基于VMware技術的網絡攻防平臺設計與實現

顧理軍

摘 要：高職信息安全與管理專業是我國培養信息安全專業人才的重要搖籃，而實訓教學是開展高職教育的一個重要手段。文章研究了基于VMware技術的網絡攻防平臺設計與實現，該平臺能提供一個理想的實訓平臺，讓學生自主構建網絡環境，搭建網絡靶場，實施網絡攻防，熟悉和掌握先進的網絡安全技術，提升其職業技能。

關鍵詞：信息安全與管理；VMware技術；網絡攻防平臺

2014年2月27日，中共中央成立網絡安全與信息化領導小組，習近平總書記親自擔任組長。2015年10月，教育部修訂的《普通高等學校高等職業教育（專科）專業目錄》中將信息安全與管理作為計算機類的一個單獨專業招生。隨著計算機病毒和黑客攻擊技術的不斷發展，國家對信息安全專業越來越重視，如何提升信息安全與管理專業人才的培養質量，已成為當前高職信息安全與管理專業教育的當務之急。

常州機電職業技術學院自開設了信息安全與管理專業以來，通過走訪兄弟院校、企業調研、參加行業協會、技能大賽等多種途徑研究發現：實踐教學是提升高職院校信息安全與管理專業學生技術技能的核心與關鍵，只有建設好符合高職院校信息安全與管理專業人才培養方案的信息安全實訓室，通過實踐教學，讓學生在實踐中學習、總結、提煉，才能更好地提升其信息安全水平。

1 網絡安全實訓室建設現狀及存在問題

2016年，常州機電職業技術學院與神州數碼云科信息技術有限公司合作建成網絡安全實訓室，實訓室配有計算機、3層網管交換機、上網行為日志系統、流量控制網關、企業安全防火墻、Web防火墻、神州數碼安全沙盒教學平臺、神州數碼網絡攻防平臺等網絡安全設備，可進行網絡安全設備配置與管理、網絡安全、網絡攻防等課程的實訓教學。通過近3年的教學使用，發現神州數碼網絡安全實訓室在教學中主要存在以下3個方面的問題[1]。

（1）防火墻、上網日志系統及流量控制網關等網絡安全設備價格昂貴，操作系統更新較快，且在實際配置過程中只允許單用戶操作，只能采取虛擬教學加分組操作的方式，學生的掌握情況良莠不齊。

（2）神州數碼安全沙盒教學平臺雖然集成了許多網絡安全課程，但是硬件性能有限，課程內容陳舊，且課程之間相互獨立，沒有形成高校所特有的課程體系，不能滿足高校學生遞進式的學習需求。

（3）神州數碼安全沙盒教學平臺只能讓學生在預設的固定網絡環境中演練，不能讓用戶自主創建網絡環境，缺乏對實際網絡拓撲的認識，而且神州數碼安全沙盒教學平臺缺乏對戰環境，不能讓學生將所學的知識學以致用。

2 基于VMware技術的網絡攻防平臺的設計與實現

2.1 網絡攻防平臺的功能設定

為提高信息安全與管理專業的教學質量，常州機電職業技術學院網絡安全教學團隊成員與易霖博信息安全技術有限公司合作開發了基于VMware技術的網絡攻防平臺，利用虛擬技術，自主安裝和配置網絡對戰的靶機和攻擊機，編寫網絡安全實訓手冊，并克隆安裝在網絡安全實訓室的每一臺計算機上，讓學生在掌握了一定的網絡安全知識后，通過網絡對戰的方式提升其網絡攻防能力。基于VMware技術的網絡攻防平臺其功能定位主要包含以下3個方面[2]。

（1）單機系統，可以讓學生通過虛擬技術自主創建靶機、搭建網絡環境，熟悉網絡攻防平臺的拓撲結構，適應網絡環境變化，學會網絡掃描、滲透技術。

（2）混戰模式，讓學生利用虛擬機快照技術同時部署靶機和攻擊機，并配置好3層交換設備，實現網絡混戰，使得每位同學在維護好自己靶機的情況下，利用攻擊機奪取局域網中其他同學靶機的FLAG，提升其網絡攻防實戰能力。

（3）混戰成績管理系統，可以查看學生靶機和攻擊機的狀態，可以讓學生提交在混戰模式下所取得的FLAG，實時評分，并公布名次。

2.2 網絡攻防平臺的軟件組成

基于VMware技術的網絡攻防平臺主要由4個部件組成（見圖1），分別是用來配置網絡環境的3層網管型交換機，用來配置虛擬網絡環境的虛擬機軟件VMware Workstation、學習網絡攻防技術和實施網絡混戰的兩臺服務器靶機和兩臺攻擊機的虛擬機對應快照、管理混戰模式的成績管理系統。

虛擬機軟件中安裝的服務器用來配置成靶機，分別安裝Windows Server操作系統和Linux操作系統，靶場使用的是DVWA和Metasploitable。DVWA（Dema Vulnerable Web Application）是randomstorm的一個開源項目，是一套基于PHP+MySQL環境的用于常規Web漏洞教學和檢測的程序，包含了SQL注入、Xss、盲注等常用的一些安全漏洞。基于Linux的Metasploitable漏洞演練系統，是一個具有無數未打補丁漏洞與開放了無數高危端口的滲透演練系統，本身設計為安全工具測試和常見漏洞攻擊的靶機。

攻擊機分別為Kali Linux操作系統和裝有攻擊工具的Windows操作系統，Kali Linux是基于Debian的發行版本，預裝了超過300個滲透測試工具，包括nmap、Wireshark、burpsuite等[3]。

混戰管理系統，使用ASP.NET開發，主要功能包括用戶管理系統、靶機狀態顯示系統、成績提交系統、成績排名系統。

2.3 網絡攻防平臺的實現流程

網絡攻防平臺實訓環境分為單機環境和局域網混戰環境。

在單機環境下，學生根據實訓手冊要求啟動對應虛擬機的快照，將虛擬機的網絡連接方式設置為僅主機模式，配置好IP地址，即可實現網絡滲透、漏洞掃描、Web應用滲透、操作系統加固、Web安全防護等網絡攻防實訓。

在局域網混戰環境下，啟動混戰管理系統，通過3層交換機的虛擬局域網技術將每臺計算機劃分到不同的虛擬局域網中再進行系統加固，此時學生需要首先啟動計算機上的虛擬靶機，將虛擬靶機的網絡連接方式設置為橋接模式，配置好IP地址及網關，連接混戰管理系統，構建局域網下的混戰環境。加固結束后，通過混戰管理系統開啟混戰模式，監控靶機的運行狀態，學生此時可以通過實體機上的虛擬攻擊機實施網絡攻擊，并將取得的FLAG值通過混戰管理系統提交，獲得成績并查看名次。

2.4 網絡攻防平臺的使用效果

基于VMware技術的網絡攻防平臺跟傳統的網絡攻防平臺相比，采用分布式的方式將靶機和攻擊機均安裝在實訓室的電腦客戶端，主要具有以下3方面的優勢[4]。

（1）由于采用分布式環境實現網絡攻防，只需要運行虛擬機軟件的客戶端電腦內存大于8 G即可，而不需要購買高端的服務器，節約了硬件成本。

（2）通過虛擬機快照的方式構建網絡攻防環境，可以實現一鍵還原，減去了重新安裝操作系統的工作量，安全可靠高效。

（3）使用開源靶場作為網絡攻防環境，可以及時更新維護，讓學生使用最新的操作系統，認識最新的漏洞，學習最新的網絡安全技術。

（4）讓學生自主構建網絡環境，搭建網絡靶機并實施網絡攻擊，能提升學生的學習興趣，綜合提高其網絡組建、網絡管理及安全維護能力。

3 結語

網絡攻防平臺的使用降低了網絡攻防實驗對實際網絡環境和物理設備的破壞，減少實訓成本的投入，并且能提升學生的網絡組建和安全防護能力，具有很大的實用價值。

[參考文獻]

[1]張力，周漢清.基于云計算技術的網絡安全攻防實驗平臺設計[J].軟件導刊，2015（9）：188-191.

[2]馬麗.網絡安全攻防訓練平臺設計與實現[J].無線互聯科技，2017（11）：75-76.

[3]黃曉芳.網絡攻防實驗平臺開發與實現[J].實驗技術與管理，2017（5）：73-76.

[4]姚煒.網絡攻防模擬平臺的設計與實現[J].科研，2016（10）：33-35.