虛擬機技術在網絡信息安全教學中的應用

摘要:當前很多院校都開設了有關網絡信息安全的課程，然而由于部分院校還沒有來得及建立相關的專業實驗室，而正常的教學工作用機又不允許安裝實驗演示需要的環境和軟件，只能進行單純的理論教學，因此很難激發學生的學習興趣，學習效果也達不到預期目標。筆者經過一段時間的摸索，通過采用虛擬機技術，在一臺實體的計算機上，安裝任意臺的虛擬機，模擬真實網絡服務環境，解決了網絡信息安全教學備課、教學演示中對于特殊網絡環境的要求問題。

關鍵詞:網絡信息安全;虛擬機技術;安全教學

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)05-1165-01

1 虛擬機技術的簡介

所謂虛擬機，顧名思義就是虛擬出來的計算機。虛擬機技術也就是利用虛擬機軟件可以在一臺實體計算機上虛擬出來若干臺計算機一種技術。這些虛擬出來的計算機和真實的實體計算機幾乎完全一樣，每臺虛擬機可以運行單獨的操作系統而互不干擾，而且可以隨意修改虛擬機的系統設置，而不用擔心對實體計算機造成損失。

采用虛擬機技術一方面可以解決一般院校課堂教學沒有網絡環境的問題，另一方面也可以解決一些帶有破壞性的實驗演示所需要的特殊環境要求的問題。

2 利用虛擬機技術構建實驗演示環境。

在木馬的功能與危害實驗、網絡攻擊典型手段等演示中需要在一臺實體機(為了方便備課和教學可以采用筆記本電腦)上同時啟動多臺虛擬機，對實體機的系統資源占用量大，在操作中也經常需要重新啟動虛擬機，考慮到Virtual PC在資源占用和簡單易用上的優勢，所以，在本課程的實驗演示中虛擬機軟件選用了Virtual PC。

Virtual PC虛擬機軟件的安裝和設置不是很復雜，但是在構建具體的實驗演示環境時還要注意以下幾點事項。

1)虛擬機數量的選擇問題。為了節約資源，提高系統運行速度，一般建立2個虛擬機就能滿足實驗演示的需要了。

2)虛擬機操作系統安裝的問題。如果建立了2個虛擬機，一般一個安裝Windows 2000 Server操作系統，另一個安裝Windows XP操作系統，安裝過程和操作與實體機上的操作一致。在安裝操作系統時要注意版本的選擇，因為我們的目的是要演示木馬的功能和危害還有網絡攻擊手段，因此虛擬機的操作系統還不能全部打上補丁和安裝殺病毒軟件。

3)實體機的網絡配置問題。Virtual PC是通過在現有網卡上綁定Virtual PC Emulated Switch服務實現網絡共享的。對于Windows 2000或Windows XP等操作系統，如果實體機在課堂教學時網線沒插或沒有網卡的時候，要安裝Microsoft的loopback軟網卡，才能實現網絡共享。在Virtual PC的Global Setting里，當有網卡并插好網線的時候，將Virtual Switch設成現實的網卡;當沒有網卡或網線沒插的時候，將Virtual Switch設成MS Loopback軟網卡，即可實現網絡共享。

4)實體機的硬盤空間問題。在一個硬盤分區中，為每臺虛擬機的映像文件預留足夠的硬盤空間。Windows2000 Server的虛擬機映像文件約占2.4GB，Windows XP的虛擬機映像文件約占1.5GB。如果啟用硬盤Undo功能，所需硬盤空間還要增加一倍。

5)實體機的內存大小的問題。由于在實驗演示時要同時啟動2個以上的虛擬機的數量，所以，要盡量擴大實體機內存的大小。建議實體機系統的內存最少也要達到1G。

3 虛擬機環境應用于網絡信息安全課堂實驗演示

在網絡信息安全課程教學中，虛擬機環境主要應用于網絡典型攻擊手段和木馬的功能與危害實驗演示，在實際演示時，可以將這兩部分有機的結合起來，使學生對于網絡漏洞泄密隱患有更加真切的體會。本文設計的演示內容是利用RPC漏洞攻擊和灰鴿子木馬的功能與危害，具體實驗演示設計如下:

1)在實體機上分別啟動Windows2000 Server的虛擬機作為攻擊目標機，啟動Windows XP的虛擬機作為攻擊計算機。

2)在攻擊計算機上啟動DCOM漏洞掃描工具，掃描目標機IP地址，結果顯示目標機存在RPC漏洞。

3)在攻擊計算機上打開第一個shell模式窗口，啟動端口監聽程序NC，并啟動監聽端口。

4)在攻擊計算機上再打開一個shell模式窗口，利用緩沖區溢出攻擊程序對目標機進行攻擊。攻擊成功后將在第一個shell模式窗口取得目標機shell模式窗口權限。

5)在攻擊計算機上運行灰鴿子配置程序，配置服務器段安裝程序。

6)利用tftp程序將配置好的服務器段安裝程序上傳至目標計算機，并安裝啟動。

7)在攻擊計算機上啟動灰鴿子軟件，演示相關的功能。

4 虛擬機網絡環境應用的優點及其缺陷

利用虛擬機網絡環境，在本課程的教學中具有相當大的優勢，可簡單歸納以下兩點:

1)在一臺實體機上組建的一個虛擬機局域網環境，這個網絡的行為與真實的網絡完全一致，而且在虛擬機上進行網絡攻擊或木馬演示不用擔心對系統的破壞，演示結束后不保存虛擬機狀態即可恢復正常，方便反復教學演示。

2)每臺虛擬機，在宿主機上是一個文件或文件夾。這樣就具有良好的攜帶性和遷移性，便于教師備課準備和互相交流。

同時，利用虛擬機網絡環境應當充分考慮到如果啟動的虛擬機較多，則需要實體機內存要大且屏幕也要大，同時屏幕上較亂，所以虛擬機名稱的規劃也很重要。每次虛擬機啟動的過程也同真實環境一樣，時間較長，由此，教師在上課前必須預先啟動演示所需的虛擬機。

5 總結

對于像網絡信息安全這樣的課程需要演示實驗時，虛擬機技術的應用是必不可少的手段。它可以提高教師的備課和講課的效率和效果，完成用傳統的方法無法實現的很多教學要求，保證了教學質量，現場的攻擊演示給學生以很大感觸，對提高學生對于計算機信息系統安全保密意識有很大的幫助。

參考文獻:

[1] 王春海.虛擬機配置與應用完全手冊[M].北京:人民郵電出版社，2003.

[2] Time創作室.虛擬機典型應用技巧[M].北京:人民郵電出版社，2003.

[3] 微軟公司.Windows 2000網絡環境管理[M].北京:清華大學出版社，2002.