計算機網絡安全虛擬實驗平臺的構建

劉飛飛

摘 要： 計算機網絡安全課程對于實驗環境的要求較為復雜，其網絡實驗環境搭建較為困難。針對這個問題，提出了基于vmware workstation虛擬機構建網絡安全虛擬實驗平臺的方法，完善和提升了現有的實踐教學能力，滿足了教學需求，進而可為同行提供參考。

關鍵詞： 網絡安全； 虛擬機技術； vmware workstation； 虛擬實驗平臺

中圖分類號：G642.0 文獻標志碼：A 文章編號：1006-8228（2015）08-23-03

Building of virtual experiment platform for computer network security course

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： The experimental environment for the computer network security courses is more complex， and it is difficult to construct a network experiment environment. Aiming at this problem， this paper proposes a method of building the virtual experiment platform based on vmware workstation. The platform improves the existing practical teaching ability to meet the teaching needs， which can also provide a reference for the peer.

Key words： network security； virtual machine technology； vmware workstation； virtual experiment platform

0 引言

網絡安全是當前互聯網極為突出的問題之一，許多高校都開設了信息安全專業，高校中的不少相關專業也都開設了網絡安全、信息安全技術、計算機安全、網絡安全對抗等課程，教學內容一般包括數據加密技術、PKI技術、信息隱藏技術、消息認證技術、網絡攻擊與防范技術、入侵檢測技術、防火墻技術、操作系統安全等[1]。計算機網絡安全的教學通常是理論與實踐并重，更加注重實踐能力的培養。一個獨立完善的實踐教學體系對于網絡安全類教學是至關重要的，它可以更好地促進理論教學的進行，同時加深學生對教學內容的理解，提高學生相關知識的實際應用能力。

網絡安全教學中存在兩個問題，一是其課程涉及的教學內容比較廣泛；二是網絡攻防類的實驗具有復雜性、特殊性和破壞性。所以，很難根據需求來搭建真實的實驗環境。本文主要探討基于虛擬機技術及吉林中軟網絡安全平臺的虛擬實驗環境的構建。

1 虛擬機技術

1.1 虛擬機概述

虛擬機是通過軟件模擬產生的具有完整軟硬件功能的獨立的計算機系統。虛擬機可以模擬出其他類型的操作系統，同時，也可以在一臺物理宿主機上模擬出多個相同或不同的操作系統[2]。這些系統互不影響，可以對每個虛擬的系統進行分區、配置而不影響物理宿主機硬盤的數據，也可以通過網卡將幾臺虛擬機連接為一個網絡。通常很多虛擬機系統出現問題以后，可以通過“恢復快照”迅速方便地還原到以前的系統。所以通過虛擬機來構建網絡安全實驗環境不僅可以降低購買軟硬件設備的成本，降低維護的費用成本，而且可以較好地提升系統及網絡的安全性。VMware、Virtual Box以及Virtual PC等都是常見的虛擬機軟件，它們都能在Windows系統上虛擬出多臺計算機，每個虛擬機系統可以獨立運行，并可以根據需要安裝相應的軟件和應用。相對而言，VMware在操作系統的支持以及執行效率上都表現地更為突出，應用也更加廣泛[3]。

1.2 VMware虛擬機

VMware是一個“虛擬PC”軟件公司，目前，VMware公司主要有數據中心和云計算基礎架構產品、數據中心和云計算管理產品、基礎架構產品、桌面和應用虛擬化產品等。其中，桌面虛擬化產品主要包括VMware Fusion（針對Mac）、VMware Workstation、VMware View等產品，而VMware Workstation則是個人虛擬化桌面的最常見的選擇，也是計算機網絡安全虛擬實驗環境構建的首選工具。

VMware Workstation軟件包含一個用于Intel x86相容計算機的虛擬機套裝，其允許用戶在一個物理宿主機上同時創建和運行多個x86虛擬機系統（例如DOS、Windows、Linux等），并且可以在這些虛擬機系統中進行新的應用程序的開發、測試以及相關部署。在物理宿主機中，可以通過VMware Workstation軟件在一個窗口中加載一個虛擬機系統，并通過窗口切換來進行多個不同的虛擬機系統之間的切換；同時，VMware Workstation提供了實時快照、掛起、恢復以及退出虛擬機等操作，為進入退出虛擬機系統提供了更大的靈活性。另外，VMware Workstation軟件還可以在一臺物理宿主機上模擬出較為完整的網絡環境，所以可以方便地利用物理宿主機及其上運行的虛擬機系統構建不同結構的局域網。鑒于以上特點，使得VMware Workstation成為現今各種網絡應用開發及部署的必不可少的工具。

2 虛擬網絡安全實驗環境的構建

2.1 虛擬機的搭建

本文利用VMware Workstation 7.1軟件來構建網絡安全的虛擬實驗環境。VMware Workstation 7.1對計算機的軟硬件配置的要求不高，可以在大多數計算機上使用。虛擬網絡環境的構建要在網絡安全實驗室的計算機上（統一使用Windows XP操作系統）安裝并啟動VMware Workstation軟件，建立虛擬機；將與已購置的網絡安全平臺相對應的Windows Server 2003和Linux操作系統的虛擬機文件拷貝到計算機的指定目錄下。同時，需要將網絡安全實驗室的一臺主機作為網絡安全平臺的服務器來使用，并在該計算機上復制拷貝服務器版的虛擬機文件，每次實驗，需要先在服務器計算機上，打開并運行服務器虛擬機，才能夠正常進行實驗。

2.2 虛擬機網絡連接的設置

虛擬機安裝創建過程中，必須將虛擬機連入網絡才可以正常進行實驗。VMware Workstation提供了10種（VMnet0-VMnet9）可作為虛擬交換機使用的虛擬網絡設備，同時為虛擬機接入網絡提供了三種網絡連接方式：Bridged（橋接模式）、NAT（網絡地址轉換模式）、Host-only（主機模式）[4]。

⑴ Bridged（橋接模式）。在該模式下，物理宿主計算機與虛擬系統計算機通過VMnet0虛擬交換機連接，兩者處于同一網段中。只需對虛擬機系統進行與物理宿主機同網段的TCP/IP參數配置，二者之間就可以相互訪問；同時，虛擬機系統也可以作為一臺完全獨立的計算機訪問網絡中的其他計算機，并進行資源共享。如果網絡中存在DHCP服務器，虛擬機系統也可以直接從服務器獲取TCP/IP配置。橋接模式是虛擬機系統連網最簡單的方式，也是虛擬機安裝創建過程中的默認設置。

⑵ NAT（網絡地址轉換模式）。在該模式下，物理宿主機使用VMware Network Adapter VMnet8虛擬網卡與虛擬機系統通過VMnet8虛擬交換機進行連接，雙方在VMnet8網段進行相互通信；同時，通過虛擬機虛擬的NAT服務器使虛擬機系統的虛擬網卡連入Internet。在NAT模式下，虛擬機系統由VMnet8虛擬網絡中的DHCP服務器自動完成TCP/IP配置，不能手工進行修改，因此，不能與網絡中的其他物理宿主機互訪通信。

⑶ host-only（主機模式）。在該模式下，物理宿主機與虛擬機系統通過VMnet1虛擬交換機進行連接，虛擬機系統只能訪問局域網中的其他虛擬機，而不能訪問局域網中的其他物理宿主機。

根據以上描述，在構建網絡安全虛擬實驗環境的過程中，本文選擇默認的Bridge（橋接）模式，使得虛擬機系統與物理宿主機系統同處于一個網絡，并通過網絡安全平臺的DHCP服務器來自動進行TCP/IP配置。

2.3 虛擬網絡的拓撲結構

本文構建的虛擬網絡安全實驗環境主要依附于三種網絡結構：交換網絡結構、企業網絡結構及無線網絡結構。所有實驗分層次、有選擇地在三種網絡環境下進行。

在交換網絡結構中，如圖1所示，實驗室中每兩臺（根據實驗需求，可自行確定數量）計算機被劃分為一個實驗組，并在實驗平臺上擁有相對應的資源共享模塊。在該網絡結構中，各實驗組間的計算機可以互訪，各個共享模塊之間也可以互訪，并且各個計算機也可以訪問應用服務器上的所有資源。

圖1 交換網絡結構

如圖2所示，在企業網絡結構中，實驗室中的計算機依然以實驗組的形式連接到相應的共享模塊上，然后連接到實驗平臺的交換模塊。不同的是，各實驗組中的計算機以及各共享模塊之間不可以直接訪問。另外，通過對防火墻的配置，可以對各實驗組中的主機進行相關區域的劃分，如劃定實驗組一中的主機A、B為企業內網主機，實驗組二中的主機C、D為企業DMZ區主機，同時實驗組三中的主機E、F為外網主機。所以在企業網絡結構中，可以進行更加復雜及全面的實驗實踐，更有利于學生實際應用能力的培養與提高。