872059
版权

安装及配置基于开源免费软件的企业内部安全研发网络

中小微企业,特别是小微企业在启动有较高安全审计要求的项目时,用于设置研发过程全程可控和审计的设备/软件的前期费用往往是较大负担,这里我们将介绍如何使用开源免费软件建立研发过程全程可控和审计研发网络。
下图是本文实例中使用的网络架构。
在这里插入图片描述
本示例中,主要包含边界路由器(edge router),跳板机(Jump Server),工作组路由器(group router),监控服务器(ELK server)和缓存服务器(caching server)。

边界路由器(edge router):负责连接外部网络,使用OPNSense版本19.1.1。在本文中,我们将不做介绍,有关OPNSense的具体安装和配置,请参见 《OPNsense - 多功能高可靠易使用的防火墙》一文。

跳板机(Jump Server):提供远程接入安全网络服务,使用Apache的Guacamole软件包。

工作组路由器(group router):安全网络的边界路由器,建立在Ubuntu服务器版本18.04.1上。主要功能为安全网络防护墙,为安全网络提供DNS、DHCP和NTP服务,以及安全网络监控服务。

监控服务器(ELK server):收集安全网络监控及其他监控数据,并提供监控数据分析服务。

缓存服务器(caching server):安全网络内部的所有电脑不能直接连接到外网,所有允许的对外连接,都将通过改代理服务器完成。


服务器安装和配置

一、边界路由器(edge router)
在本文中,我们将不做介绍,有关OPNSense的安装和配置,请参见 《OPNsense - 多功能高可靠易使用的防火墙》一文。



二、安装、配置跳板机(Jump Server)

  1. 操作系统配置:
    apt update && apt upgrade -y
  1. 安装、配置Web服务
	1. 安装 tomcat8 server
	apt install tomcat8 -y
	
	2. 将内部 Certificate Authority 的证书添加到 JAVA 的 keystore
	keytool -importcert -file /usr/share/ca-certificates/lswin/LSWIN-ROOT-CA.crt -keystore /usr/lib/jvm/default-java/lib/security/cacerts
	
	3. 将由内部 Certificate Authority 为跳板机生成的证书下载并复制到 /var/lib/tomcat8/conf
	   我们的证书分别是:jumpserv.crt 和 jumpserv.key
	
	4. 修改/var/lib/tomcat8/conf/server.xml,启用SSL
		<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
               maxThreads="150" SSLEnabled="true" >
			<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
			<SSLHostConfig>
     			<Certificate certificateKeyFile="conf/jumpserv.key"
               		certificateFile="conf/jumpserv.crt"
               		type="RSA" />
			</SSLHostConfig>
		</Connector>

	5. 使用 nginx 作为 web 前端服务器
		a) 安装 nginx
			apt install nginx -y
		b) 修改 nginx 服务脚本(/lib/systemd/system/nginx.service),确保 nginx 在网络在线后才被启动
		将
			After=network.target
		修改为:
			After=network.target systemd-networkd-wait-online.service
	
	6. 配置nginx
		a) 启用 SSL (/etc/nginx/conf.d/tomcat-proxy.conf)
			server {
   
	  			listen 443 ssl;
	  			ssl_certificate    /var/lib/tomcat8/conf/jumpserv.crt;
	  			ssl_certificate_key    /var/lib/tomcat8/conf/jumpserv.key;
	  			server_name jumpserv.lswin.cn;
	
	  			location / {
   
	    			proxy_pass https://jumpserv.lswin.cn:8443/;
	    			proxy_buffering off;
	    			proxy_http_version 1.1;
	    			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	    			proxy_set_header Upgrade $http_upgrade;
	    			proxy_set_header Connection $http_connection;
	    			access_log off;
	  			}
	  		}
		b) 配置 HTTP -> HTTPS跳转 (/etc/nginx/http-redirect.conf)
			server {
   
    			listen 80;
    			server_name jumpserv.lswin.cn;
    			return 301 https://jumpserv.lswin.cn;
			}
  1. 安装编译工具安装编译工具
	apt install build-essential autoconf
  1. 安装支持软件包
	a) 安装必需软件库
		apt install libcairo2-dev libjpeg-turbo8-dev libossp-uuid-dev
	b) 安装协议支持软件库 (只支持VNC、RDP和SSH,不支持Telnet)
		apt install libavcodec-dev libavutil-dev libswscale-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libvncserver-dev libpulse-dev libssl-dev libvorbis-dev libwebp-dev
  1. 下载Guacamole服务(guacd)软件包
    从Guacamole项目主站下载 guacamole-server-1.0.0.tar.gz
  2. 编译、安装guacd
	a) 在当前目录下解压Guacamole源码
		tar -xzf guacamole-server-1.0.0.tar.gz
	b) 转到源码目录
		cd guacamole-server-1.0.0
	c) 自动配置Makefile
		./configure --with-init-dir=/etc/init.d
		Makefile产生后,将自动显示Makefile的配置情况,和下面的类似。
		------------------------------------------------
		guacamole-server version 1.0.0
		------------------------------------------------
		   Library status:
		
		     freerdp ............. yes
		     pango ............... yes
		     libavcodec .......... yes
		     libavutil ........... yes
		     libssh2 ............. yes
		     libssl .............. yes
		     libswscale .......... yes
		     libtelnet ........... no
		     libVNCServer ........ yes
		     libvorbis ........... yes
		     libpulse
最低0.47元/天 解锁文章
码场老农
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
互联网开发中常见的安全问题
dba_1984的专栏
12-17 474
一:DOS攻击,暂时还没什么好办法预防,当受到攻击的时候应求助于公司安全部门,让他们来防护和对抗。   二:要制定安全的协议,防止协议本身就有逻辑漏洞。公网传输的数据要加密,防止重放攻击、中间人攻击等。   三:熟悉apache、nginx等web服务器的漏洞及攻击方式,升级到合适的版本和采取正确的配置一般可以避免。         php等开源框架也经常会有漏洞,导致服务器被入侵。使用
guacd、 guacenc、 guaclog 使用方法
qq_43420088的博客
01-31 492
通过 guacd 命令可以看出例如: 将guacd 在前台以调试模式运行。
2024年网络安全最全最受欢迎的十大开源黑客工具推荐_kali里面spectrology,最新网络安全大厂高频面试题
最新发布
2301_82257383的博客
05-12 358
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
【Guacamole中文文档】二、用户指南—— 2.Guacamole源码安装
weixin_39974140的博客
02-21 3621
Guacamole源码安装 Guacamole分为两部分:guacamole-server,提供Guacamole代理和相关库;以及guacamole-client,提供通过servlet容器(通常是Apache Tomcat)运行服务的客户端。 guacamole-client可以是二进制形式,但guacamole-server必须从源代码构建。不要怕:源代码方式构建Guacamole的组件并不像听起来那么难,而且构建过程是自动化的。你只需要确保提前安装了必要的工具。有了必要的依赖关系,制作Guacamo
超详细讲解搭建guacamole实现远程桌面
热门推荐
asd372506589的博客
05-28 1万+
由于项目需求需要一个远程桌面的内容,开始调研了guacamole,毕竟大厂,下面说下集成细节,希望帮助更多小伙伴。 官网地址:http://guacamole.apache.org/ 由于项目不需要Kubernetes与group等内容,只是简单的远程桌面,这里就使用了1.0.0的版本。 根据官网地址选择下载客户端与服务端 1、环境准备 按照API内容,服务端需要依赖更改lib,这里选择yum安装。API地址:http://guacamole.apache.org/doc/gug/ -...
guacamole1.4.0安装记录
u011037218的博客
06-09 1596
guacamole安装
谈谈汽车软件研发安全体系.pdf
06-23
通过建立标准化平台,企业能够统一软件生命周期的各个环节,促进DevOps文化,使开发和运维团队更好地协作,同时通过自动化工具链降低风险,如自动化测试和发布,以及减少供应链和开源代码使用带来的安全隐患。...
2020北京网络安全大会 - 安全技术资料汇总(共79份).zip
02-06
7. **自主可控创新发展探讨**:自主可控技术对于国家和企业网络安全具有重要意义,文件可能讨论了如何通过自主研发和控制核心科技来提升安全能力。 8. **区块链域名数据分享开源项目**:区块链技术在安全领域的...
Image Restore-开源
06-29
Image Restore项目作为开源软件,意味着它为开发者和研究人员提供了透明的实现方式,他们可以查看和学习算法的内部工作原理,甚至根据自己的需求进行定制和改进。这种开放的协作模式促进了技术的进步,同时也降低了...
全流程一体化开源软件管理与实践.docx
07-08
《全流程一体化开源软件管理与实践》 随着信息技术的飞速发展,云计算...对于其他行业和企业,这一模式同样具有借鉴意义,尤其是在当前开源软件已成为行业发展的主流趋势下,建立有效的开源软件管理体系显得尤为重要。
Windows CE VNC server-开源
05-30
适用于 Windows CE 的裸机 VNC 服务器。 目前仅支持未压缩的块。 作为可行性研究项目的一部分,它是从 AT&T(Windows 服务器版本 3.3.3.r9)的原始代码移植而来的。 也可以在 VC++6 下编译。
全流程一体化开源软件管理与实践.pdf
07-08
《全流程一体化开源软件管理与实践》的议题着重探讨了在互联网时代...这一模式对于其他行业也有重要的借鉴意义,尤其是在数字化转型过程中,如何构建适合自身特点的开源软件管理体系,将是企业成功利用开源技术的关键。
完全使用开源免费软件企业网络系统
码场老农的博客
06-26 2634
完全使用开源免费软件的科技企业网络系统(预告) 一些朋友问我,写 “OPNsense - 多功能高可靠易使用的防火墙” 的目的是什么?这种类型的文章已经有很多了,多你一个不多,少你一个不少。这篇博文只是系列中的第一篇,真正的目的是要做一个专题系列 - “完全使用开源免费软件的科技企业网络系统”。希望通过这个系列,能给中小微企业提供一个低建设成本/低维护成本/较高可靠性的企业网络系统参考样本,也希...
Guacamole会话记录屏幕录像
allway2的博客
07-16 4002
在Gucamole服务器mkdir / Connection-Name中创建一个文件夹chown dameon.dameon / Connection-Name Web GUI 现有连接导航到“屏幕录像”选项录像路径:/ Connection-Name录像名称:Connection-name包括按键事件:勾选 保存连接。 测试场景 保存连接后,可通过浏览器使用鳄梨酱连接RDP会话 导航到/ Connection-Name并检查名为Connection-name的文件名 如果要观看视频,则需要对文
guacamole安装
cyx199602的博客
05-04 3104
centos7部署guacamole 系统环境 CentOS7.9 + Tomcat8.5 + JDK18 + guacamole-server1.3.0 一、环境准备 1、关闭防火墙 #关闭防火墙 systemctl stop firewalld.service #开机禁用防火墙 systemctl disable firewalld.service 2、安装依赖 libguac使用Cairo进行图形渲染。如果没有安装Cairo,鳄梨酱就无法运作。 libguac使用libjpeg-turbo来提供J
docker gunicorn 部署 flask
计算机辅助工程
01-13 493
docker gunicorn 部署flask: 参考:https://www.jianshu.com/p/2e11e83a0cfa gunicorn 运行 flask: 参考:https://zhuanlan.zhihu.com/p/88422780
php 开源企业网站,TayCMS 免费开源企业网站建站系统 For PHP v1.8
weixin_31230841的博客
03-13 849
由于精力有限,程序更新比较慢,请大家谅解,再次感谢支持taycms的朋友们,虽然比较慢,我们还是会一直更新下去的。谢谢您的关注。有什么建议可以到论坛提出,或者直接给我QQ留言。2.0会有很多新功能,请关注官方论坛TayCMS 1.8 升级日志此版本修复了不少BUG1.更换图片切换JS , 不会再有错误提示2.增加资料下载模块3.更换默认模版,使程序功能和页面结构更清晰,方便参考制作模版4.修复留言...
如何保护研发网中的代码数据安全
文件数据安全交换
06-29 533
大部分的企业,为了保护核心数据,都会做网络隔离,绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。 尤其是研发企业内部存在代码等核心数据,包含了有价值的知识产权,是公司投入的高额研发费用的产出,需要小心保护,所以企业都会选择将研发网进行隔离。但是也并不是隔离之后就万事大吉了,还是存在诸多问
内部开源:Baidu实践中的文化转型与优势
首先,InnerSource定义为在组织内部应用开源软件开发的最佳实践,建立类似开源文化的项目管理方式(参考Wikipedia)。它鼓励企业内部团队之间的代码共享,即使不是公开发布到外部社区,也允许其他部门利用、改进或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值