基于虛擬化的遠程有線網絡攻防實驗教學平臺研究

0 引言

隨著互聯網的不斷發展，網絡服務給人們帶來巨大便利的同時，網絡安全問題也在不斷的涌現。近年來，隨著美國“棱鏡門”事件的發生，網絡信息安全已然成為當今世界人們關注的焦點，網絡信息安全受到了前所未有的挑戰，網絡信息安全已經成為國家戰略安全的重要組成部分。

對于我國網絡信息安全方面面臨的嚴峻形勢，我國急需掌握網絡信息安全和攻防技術的高科技人才。由于在真實網絡中開展網絡攻防、病毒注入等實驗所帶來的安全隱患和破壞性，所以網絡攻防教學迫切需要一種具備網絡攻防實驗環境的教學平臺[1]。本文提出了一種基于虛擬化的遠程有線網絡攻防研究實驗教學平臺。學習者通過此平臺可以進行網絡攻防實戰演練，并在實戰中了解網絡攻防、病毒攻防、網絡滲透攻擊、網絡安全加固等的原理。通過實驗使學生更好的了解網絡攻防底層的運行機制，并加深學生對網絡攻防的認識[2-4]。

1 基于虛擬化的實驗教學平臺整體架構

本文設計的基于虛擬化的遠程有線網絡攻防實驗教學平臺利用了虛擬化技術模擬出遠程有線網絡攻防中的攻擊方和防守方。學生可自行為虛擬攻擊機模塊自由配置攻擊工具，同時學生也可自行為虛擬靶機模塊自由配置防護軟件和硬件防火墻。實驗完成后學生還可以通過局域網或互聯網下載實驗數據以供學生分析使用。教師可以在學生實驗后通過該實驗平臺的管理模塊對虛擬攻擊機模塊和虛擬靶機模塊的操作系統進行重置[5]。

基于虛擬化的遠程有線網絡攻防實驗教學平臺共分為8個模塊，他們分別為接入控制模塊、管理中心模塊、虛擬攻擊機模塊、虛擬靶機模塊、擴展設備配置模塊、監控中心模塊、實驗配置模塊、教學運行管理模塊。實驗平臺整體架構如圖1所示。

圖1 基于虛擬化的實驗教學平臺整體架構

①接入控制模塊：允許學生使用局域網或互聯網根據管理員分配的賬號信息通過VPN連接到教學實驗平臺。并根據賬號的屬性，判別學生可以在實驗配置模塊中所執行的操作權限。

②管理中心模塊：允許教師維護配置攻擊工具包的虛擬攻擊機鏡像和具有安全漏洞的虛擬靶機鏡像；維護可以通過網絡使用該平臺的賬號信息，并可以設置賬號在該平臺上所能開展的實驗項目權限。

③虛擬攻擊機模塊：利用虛擬化技術，根據實驗的攻擊方法，可以生成配置不同攻擊工具的Windows虛擬機和Linux虛擬機。

④虛擬靶機模塊：利用虛擬化技術，根據實驗的防護方案和攻擊方法，可以為虛擬靶機安裝不同的防護軟件，并為其配置各種不同的操作系統漏洞和應用軟件漏洞。

⑤擴展設備配置模塊：允許學生為虛擬靶機模塊配置防火墻、入侵檢測系統和安全審計系統等硬件設備，以構建多樣化的網絡環境開展實驗。

⑥監控中心模塊：利用交換機的端口鏡像功能，捕獲流經虛擬攻擊機和虛擬靶機的網絡數據流，并能按照使用局域網接入的學生或使用互聯網接入的學生所操作的虛擬機的 IP地址和應用層網絡協議類型將捕獲的數據包分類，允許學生下載自己操縱的虛擬攻擊機和虛擬靶機流入和流出的網絡數據包供其分析；監測虛擬攻擊機模塊內的虛擬攻擊機實例和虛擬靶機模塊內的虛擬靶機實例的狀態，銷毀超過預先設置時間內沒有操作的虛擬攻擊機實例和虛擬靶機實例以釋放資源。

⑦實驗配置模塊：允許互聯網接入的學生和局域網接入的學生連接到實驗教學平臺后，根據實驗要求和賬號權限自行選擇配置攻擊工具包的虛擬攻擊機鏡像生成新的虛擬攻擊機實例，選擇具有安全漏洞的虛擬靶機鏡像生成虛擬靶機實例，并為生成的虛擬攻擊機實例和虛擬靶機實例配置相應的IP地址和網絡拓撲。

⑧教學運行管理模塊：包括信息發布、互動交流、實驗預約、成績評定和成果展示等教學管理功能。

2 攻防實驗流程

攻防實驗流程如圖2所示。

實驗平臺初始化后，由教師維護學生帳號信息庫、虛擬攻擊機和虛擬靶機鏡像庫、攻擊軟件工具包，防護軟件工具包和漏洞庫等實驗資源。教師可以修改賬號的用戶名、密碼和可以操作的實驗類別。通過設置可以操作的實驗類別，為學生在使用實驗配置模塊時附加權限。

學生根據教師分配的帳號，與實驗教學平臺建立連接。使用局域網接入的學生可以通過直接輸入用戶名和密碼連接到實驗教學平臺。使用互聯網遠程接入的學生可以通過VPN與實驗教學平臺建立連接。

建立連接后，學生就可以使用平臺上為其分配的磁盤空間。學生根據實驗題目，選擇相應的虛擬機鏡像，在自己所屬磁盤空間內創建虛擬攻擊機實例和虛擬靶機實例，然后為虛擬攻擊機實例和虛擬靶機實例配置相應的 IP地址、子網掩碼、默認網關和DNS服務器以實現虛擬攻擊機實例和虛擬靶機實例的網絡連接。

圖2 實驗流程圖

利用實驗教學平臺提供的攻擊軟件工具包配置虛擬攻擊機實例，利用實驗教學平臺提供的防護軟件工具包和和漏洞庫配置虛擬靶機實例。為了模擬真實復雜的網絡環境，學生還可以為虛擬靶機配置硬件防火墻等防護設備。在完成實驗配置和設備連接后，學生就可以利用虛擬攻擊機實例和虛擬靶機實例開展網絡攻防實驗。學生完成實驗后可以關閉虛擬機實例，也可以保存當前的實驗狀態，在下次登錄后繼續進行實驗。

在實驗進行時，監控中心模塊會自動捕獲流經虛擬攻擊機實例和虛擬靶機實例的網絡數據包，收集實驗數據。學生可以隨時下載由監控中心模塊捕獲的數據包，以供其分析實驗結果。實驗完成后，監控中心模塊會自動監測虛擬攻擊機模塊內的虛擬攻擊機實例和虛擬靶機模塊內的虛擬靶機實例的狀態，銷毀超過預先設置時間內沒有操作的虛擬攻擊機實例和虛擬靶機實例以釋放資源。

3 總結

本文提出了一種基于虛擬化的遠程有線網絡攻防實驗教學平臺，學生通過該實驗教學平臺進行遠程有線網絡攻防實驗可以深刻的體驗真實復雜的網絡環境下網絡攻防的過程。學生在為虛擬攻擊機模塊配置攻擊軟件時，可以深刻的理解攻擊軟件的運行細節、病毒的注入過程和網絡滲透攻擊的原理。同時，學生在為虛擬靶機模塊配置防護軟件和硬件防火墻時，可以更好的理解防護軟件的運行細節、網絡的安全加固和防火墻的工作原理。從而通過虛擬攻擊機和虛擬靶機之間的網絡攻防演練達到實驗教學的目的。