信息安全攻防實訓平臺的設計與部署

侯海燕　趙鼎　白光安

[摘要]信息安全技能競賽是全國大學生信息安全綜合賽事，是國家工業和信息化部信息安全協調指導的綜合網絡類競技比賽。競賽影響力很大，是各地人力資源和社會保障部門認可的競技比賽，為信息安全相關企業輸送了大量人才。目前高校開設的計算機網絡安全類課程偏重理論教學，課程缺乏綜合性的實訓實踐平臺支撐，信息安全中常見的攻防實驗和滲透實驗無法開展。本文研究設計并實現了基于云服務器安裝與部署的信息安全攻防實訓平臺。在云服務器上鏡像出特定的網絡操作系統，可進行系統防御、系統加固、系統滲透實驗。

[關鍵詞]信息安全；云服務器；設計

1背景技術

1.1云計算技術

云計算是一種Ⅱ資源的交付和使用模式，通過網絡以按需、易擴展的方式獲得所需的硬件、平臺、軟件及服務等資源。“云”的計算能力通常是由分布式的大規模集群和服務器虛擬化軟件搭建。云計算技術具有以下特點：①云計算系統提供的是服務。服務實現機制對用戶透明，用戶無需了解云計算工作原理，就可獲得所需服務。②按需、自動服務。用戶可以根據自己的需求，通過網絡申請服務、調研。當不需要服務時，服務方可以及時進行資源的回收及重新配置。③快速、彈性。可以動態伸縮，滿足應用和用戶變化的需求。服務方可以根據訪問用戶的多少增減資源（包括CPU、存儲、寬帶和軟件應用等），從而可以快速并彈性地為用戶提供不同的服務。④虛擬化。云計算技術將硬件設備通過虛擬技術形成資源池，部署在物理服務器中，用戶使用云服務時無需了解這些服務具體在哪一臺物理設備上。云服務器的存在是為了解決硬件資源利用率低下分配不合理等而產生的，它是以提高物理資源利用率和降低整體擁有成本為目的。此外，還提供了完備的高可用性、動態資源調整、動態資源擴展等高級功能，本項目以云服務器為關鍵組件。

1.2虛擬化技術

虛擬化技術為云計算服務提供基礎架構層面的支撐，是ICT服務快速走向云計算的最主要驅動力。虛擬化是一種在軟件中仿真計算機硬件，以虛擬資源為用戶提供服務的計算形式。旨在合理調配計算機資源，使其更高效地提供服務。它把應用系統各硬件間的物理劃分打破，從而實現架構的動態化，實現物理資源的集中管理和使用。虛擬化的最大好處是增強系統的彈性和靈活性，降低成本、改進服務、提高資源利用效率。

在虛擬化技術領域中，以X86體系結構虛擬化為代表。VMware公司目前在大力發展用于云計算基礎架構的虛擬化技術，推出了面向云計算的一系列產品，用于云計算基礎架構的部署與配置。采用虛擬化技術可以緩解信息安全面臨的難題，主要表現在：①高可用性。在不影響用戶的情況下對物理資源進行刪除、升級、更改。②高擴展性。虛擬化技術采用動態方式部署，可以根據不同產品對資源的需求支持比物理資源小或大得多的虛擬資源。③高安全性。虛擬化技術可以實現簡單的共享機制，這便于實現對數據和服務的控制和安全訪問。

2信息安全攻防平臺的設計與實現

2.1硬件平臺框圖設計

該設計可實現在實驗室內網環境中利用虛擬機技術進行系統防御、系統加固、系統滲透等實驗。創新團隊自主設計信息安全實驗和實驗環境，在實訓平臺中部署多個實驗靶機，供學生端訪問而不干擾，保證實驗環境安全無破壞。結構框圖如圖1。

圖1是一種基于云服務器的信息安全實驗教學平臺的網絡拓撲圖，其包括云服務器或者云服務器群1、防火墻2/3、教師機4、學生機7/8、核心交換機5、模擬外網的路由器6、LAN A、LAN B。LAN A和LAN B學生接入的兩個內部網絡，連接到LAN A的學生端7可通過核心交換機5訪問云服務器或云服務器群1上的虛擬靶機和文件服務器，連接到LAN B的教師端4、連接LAN B的學生端8通過防火墻2/3構建的VPN網絡同時訪問云服務器端的虛擬靶機和文件服務器。防火墻2和防火墻3通過路由器6模擬的外網相連，可供LANA和LAN B的學生雙方進行防火墻安全類實驗，包括防火墻基本配置、防火墻高級配置、防火墻VPN隧道配置、防火墻過濾類實驗配置。LAN A和LAN B的學生機安裝有Windows server 2003、Windows XP、Linux操作系統。可進行本地系統加固、網絡嗅探等實驗，也可同時進行場外網絡攻防對抗類實驗。教師端4接人到LAN B中，經由防火墻VPN鏈路接人到云服務器中，將實驗指導書云存儲到云服務器中。學生端7/8可經由網絡從云服務器中下載實驗指導書并上傳實驗成果至云服務器中，防火墻采用神碼FW1800S，核心交換機采用神碼交換機$5900。

2.2云服務搭建與部署

該實驗教學平臺通過網絡組網技術將云服務器、防火墻、交換路由設備、學生端和教師端構成一個物理互通網絡，其中云服務器底層云服務支持是H3Cloud。H3Cloud云計算解決方案通過標準的IEEE802.10bg（EVB）技術，將網絡管理邊界延伸至虛擬機和虛擬交換機。在云服務器中創建多種操作系統（Windows XP，Windows server 2003和Linux）做實驗操作系統模板，模擬各操作系統可能出現的安全實驗環境。①同一操作系統屬于同一虛擬網段，每種操作系統又可鏡像克隆出多個虛擬主機。②教師端通過管理地址登錄到云服務器，為學生端創建登錄用戶名和實驗操作系統模板。③學生端由教師分配的用戶名登錄云服務器的虛擬靶機中進行安全實驗，保證多終端遠程登錄同一實驗環境且互不干擾。④云服務器中還需要安裝文件服務器，教師通過云端將實驗指導書和實驗素材上傳云端，供學生端下載和上傳。教師可根據特定的實驗要求靈活制作特定的操作系統實驗鏡像文件，在云服務器上克隆出足夠的虛擬機做實驗靶機，滿足學生同時進行同一實驗的要求，且對學生端和教師端的安裝和配置沒有要求。

為了避免用戶之間的干擾每個用戶必須有獨立的接人賬號。H3CCloud原來的賬號控制，開發了適合我們實際學習環境的賬號控制系統，系統由mysql提供后臺數據支撐用戶密碼采用rod5方式加密后存儲，一個用戶可以有多個角色，每個角色有且只有一個對應環境模板。用戶的概念就相當于每個使用者包括老師。學生等等，角色的概念就相當于每一節課的學習內容，老師的賬號可以操作學生的賬號，包括更改角色。密碼、別名等等如圖2更改角色。上課前老師批量把學生角色該成對應上課類容的角色，學生上課的時候拿著自己的用戶名和密碼去登陸賬號控制系統，驗證通過后我們會直接將頁面調到H3Cloud的CIC管理頁面，然后學生直接運行老師之前部署好的該節課對應的學習環境，整個過程是透明的，所以不會影響學生的用戶體驗。等下課后老師統一回收上節課的資源然后重新部署這樣對別的班的學生過來上一樣的課程則沒有任何影響，并且我們的賬號控制也是基于B/S架構所以和CIC控制界面的過度非常友好。

3結語

基于云服務器的虛擬靶機構成的信息安全實訓平臺可以實現一個安全的實驗環境，實現本地網絡安全實驗環境和遠程網絡對抗安全實驗環境。該實訓平臺還可以實現實驗指導書和實驗成果的發放和上交，形成一個實時教學實驗教學平臺。云服務器中可以根據信息安全實驗要求靈活制作靶機鏡像文件，部署靶機環境，達到統一實驗、安全實驗的目的。

[責任編輯：楊玉潔]