基于開源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺

魯先志, 胡海波

(1. 重慶電子工程職業(yè)學(xué)院 計(jì)算機(jī)學(xué)院, 重慶 401331； 2. 重慶大學(xué) 軟件學(xué)院, 重慶 400044)

基于開源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺

魯先志1, 胡海波2

(1. 重慶電子工程職業(yè)學(xué)院 計(jì)算機(jī)學(xué)院, 重慶 401331； 2. 重慶大學(xué) 軟件學(xué)院, 重慶 400044)

提出了基于開源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺的解決方案,利用KVM技術(shù)、軟件定義網(wǎng)絡(luò)技術(shù)以及基于ISCSI協(xié)議的網(wǎng)絡(luò)存儲技術(shù)等實(shí)現(xiàn)了該方案,并給出了2個常用的實(shí)驗(yàn)?zāi)０濉?shí)驗(yàn)表明:使用者利用該網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺可構(gòu)建各種網(wǎng)絡(luò)滲透實(shí)驗(yàn)測試環(huán)境及虛擬企業(yè)網(wǎng)絡(luò)數(shù)據(jù)存儲環(huán)境。與基于VMware虛擬化技術(shù)解決方案相比,該網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺具有網(wǎng)絡(luò)訪問控制靈活、無需購買商業(yè)授權(quán)以及硬件資源占用少等優(yōu)點(diǎn)。

網(wǎng)絡(luò)安全；實(shí)驗(yàn)教學(xué)； KVM； 軟件定義網(wǎng)絡(luò)

1 構(gòu)建虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺的必要性

在高校網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)的教學(xué)和實(shí)驗(yàn)中,需要學(xué)生掌握操作系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備、信息安全設(shè)備和數(shù)據(jù)存儲設(shè)備的配置與管理。要完成這些實(shí)踐教學(xué)任務(wù),需要提供相關(guān)設(shè)備并搭建相應(yīng)的網(wǎng)絡(luò)環(huán)境。但是,很多高校的信息安全及相關(guān)專業(yè)的教學(xué)和實(shí)驗(yàn)環(huán)境卻不盡如人意,無法滿足教學(xué)要求,具體體現(xiàn)在:

(1) 網(wǎng)絡(luò)安全教學(xué)需要復(fù)雜的實(shí)驗(yàn)環(huán)境和測試設(shè)備,而購置這些設(shè)備的資金需求量大,并且存在設(shè)備升級和后期維護(hù)等問題；

(2) 實(shí)驗(yàn)環(huán)境多樣,搭建實(shí)驗(yàn)設(shè)備需要花費(fèi)大量的時(shí)間；

(3) 由于網(wǎng)絡(luò)安全實(shí)驗(yàn)具有破壞性,因此需要在相對隔離的環(huán)境中進(jìn)行,否則會對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng),甚至校園網(wǎng)產(chǎn)生一定的影響和危害；

(4) 現(xiàn)有的網(wǎng)絡(luò)交換、信息安全類產(chǎn)品側(cè)重于產(chǎn)品的性能、易用性、用戶體驗(yàn)等方面,屏蔽了技術(shù)實(shí)現(xiàn)的細(xì)節(jié),當(dāng)學(xué)生使用這類產(chǎn)品進(jìn)行實(shí)驗(yàn)時(shí),難以理解產(chǎn)品的實(shí)現(xiàn)原理,達(dá)不到教學(xué)效果。

近年來,一些實(shí)驗(yàn)設(shè)備制造商、軟件公司開發(fā)了一些虛擬實(shí)驗(yàn)平臺,如成都泰谷信息技術(shù)有限公司的信息安全技術(shù)實(shí)驗(yàn)平臺、神州數(shù)碼網(wǎng)絡(luò)公司推出的安全堡壘服務(wù)器系統(tǒng)和信息安全實(shí)訓(xùn)平臺[1]等。但這些實(shí)驗(yàn)系統(tǒng)僅能滿足某一專題實(shí)驗(yàn)或者是某一門課程實(shí)驗(yàn)的需求,覆蓋面窄,投資效用比不高。

一些高校針對網(wǎng)絡(luò)及信息安全專業(yè)虛擬實(shí)驗(yàn)平臺的構(gòu)建提出了自己的設(shè)計(jì)思路和實(shí)施方案,這些解決方案大多是利用VMware虛擬化技術(shù)構(gòu)建實(shí)驗(yàn)教學(xué)環(huán)境[2-5]。文獻(xiàn)[2]利用虛擬軟件VMware自帶的網(wǎng)絡(luò)組件搭建了具有路由功能的多個子網(wǎng)的虛擬網(wǎng)絡(luò)環(huán)境；文獻(xiàn)[5]利用Honeyd虛擬蜜罐技術(shù)和Snort入侵檢測技術(shù)給出了虛擬環(huán)境下網(wǎng)絡(luò)安全產(chǎn)品仿真的解決方案。以上文獻(xiàn)均采用VMware公司的虛擬化技術(shù)作為解決方案,但使用該公司的虛擬化產(chǎn)品需要購買企業(yè)的授權(quán)許可,需要學(xué)校投入較多的資金。

采用linux環(huán)境下KVM(基于內(nèi)核的虛擬機(jī))技術(shù),結(jié)合OpenVswithc、Snort、Freenas等一系列開源項(xiàng)目支撐,可虛擬網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)存儲設(shè)備,并能實(shí)施整個網(wǎng)絡(luò)環(huán)境虛擬化的解決方案。

2 技術(shù)分析

2.1 KMV虛擬化技術(shù)

KVM是x86架構(gòu)下基于硬件的全虛擬化解決方案[6-8]。由于操作系統(tǒng)直接與整合到Linux內(nèi)核中的虛擬化管理程序交互,KVM虛擬機(jī)具有更接近物理硬件(裸機(jī))的高性能和面向服務(wù)的虛擬化環(huán)境,通過減少宿主操作系統(tǒng)對資源的占用來提高虛擬機(jī)的資源利用率。基于硬件的虛擬化機(jī)制充分利用大多數(shù)64位x86和PowerPC處理器中的虛擬化硬件支持,可以更好地管理硬件資源。

圖1是KVM虛擬化技術(shù)體系架構(gòu)圖,底部模塊是能夠進(jìn)行虛擬化的硬件平臺(指intelVT或AMD-SVM處理器),在裸硬件上運(yùn)行的是系統(tǒng)管理程序(帶有KVM模塊的Linux內(nèi)核)。該系統(tǒng)管理程序不但具有普通Linux內(nèi)核的功能,而且也可以支持通過KVM工具加載的基于不同操作系統(tǒng)的虛擬機(jī),這些虛擬機(jī)有與真實(shí)的物理主機(jī)相同的功能和應(yīng)用。KVM虛擬化技術(shù)具有較強(qiáng)的靈活性,能較好地將不同操作系統(tǒng)和特殊硬件設(shè)備加以利用,降低不同系統(tǒng)間維護(hù)的復(fù)雜性。KVM本身運(yùn)行在Linux系統(tǒng)內(nèi)核中,占用系統(tǒng)資源很少,屬于瘦虛擬化方案,目前主流硬件設(shè)備均有對應(yīng)的Linux驅(qū)動,這也就決定了KVM可以在很多硬件系統(tǒng)上運(yùn)行。

圖1 KVM虛擬化技術(shù)體系架構(gòu)圖

2.2 網(wǎng)絡(luò)交換設(shè)備的虛擬

Open vSwitch(以下簡稱OVS)是遵循Openflow協(xié)議開發(fā)的運(yùn)行在虛擬化平臺上的虛擬交換機(jī)。在虛擬化平臺上,Open vSwitch可以為動態(tài)變化的端點(diǎn)提供2層交換功能,通過Openflow協(xié)議對交換機(jī)的控制部分進(jìn)行編程擴(kuò)展,可實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)的自動化部署、管理和維護(hù)[9]。Open vSwitch采用與平臺無關(guān)的C語言開發(fā),支持在不同虛擬化平臺(Xen、KVM、Proxmox VE、VirtualBox等)間的移植,同時(shí)也作為重要的網(wǎng)絡(luò)組件被OpenStack、OpenQRM、OpenNebula和Ovirt云平臺采用。該產(chǎn)品可部署在Ubuntu,Debian和Fedora等基于Linux內(nèi)核的操作系統(tǒng)上,支持FreeBSD和NetBSD類UNIX操作系統(tǒng),該產(chǎn)品的最新發(fā)行版本為2.3版。

與同是虛擬交換產(chǎn)品的另外兩種產(chǎn)品VMware VDS和Cisco Nexus 1000V相比,Open vSwitch遵循Apache2.0許可證,任何機(jī)構(gòu)和個人均可免費(fèi)獲取和使用其源代碼,或進(jìn)行二次開發(fā)。對于高校搭建虛擬實(shí)驗(yàn)環(huán)境來說,不但可免于支付昂貴的商業(yè)授權(quán)使用費(fèi),且可以滿足復(fù)雜、多樣的網(wǎng)絡(luò)安全控制需求。

2.3 磁盤陣列及存儲設(shè)備的虛擬

網(wǎng)絡(luò)存儲設(shè)備是目前企業(yè)數(shù)據(jù)中心機(jī)房中不可缺少的核心設(shè)備,主要分為支持FC和ISCSI協(xié)議組建存儲區(qū)域網(wǎng)絡(luò)(storage arear network,SAN)的塊級別存儲設(shè)備以及基于IP文件共享的網(wǎng)絡(luò)附加存儲(network-attached storage,NAS)設(shè)備。存儲設(shè)備的安全配置與管理是信息安全專業(yè)學(xué)生掌握的基本技能之一,同時(shí)虛擬企業(yè)復(fù)雜的數(shù)據(jù)存儲環(huán)境也是實(shí)驗(yàn)室建設(shè)中期待解決的問題之一。

相比昂貴的商業(yè)網(wǎng)絡(luò)存儲設(shè)備,將控制軟件安裝在通用的主機(jī)上來實(shí)現(xiàn)網(wǎng)絡(luò)存儲設(shè)備功能,也逐漸成為一些公司和機(jī)構(gòu)的網(wǎng)絡(luò)存儲解決方案。FreeNAS是目前較為主流的開源NAS項(xiàng)目[10],該項(xiàng)目是基于FreeBSD 7.2開發(fā)的,并集成了基于m0n0wall的Web管理界面、PHP腳本和文檔。該項(xiàng)目遵循BSD許可證協(xié)議發(fā)布,支持多種網(wǎng)絡(luò)傳輸協(xié)議并支持軟RAID(0,1,5)、ZFS和磁盤加密。

作為實(shí)驗(yàn)室虛擬仿真的解決方案,可將該類軟件作為管理平臺(操作系統(tǒng))安裝在一臺虛擬主機(jī)上,實(shí)現(xiàn)網(wǎng)絡(luò)存儲的虛擬仿真。

2.4 網(wǎng)絡(luò)安全設(shè)備的虛擬

(1) 防火墻產(chǎn)品。通過采用宿主操作系統(tǒng)(Linux)自帶的防火墻組件實(shí)現(xiàn)虛擬實(shí)驗(yàn)環(huán)境下防火墻的功能。Linux環(huán)境下的防火墻功能是由用戶態(tài)的iptables和內(nèi)核態(tài)的Netfilter程序共同實(shí)現(xiàn)的。iptables通過定義一系列規(guī)則,讓在內(nèi)核空間中的Netfilter來讀取,并實(shí)現(xiàn)防火墻的功能。用戶通過iptables程序與內(nèi)核中的Netfilter模塊進(jìn)行通信。Netfilter是Linux 2.4.x引入的一個子系統(tǒng),它作為一個通用、抽象的框架,提供一整套hook函數(shù)的管理機(jī)制,可以為iptables內(nèi)核防火墻模塊提供有狀態(tài)或無狀態(tài)的包過濾服務(wù),如NAT、IP偽裝等,也可以根據(jù)高級路由或連接狀態(tài)管理的需要修改IP頭信息。

(2) 入侵檢測產(chǎn)品。入侵檢測產(chǎn)品的虛擬仿真可采用Linux系統(tǒng)下Snort解決方案。Snort是一個免費(fèi)的IDS(入侵監(jiān)測系統(tǒng))軟件,是十分有效的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng),能夠監(jiān)測多種網(wǎng)絡(luò)攻擊,例如緩沖區(qū)溢出攻擊、端口掃描、CGI攻擊、SMB探測等。Snort具有實(shí)時(shí)告警功能,可將告警記入一個特別的告警文件-系統(tǒng)日志,或者將告警信息通過Samba轉(zhuǎn)發(fā)給網(wǎng)絡(luò)中的其他主機(jī)[11]。

3 基于開源技術(shù)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺

通過采用Linux環(huán)境下KVM虛擬化技術(shù),結(jié)合Open vSwith、FreeNAS和Snort等開源解決方案,構(gòu)建通用性好、使用便捷、擴(kuò)展性強(qiáng)的虛擬網(wǎng)絡(luò)實(shí)驗(yàn)平臺。利用該平臺創(chuàng)建兩個典型的實(shí)驗(yàn)環(huán)境模板,使用者可以根據(jù)自己的需求靈活調(diào)整實(shí)驗(yàn)環(huán)境模板,進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn),該平臺的體系結(jié)構(gòu)如圖2所示。

圖2 虛擬仿真網(wǎng)絡(luò)平臺架構(gòu)

本仿真實(shí)驗(yàn)環(huán)境采用x86架構(gòu)主機(jī)作為硬件平臺,可在該硬件設(shè)備上安裝Linux6.0以上并支持KVM虛擬化技術(shù)的Linux操作系統(tǒng),例如Ubuntu14.04服務(wù)器版本。在該操作系統(tǒng)中安裝KVM、Snort、防火墻等應(yīng)用軟件來仿真構(gòu)建網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境。

(1) 創(chuàng)建虛擬機(jī)。創(chuàng)建虛擬機(jī)之前首先要建立KVM虛擬環(huán)境,但KVM虛擬化環(huán)境需要特定硬件的支持,要確保CPU支持該虛擬化技術(shù)。在Ubuntu14.04版本操作系統(tǒng)中需要安裝KVM、QEMU虛擬化軟件以及python-libvirt 、virt-viewer和virt-manager環(huán)境支持軟件。虛擬化環(huán)境建好后再建立虛擬機(jī),可根據(jù)實(shí)際需要選擇安裝Windows、Linux或其他操作系統(tǒng)以構(gòu)建符合環(huán)境要求的虛擬主機(jī)。虛擬主機(jī)搭建好后通過安裝不同功能的應(yīng)用軟件來虛擬企業(yè)生產(chǎn)環(huán)境中的業(yè)務(wù)服務(wù)器。文獻(xiàn)[8]詳細(xì)介紹了KVM技術(shù)構(gòu)建虛擬機(jī)的具體實(shí)現(xiàn)細(xì)節(jié)。

(2) 網(wǎng)絡(luò)存儲設(shè)備的虛擬仿真。網(wǎng)絡(luò)存儲設(shè)備需要在虛擬出的主機(jī)上安裝FreeNAS管理軟件來達(dá)到虛擬仿真的目的。在虛擬機(jī)中安裝完成FreeNAS系統(tǒng)后,還需要根據(jù)實(shí)驗(yàn)環(huán)境需求添加一定數(shù)量的虛擬磁盤,通過FreeNAS管理界面來對這些虛擬磁盤進(jìn)行管理,例如組建不同的RAID系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的存儲和保護(hù)功能。FreeNAS管理軟件與虛擬機(jī)結(jié)合,通過選擇不同的數(shù)據(jù)傳輸協(xié)議,可實(shí)現(xiàn)文件級別NAS和數(shù)據(jù)塊級別SAN存儲環(huán)境的構(gòu)建。

(3) 網(wǎng)絡(luò)交換產(chǎn)品的仿真。在Ubuntu環(huán)境中,Open vSwitch可直接通過Ubuntu的官方源或國內(nèi)的鏡像源來安裝,需要安裝openvswitch-controller、openvswitch-switch、openvswitch-datapath-source3個組件,安裝完成后即可利用ovs-vsctl命令來創(chuàng)建交換機(jī)、向交換機(jī)添加虛擬端口、將物理網(wǎng)卡綁定到交換機(jī)等配置。

(4) 安全產(chǎn)品的仿真構(gòu)建。Ubuntu Server 使用名為 Uncomplicated Fire Wall(UFW)的防火墻,這是一個Iptable 的管理工具。Iptable根據(jù)系統(tǒng)管理員編寫的一系列規(guī)則篩選網(wǎng)絡(luò)數(shù)據(jù)包，通過安裝ufw防火墻軟件來實(shí)現(xiàn)虛擬網(wǎng)絡(luò)中防火墻的功能,可利用該軟件來設(shè)置虛擬網(wǎng)絡(luò)中數(shù)據(jù)包的訪問控制策略。

可以采用Ubuntu軟件包安裝的方式安裝入侵檢測產(chǎn)品Snort軟件和Mysql數(shù)據(jù)庫等相關(guān)支撐軟件。Snort可在數(shù)據(jù)鏈路層抓取進(jìn)入虛擬網(wǎng)絡(luò)的數(shù)據(jù)包,通過Snort系統(tǒng)可進(jìn)行分析攻擊行為、發(fā)現(xiàn)系統(tǒng)漏洞、查找攻擊原因等方面的實(shí)驗(yàn)。

4 虛擬仿真實(shí)驗(yàn)環(huán)境模板的構(gòu)建

本文給出2個典型的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境模板,可利用該模板動態(tài)調(diào)整網(wǎng)絡(luò)與信息安全的虛擬仿真環(huán)境。

4.1 網(wǎng)絡(luò)攻擊與防范教學(xué)環(huán)境模板

網(wǎng)絡(luò)攻擊與防范是高校信息安全專業(yè)中主要的教學(xué)內(nèi)容之一。本模板提供一個典型的網(wǎng)絡(luò)滲透實(shí)驗(yàn)環(huán)境樣例,使用者可直接利用該環(huán)境樣例,也可根據(jù)實(shí)際需要對該環(huán)境進(jìn)行修改和擴(kuò)充。該模板的網(wǎng)絡(luò)環(huán)境拓?fù)淙鐖D3所示。

圖3 網(wǎng)絡(luò)滲透環(huán)境仿真拓?fù)鋱D

該實(shí)驗(yàn)?zāi)０蹇稍趯?shí)驗(yàn)室中的一臺主機(jī)上實(shí)現(xiàn),其中防火墻、入侵檢測設(shè)備和虛擬交換機(jī)是由直接安裝在宿主操作系統(tǒng)(ubuntu14.04)上的應(yīng)用軟件來完成。虛擬主機(jī)安裝了Windows或者Linux操作系統(tǒng),通過在操作系統(tǒng)上安裝相關(guān)的應(yīng)用軟件來模擬企業(yè)的Web、ftp、郵件等應(yīng)用服務(wù)器。物理主機(jī)與局域網(wǎng)相連，可為網(wǎng)絡(luò)中的客戶端營造一個企業(yè)的生產(chǎn)環(huán)境。

圖4 網(wǎng)絡(luò)滲透環(huán)境仿真邏輯結(jié)構(gòu)圖

搭建虛擬網(wǎng)絡(luò)滲透環(huán)境的關(guān)鍵是Open vSwitch、虛擬機(jī)以及宿主機(jī)物理網(wǎng)卡的配置,圖4為該模板的邏輯結(jié)構(gòu)圖。首先要創(chuàng)建OVS交換機(jī)br0,然后將宿主主機(jī)的物理網(wǎng)卡綁定到虛擬交換機(jī)br0上,最后在創(chuàng)建虛擬機(jī)時(shí)將虛擬機(jī)的網(wǎng)卡橋接到br0交換機(jī)上。Open vSwitch的安裝及配置的關(guān)鍵代碼如下:

#apt-get installopenvswitch-controller openvswitch-switch openvswitch-datapath-source //安裝openvswitch軟件包 #ovs-vsctl add-br br0 //建立一個名為br0的open vSwitch 交換機(jī) # ovs-vsctl add-port br0 eth0 //把eth0掛接到br0中

該實(shí)驗(yàn)?zāi)０鍍H需要動態(tài)調(diào)整虛擬機(jī)的數(shù)量,即可虛擬大多數(shù)企業(yè)的應(yīng)用環(huán)境。使用者可利用該模板快速部署虛擬仿真實(shí)驗(yàn)環(huán)境，供客戶端進(jìn)行滲透測試實(shí)驗(yàn)。該實(shí)驗(yàn)?zāi)０蹇芍С址阑饓腿肭謾z測的配置與管理、網(wǎng)絡(luò)安全管理、主機(jī)安全加固、計(jì)算機(jī)病毒檢測與防范、網(wǎng)絡(luò)協(xié)議分析等主流實(shí)驗(yàn)項(xiàng)目。

4.2 數(shù)據(jù)容災(zāi)與備份教學(xué)環(huán)境模板

該實(shí)驗(yàn)?zāi)０蹇商摂M典型的網(wǎng)絡(luò)存儲環(huán)境:2臺虛擬應(yīng)用服務(wù)器做雙機(jī)熱備份,通過虛擬交換機(jī)2與1臺虛擬SAN存儲設(shè)備相連組成SAN網(wǎng)絡(luò),提供可靠的應(yīng)用服務(wù)保障。1臺虛擬NAS存儲設(shè)備通過與虛擬交換機(jī)1以及2臺虛擬應(yīng)用服務(wù)器各自的另外一張?zhí)摂M網(wǎng)卡相連,對外提供應(yīng)用服務(wù)和文件級網(wǎng)絡(luò)存儲服務(wù)。該網(wǎng)絡(luò)通過綁定到虛擬交換機(jī)1上的物理網(wǎng)卡與局域網(wǎng)相連(見圖5)。

圖5 數(shù)據(jù)容災(zāi)與備份虛擬仿真環(huán)境

該模板共虛擬4臺主機(jī)設(shè)備和2臺虛擬交換機(jī)。首先虛擬2臺具有雙網(wǎng)卡的虛擬主機(jī),安裝相應(yīng)的操作系統(tǒng)來虛擬應(yīng)用服務(wù)器。另外2臺虛擬主機(jī)分別添加一定數(shù)量的虛擬磁盤并安裝FreeNAS管理軟件虛擬網(wǎng)絡(luò)存儲設(shè)備,其中一臺配置NFS協(xié)議提供NAS服務(wù),另外一臺配置ISCSI協(xié)議與服務(wù)器組成SAN網(wǎng)絡(luò)。

虛擬交換機(jī)1與宿主操作系統(tǒng)的物理網(wǎng)卡綁定用于對外通信,虛擬應(yīng)用服務(wù)器1的VNIC1網(wǎng)卡和虛擬應(yīng)用服務(wù)器2的VNIC1網(wǎng)卡以及虛擬NAS存儲設(shè)備的網(wǎng)卡分別與虛擬交換機(jī)1相連，對外提供相關(guān)的應(yīng)用和文件存儲服務(wù)。虛擬應(yīng)用服務(wù)器1的VNIC2和虛擬應(yīng)用服務(wù)器2的VNIC2以及虛擬SAN存儲設(shè)備的虛擬網(wǎng)卡分別與虛擬交換機(jī)2相連,組成封閉的SAN網(wǎng)絡(luò),提供高速、可靠的網(wǎng)絡(luò)數(shù)據(jù)存儲服務(wù)。關(guān)鍵的配置腳本如下:

#ovs-vsctl add-br vswitch1 //建立一個名為vswitch1 虛擬交換機(jī) #ovs-vsctl add-br vswitch2 //建立一個名為vswitch2 虛擬交換機(jī) #ovs-vsctl add-port vswitch1 eth0 //把eth0掛接到vswitch1中 #ovs-vsctl add-port vswitch1 veth0 //把veth0掛接到vswitch1中#ovs-vsctl add-port vswitch1 veth1 //把veth1掛接到vswitch1中 #ovs-vsctl add-port vswitch1 veth5 //把veth5掛接到vswitch1中 #ovs-vsctl add-port vswitch2 veth2 //把veth2掛接到vswitch2中 #ovs-vsctl add-port vswitch2 veth3 //把veth2掛接到vswitch2中 #ovs-vsctl add-port vswitch2 veth4 //把veth2掛接到vswitch4中

數(shù)據(jù)容災(zāi)與備份虛擬仿真環(huán)境提供了企業(yè)數(shù)據(jù)中心的基本虛擬數(shù)據(jù)存儲環(huán)境,使用者可根據(jù)實(shí)際需求動態(tài)調(diào)整服務(wù)器或者網(wǎng)絡(luò)存儲設(shè)備的部署位置和數(shù)量,實(shí)現(xiàn)相應(yīng)的虛擬環(huán)境。該模板可完成諸如RAID數(shù)據(jù)保護(hù)、主機(jī)高可用、SAN環(huán)境搭建、NAS環(huán)境搭建、數(shù)據(jù)容災(zāi)方案實(shí)施等教學(xué)實(shí)驗(yàn)項(xiàng)目。

5 結(jié)束語

本虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺可為高校網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)的實(shí)踐教學(xué)提供一個彈性、低成本、部署靈活的虛擬實(shí)驗(yàn)平臺。采用了基于Linux內(nèi)核的虛擬化和防火墻技術(shù)、基于SDN的虛擬交換技術(shù)以及存儲設(shè)備的虛擬化解決方案,并且優(yōu)化了系統(tǒng)資源配置,使得2個實(shí)驗(yàn)?zāi)０寰稍?臺主流配置的計(jì)算機(jī)上部署實(shí)施。該平臺擴(kuò)展性好,通過Open vSwitch虛擬交換機(jī),可將多臺物理主機(jī)上部署的虛擬環(huán)境連接,從而組建更為復(fù)雜的實(shí)驗(yàn)方案。目前該解決方案已經(jīng)在我校 “信息安全技術(shù)基礎(chǔ)”和“數(shù)據(jù)容災(zāi)與備份”課程實(shí)驗(yàn)中應(yīng)用,并獲得了良好的效果。本文所采用的SDN和KVM技術(shù)同時(shí)也是企業(yè)數(shù)據(jù)中心的虛擬化所采用的技術(shù)[12-14],企業(yè)也可利用該解決方案快速搭建數(shù)據(jù)中心原型系統(tǒng)供研究和培訓(xùn)員工使用。

References)

[1] 神州數(shù)碼網(wǎng)絡(luò)有限公司.DCST-6000信息安全實(shí)訓(xùn)平臺[EB/OL].[2014-11-02] http://www.dcnetworks.com.cn/index.php?m=content&c=index&a=show&catid=163&id=159.

[2] 吳迪,何堅(jiān),潘嶸,等.基于VMware虛擬網(wǎng)絡(luò)的IPSec實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)技術(shù)與管理,2010,27(9):157-160.

[3] 謝垂益,鐘紅君.基于虛擬環(huán)境的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)探索[J].電腦知識與技術(shù),2013(22):5105-5107.

[4] 劉武,吳建平.用VMware構(gòu)建高效的網(wǎng)絡(luò)安全試驗(yàn)床[J].計(jì)算機(jī)應(yīng)用研究,2005(2):212-214.

[5] 翟繼強(qiáng),陳宜冬.虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺[J].實(shí)驗(yàn)室研究與探索,2009,28(6):79-82.

[6] Borden T,Hennessy J,Rymarczyk J.Multiple operating systems on one processor complex[J].IBM Systems Journal,1989,28(1):104-123.

[7] Fraser K,Hand S,Neugebauer R,et al.Safe hardware access with the xen virtual machine monitor [C].//Proceedings of the OASIS ASPLOS Workshop.UK,2004.

[8] 崔澤永,趙會群.基于KVM的虛擬化研究及應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展,2011(6):108-115.

[9] 李紀(jì)舟,何恩.軟件定義網(wǎng)絡(luò)技術(shù)及發(fā)展趨勢綜述[J].通信技術(shù),2014(2):123-127.

[10] Effectively manage and monitor your data with FreeNAS’s amazing features.[EB/OL].[2014-11-01].http://www.freenas.org/about/features.html.

[11] 李曉芳,姚遠(yuǎn).入侵檢測工具Snort的研究與使用[J].計(jì)算機(jī)應(yīng)用與軟件,2006,23(3):123-124.

[12] 吳強(qiáng),徐鑫,劉國燕.基于SDN技術(shù)的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)構(gòu)建[J].電信科學(xué),2013(1):130-133.

[13] 李丹,陳貴海,任豐原,等.數(shù)據(jù)中心網(wǎng)絡(luò)的研究進(jìn)展與趨勢[J].計(jì)算機(jī)學(xué)報(bào),2014(2):265-274.

[14] 王涌,李國麗,應(yīng)艷杰,等.建設(shè)網(wǎng)絡(luò)虛擬實(shí)驗(yàn)室,深化實(shí)驗(yàn)教學(xué)改革[J].實(shí)驗(yàn)技術(shù)與管理,2010,27(9):85-87,107.

Virtual network security experimental platform based on open source architecture

Lu Xianzhi1, Hu Haibo2

(1. School of Computer Science, Chongqing College of Electronic Engineering,Chongqing 401331,China; 2. School of Software Engineering,Chongqing University,Chongqing 400044,China)

A construction approach on virtual platform network for security experiment based upon open source architecture is proposed.The proposed scheme is implemented with KVM (Kernel-based Virtual Machine),SDN (Software-Define Networking),and based on ISCSI protocol of network storage technology as well.Two common experimental templates are presented to facilitate the usage of the proposed platform.By using the templates,users can perform variable experiments on the proposed platform,such as network exploitation test and virtual enterprise network data storage environment.Compared with VMware-based virtualization technology,the proposed mechanism manifest is beneficial to laboratory of network security with flexible network access control,less hardware costs,and without software license fees as well.

network security; experimental teaching； Kernel-based Virtual Machine(KVM); Software-Define Networking(SDN)

2014- 11- 13

國家自然科學(xué)基金項(xiàng)目(61103114)；重慶市教委科學(xué)技術(shù)研究項(xiàng)目(KJ132207)

魯先志(1976—),男,河南濮陽,碩士,講師,教研室主任,主要研究方向?yàn)樵朴?jì)算和網(wǎng)絡(luò)安全.

E-mail：lxz0665@sina.com

TP393.08

A

1002-4956(2015)7- 0120- 04