虛擬化技術(shù)下的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)設(shè)計(jì)

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了虛擬化技術(shù)下的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)設(shè)計(jì)范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：網(wǎng)絡(luò)安全類課程實(shí)驗(yàn)對(duì)培養(yǎng)學(xué)生實(shí)踐能力至關(guān)重要，由于網(wǎng)絡(luò)安全類實(shí)驗(yàn)對(duì)設(shè)備和網(wǎng)絡(luò)環(huán)境的破壞性，以及實(shí)驗(yàn)設(shè)備多樣性等要求難以滿足，造成目前網(wǎng)絡(luò)安全類實(shí)驗(yàn)不能滿足人才培養(yǎng)的需求。針對(duì)存在的問(wèn)題，本文利用基于虛擬化技術(shù)構(gòu)建了網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，通過(guò)建立硬件資源池，提供多種虛擬實(shí)驗(yàn)環(huán)境及虛擬安全設(shè)備；通過(guò)建立課程資源池，擴(kuò)充了實(shí)驗(yàn)項(xiàng)目。實(shí)踐證明，本實(shí)驗(yàn)平臺(tái)提高了學(xué)生動(dòng)手實(shí)踐能力，取得較好的實(shí)際效果，達(dá)到了設(shè)計(jì)目標(biāo)。

關(guān)鍵詞：虛擬化；虛擬機(jī)；資源池；網(wǎng)絡(luò)安全；實(shí)驗(yàn)平臺(tái)

引言

目前，計(jì)算機(jī)網(wǎng)絡(luò)在各領(lǐng)域得到了廣泛的應(yīng)用，網(wǎng)絡(luò)帶給了人們極大的便利，但是網(wǎng)絡(luò)安全的問(wèn)題也日益突出，網(wǎng)絡(luò)安全問(wèn)題在國(guó)際上得到了各國(guó)的高度重視[1]。在我國(guó)，2015年，網(wǎng)絡(luò)空間安全一級(jí)學(xué)科設(shè)立；2016年通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，這體現(xiàn)了國(guó)家對(duì)網(wǎng)絡(luò)安全的重視。我國(guó)還成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，全力打造網(wǎng)絡(luò)安全強(qiáng)國(guó)。因此，培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全人才，必須引起高校相關(guān)專業(yè)的重視。在網(wǎng)絡(luò)安全類課程實(shí)驗(yàn)中，行業(yè)熱點(diǎn)更新快，實(shí)驗(yàn)內(nèi)容相對(duì)滯后，同時(shí)實(shí)驗(yàn)對(duì)網(wǎng)絡(luò)安全設(shè)備要求種類多，經(jīng)費(fèi)投入大，并且攻防實(shí)驗(yàn)、病毒實(shí)驗(yàn)對(duì)設(shè)備、操作系統(tǒng)及網(wǎng)絡(luò)軟件環(huán)境具有破壞力，維護(hù)恢復(fù)實(shí)驗(yàn)環(huán)境工作量大，給管理帶來(lái)不便[2]。因此，目前網(wǎng)絡(luò)安全實(shí)驗(yàn)大多只進(jìn)行演示實(shí)驗(yàn)和簡(jiǎn)單驗(yàn)證實(shí)驗(yàn)，不能進(jìn)行綜合性設(shè)計(jì)性實(shí)驗(yàn)。隨著虛擬化技術(shù)和云計(jì)算的發(fā)展應(yīng)用，通過(guò)研究發(fā)現(xiàn)，在網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境建設(shè)中，科研利用虛擬化技術(shù)來(lái)解決現(xiàn)存在的問(wèn)題[3]。通過(guò)建立硬件資源池，學(xué)生在虛擬機(jī)上實(shí)驗(yàn)，能夠?qū)崿F(xiàn)多種操作系統(tǒng)環(huán)境，不僅能盡量利用硬件資源，減少投入，而且管理方便，易于維護(hù)和升級(jí)。

1現(xiàn)狀及問(wèn)題

相較于最早的主機(jī)+網(wǎng)絡(luò)安全設(shè)備模式，目前，網(wǎng)絡(luò)安全實(shí)驗(yàn)室已經(jīng)利用一些虛擬仿真軟件，做了一定的優(yōu)化，主要有兩種方式組織，一種是單機(jī)虛擬PC+網(wǎng)絡(luò)安全設(shè)備。利用vmware，用戶可創(chuàng)建多個(gè)虛擬PC，模擬出windows\linux多系統(tǒng)環(huán)境，不需要進(jìn)行系統(tǒng)重啟切換，能進(jìn)一步減少投入，解決電腦臺(tái)套數(shù)問(wèn)題和軟件環(huán)境維護(hù)問(wèn)題[4]，但是由于虛擬PC與真實(shí)環(huán)境中的設(shè)備通信存在問(wèn)題，故障率高，而且，網(wǎng)絡(luò)安全設(shè)備的投入還是很大，升級(jí)慢。另一種是單機(jī)+模擬安全設(shè)備，利用packettracer、GNS3等模擬器來(lái)模擬一些防火墻[5]，路由器等設(shè)備。但是，由于這些軟件主要用于拓?fù)浣M網(wǎng)，路由管理維護(hù)方面的網(wǎng)絡(luò)實(shí)驗(yàn)，在模擬網(wǎng)絡(luò)安全設(shè)備方面運(yùn)行不穩(wěn)定，功能少，能實(shí)現(xiàn)的實(shí)驗(yàn)類型非常有限，只能做簡(jiǎn)單的訪問(wèn)控制和等實(shí)驗(yàn)。而且不能模擬服務(wù)器、linux多系統(tǒng)環(huán)境，實(shí)驗(yàn)受到較大限制。由于實(shí)驗(yàn)條件的以上限制，導(dǎo)致了目前網(wǎng)絡(luò)安全教學(xué)普遍重理論，輕實(shí)驗(yàn)，這與課程的特性不符，理論知識(shí)過(guò)于枯燥抽象，導(dǎo)致學(xué)生沒(méi)興趣，學(xué)不好。但是，網(wǎng)絡(luò)安全類設(shè)備更新快，價(jià)格昂貴，實(shí)驗(yàn)環(huán)境投入大，維護(hù)難，導(dǎo)致設(shè)備臺(tái)套數(shù)不夠，同等設(shè)備大量購(gòu)置又存在經(jīng)費(fèi)投入大，場(chǎng)地占用大等問(wèn)題。綜上，目前網(wǎng)絡(luò)安全實(shí)驗(yàn)存在的問(wèn)題有：實(shí)驗(yàn)對(duì)網(wǎng)絡(luò)安全設(shè)備要求種類較多，經(jīng)費(fèi)投入大，并且實(shí)驗(yàn)過(guò)程對(duì)設(shè)備、實(shí)驗(yàn)操作系統(tǒng)及網(wǎng)絡(luò)軟件環(huán)境具有破壞力，維護(hù)恢復(fù)實(shí)驗(yàn)環(huán)境工作量大，給管理帶來(lái)不便。目前，有研究者提出利用云計(jì)算虛擬機(jī)技術(shù)來(lái)解決這些問(wèn)題，取得較好的效果[6]。

2實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)施

2.1平臺(tái)設(shè)計(jì)原理

虛擬化技術(shù)是一種資源管理技術(shù)，將實(shí)體硬件資源（服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等）抽象、重組，組成同一的資源池，在此基礎(chǔ)上虛擬出多臺(tái)邏輯上獨(dú)立的設(shè)備。多個(gè)虛擬機(jī)可以運(yùn)行在一臺(tái)物理機(jī)器上，相互之間互不影響，大大提高資源利用率，減少維護(hù)成本。虛擬化技術(shù)運(yùn)行原理如圖1所示。圖1虛擬化技術(shù)圖利用這一特性，本實(shí)驗(yàn)平臺(tái)可以在物理資源池基礎(chǔ)上虛擬出多種操作系統(tǒng)：windows、linux，以及網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，因此在網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)中應(yīng)用虛擬化技術(shù)，能較好解決現(xiàn)存的問(wèn)題。目前主流的有KVM、Xen等虛擬化技術(shù)，通過(guò)對(duì)比，Xen具有開(kāi)源免費(fèi)、性能高比較好的優(yōu)勢(shì)，因此本文選用Xen虛擬化技術(shù)。

2.2設(shè)計(jì)思路

利用成熟的虛擬化技術(shù)，打造一個(gè)虛擬化網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，平臺(tái)具有可擴(kuò)展性，首先，是硬件資源可擴(kuò)充性，根據(jù)實(shí)驗(yàn)需求，可以調(diào)整/擴(kuò)充資源池，資源池中有多個(gè)虛擬安全組件，如虛擬防⽕火墻、虛擬WAF、虛擬⽹頁(yè)防篡改等，這些安全器件是可擴(kuò)充的；其次是實(shí)驗(yàn)內(nèi)容可擴(kuò)充性，可以根據(jù)教學(xué)需要，調(diào)整、增加實(shí)驗(yàn)資源包。最后，本平臺(tái)應(yīng)具有遠(yuǎn)程實(shí)驗(yàn)的功能，可以不受時(shí)間、空間限制進(jìn)行實(shí)驗(yàn)；還應(yīng)具有實(shí)驗(yàn)管理的功能，對(duì)用戶、資源、實(shí)驗(yàn)過(guò)程等進(jìn)行管理。

2.3平臺(tái)實(shí)施

根據(jù)虛擬化技術(shù)原理，平臺(tái)構(gòu)架如圖2所示。用戶層主要提供標(biāo)準(zhǔn)的web訪問(wèn)，進(jìn)行頁(yè)面展示，訪問(wèn)入口。業(yè)務(wù)層主要是功能實(shí)現(xiàn)，數(shù)據(jù)處理和數(shù)據(jù)操作接口?；A(chǔ)服務(wù)層向業(yè)務(wù)層提供服務(wù)和接口，包括虛/實(shí)設(shè)備管理、拓?fù)湓O(shè)計(jì)與管理，以及公共服務(wù)。虛擬化層通過(guò)虛擬化技術(shù)生成虛擬機(jī)，提供基礎(chǔ)虛擬化功能。硬件資源層為平臺(tái)提供運(yùn)行所需的硬件環(huán)境。平臺(tái)集成8個(gè)實(shí)訓(xùn)模塊，包括：網(wǎng)絡(luò)安全、信息系統(tǒng)安全、云計(jì)算、密碼學(xué)、安全運(yùn)、開(kāi)發(fā)語(yǔ)言、移動(dòng)安全理論等，實(shí)訓(xùn)課程資源，實(shí)驗(yàn)項(xiàng)目包括惡意代碼檢測(cè)、安全漏洞挖掘、逆向工程、密碼學(xué)、操作系統(tǒng)安全、web安全、安全研發(fā)、數(shù)據(jù)庫(kù)安全……平臺(tái)管理功能主要分為三塊，門戶管理、后臺(tái)管理、資源管理，如圖3所示。

3實(shí)驗(yàn)設(shè)計(jì)與效果

網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)部署后，設(shè)備數(shù)量、種類以及環(huán)境約束得到較好解決，以防火墻QoS流量控制實(shí)驗(yàn)為例，實(shí)驗(yàn)設(shè)計(jì)如下：QoS中的流量監(jiān)管就是對(duì)流量進(jìn)行控制，通過(guò)監(jiān)督進(jìn)入網(wǎng)絡(luò)端口的流量速率，對(duì)超出部分的流量進(jìn)行處理（這個(gè)處理可以是丟棄、也可是延遲發(fā)送），使進(jìn)入端口的流量被限制在一個(gè)合理的范圍之內(nèi)，解決網(wǎng)絡(luò)中擁塞的問(wèn)題。實(shí)驗(yàn)環(huán)境設(shè)計(jì)：虛擬防火墻一臺(tái)，虛擬windows靶機(jī)一臺(tái)（模擬內(nèi)網(wǎng)主機(jī)），虛擬Linux靶機(jī)（模擬外網(wǎng)主機(jī)）。實(shí)驗(yàn)過(guò)程：進(jìn)入管理中心，分別啟動(dòng)虛擬防火墻，虛擬windows靶機(jī)，虛擬Linux靶機(jī)。設(shè)置IP地址，使網(wǎng)絡(luò)環(huán)境符合實(shí)驗(yàn)要求。windows靶機(jī)IP和防火墻的eth1處于內(nèi)網(wǎng)段192.168.100.0，防火墻的eth2和Linux靶機(jī)IP處于外網(wǎng)172.22.10.0。實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖4所示。進(jìn)入windows虛擬機(jī)，選擇目標(biāo)設(shè)備linux，通過(guò)win-dows向linux發(fā)送數(shù)據(jù)，這里linux連接虛擬防火墻的eth2口。在防火墻里設(shè)置下行帶寬和上行帶寬，添加服務(wù)質(zhì)量規(guī)則，選擇好源主機(jī)（表示要發(fā)起操作的IP地址或者網(wǎng)段，這里是windows主機(jī)）和目的網(wǎng)絡(luò)IP（表示與源主機(jī)發(fā)生通信的目的網(wǎng)絡(luò)，這里是linux主機(jī)），選擇本次服務(wù)所使用的協(xié)議和端口。實(shí)驗(yàn)驗(yàn)證：在規(guī)則生效之前和之后，進(jìn)行遠(yuǎn)程文件拷貝，對(duì)比傳輸速度的區(qū)別，驗(yàn)證流量控制效果。本次實(shí)驗(yàn)涉及到兩種操作系統(tǒng)環(huán)境，內(nèi)外網(wǎng)及防火墻，在傳統(tǒng)的實(shí)驗(yàn)室環(huán)境難以滿足，利用本平臺(tái)，能夠滿足需求，并且做到人人可以單獨(dú)實(shí)驗(yàn)，提高學(xué)生的積極性和動(dòng)手能力。此外，學(xué)生還可以通過(guò)遠(yuǎn)程登錄進(jìn)行實(shí)驗(yàn)，滿足部分學(xué)生自學(xué)需求。目前，本校利用此平臺(tái)對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)安全方面的技能培訓(xùn)，在信息安全競(jìng)賽，網(wǎng)絡(luò)安全CTF等比賽中多次獲獎(jiǎng)。

4結(jié)束語(yǔ)

本文分析了傳統(tǒng)網(wǎng)絡(luò)安全課程實(shí)驗(yàn)環(huán)境存在的不足，設(shè)計(jì)了基于虛擬化技術(shù)的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。該平臺(tái)能夠較好滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)對(duì)設(shè)備環(huán)境的特殊要求，并且能夠降低經(jīng)費(fèi)投入，突破實(shí)驗(yàn)時(shí)間、空間限制。該平臺(tái)還支持硬件平臺(tái)和實(shí)驗(yàn)內(nèi)容資源的升級(jí)和擴(kuò)展。在實(shí)際應(yīng)用中證明，通過(guò)使用該平臺(tái)，能夠激發(fā)學(xué)生對(duì)網(wǎng)絡(luò)安全學(xué)習(xí)的積極性，提高他們的實(shí)踐能力，同時(shí)，能夠作為信息安全類學(xué)科競(jìng)賽的訓(xùn)練平臺(tái)，取得了較好的成效。

參考文獻(xiàn)

[1]張煥國(guó),韓文報(bào),來(lái)學(xué)嘉,等．網(wǎng)絡(luò)空間安全綜述[J].中國(guó)科學(xué):信息科學(xué),2016,46(2):125-164．

[2]底曉強(qiáng),韓登,楊凌翔,等．基于超融合構(gòu)架的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)探索[J].實(shí)驗(yàn)室研究與探索，2017,36(10):195-198．

[3]王瑞錦，周世杰，秦志光，等．基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)教學(xué)體系建設(shè)[J],實(shí)驗(yàn)科學(xué)與技術(shù),2015,13(4):40-43.

[4]朱曉靜，林元乖．基于虛擬化實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)信息安全課程的實(shí)踐教學(xué)改革[J].瓊州學(xué)院學(xué)報(bào)，2015,22(5):120-124．

[5]陳天武．基于GNS3和VMware的防火墻技術(shù)仿真設(shè)計(jì)[J].信息系統(tǒng)工程,2018,(11):69-71．

作者：曾小英 單位：專業(yè)實(shí)驗(yàn)教學(xué)研究工作