虚拟化技术下的网络安全实验平台设计
摘要:网络安全类课程实验对培养学生实践能力至关重要,由于网络安全类实验对设备和网络环境的破坏性,以及实验设备多样性等要求难以满足,造成目前网络安全类实验不能满足人才培养的需求。针对存在的问题,本文利用基于虚拟化技术构建了网络安全实验平台,通过建立硬件资源池,提供多种虚拟实验环境及虚拟安全设备;通过建立课程资源池,扩充了实验项目。实践证明,本实验平台提高了学生动手实践能力,取得较好的实际效果,达到了设计目标。
关键词:虚拟化;虚拟机;资源池;网络安全;实验平台
引言
目前,计算机网络在各领域得到了广泛的应用,网络带给了人们极大的便利,但是网络安全的问题也日益突出,网络安全问题在国际上得到了各国的高度重视[1]。在我国,2015年,网络空间安全一级学科设立;2016年通过了《中华人民共和国网络安全法》,这体现了国家对网络安全的重视。我国还成立了中央网络安全和信息化领导小组,全力打造网络安全强国。因此,培养高素质网络安全人才,必须引起高校相关专业的重视。在网络安全类课程实验中,行业热点更新快,实验内容相对滞后,同时实验对网络安全设备要求种类多,经费投入大,并且攻防实验、病毒实验对设备、操作系统及网络软件环境具有破坏力,维护恢复实验环境工作量大,给管理带来不便[2]。因此,目前网络安全实验大多只进行演示实验和简单验证实验,不能进行综合性设计性实验。随着虚拟化技术和云计算的发展应用,通过研究发现,在网络安全实验环境建设中,科研利用虚拟化技术来解决现存在的问题[3]。通过建立硬件资源池,学生在虚拟机上实验,能够实现多种操作系统环境,不仅能尽量利用硬件资源,减少投入,而且管理方便,易于维护和升级。
1现状及问题
相较于最早的主机+网络安全设备模式,目前,网络安全实验室已经利用一些虚拟仿真软件,做了一定的优化,主要有两种方式组织,一种是单机虚拟PC+网络安全设备。利用vmware,用户可创建多个虚拟PC,模拟出windowslinux多系统环境,不需要进行系统重启切换,能进一步减少投入,解决电脑台套数问题和软件环境维护问题[4],但是由于虚拟PC与真实环境中的设备通信存在问题,故障率高,而且,网络安全设备的投入还是很大,升级慢。另一种是单机+模拟安全设备,利用packettracer、GNS3等模拟器来模拟一些防火墙[5],路由器等设备。但是,由于这些软件主要用于拓扑组网,路由管理维护方面的网络实验,在模拟网络安全设备方面运行不稳定,功能少,能实现的实验类型非常有限,只能做简单的访问控制和代理等实验。而且不能模拟服务器、linux多系统环境,实验受到较大限制。由于实验条件的以上限制,导致了目前网络安全教学普遍重理论,轻实验,这与课程的特性不符,理论知识过于枯燥抽象,导致学生没兴趣,学不好。但是,网络安全类设备更新快,价格昂贵,实验环境投入大,维护难,导致设备台套数不够,同等设备大量购置又存在经费投入大,场地占用大等问题。综上,目前网络安全实验存在的问题有:实验对网络安全设备要求种类较多,经费投入大,并且实验过程对设备、实验操作系统及网络软件环境具有破坏力,维护恢复实验环境工作量大,给管理带来不便。目前,有研究者提出利用云计算虚拟机技术来解决这些问题,取得较好的效果[6]。
2实验平台设计与实施
2.1平台设计原理
虚拟化技术是一种资源管理技术,将实体硬件资源(服务器、存储、网络等)抽象、重组,组成同一的资源池,在此基础上虚拟出多台逻辑上独立的设备。多个虚拟机可以运行在一台物理机器上,相互之间互不影响,大大提高资源利用率,减少维护成本。虚拟化技术运行原理如图1所示。图1虚拟化技术图利用这一特性,本实验平台可以在物理资源池基础上虚拟出多种操作系统:windows、linux,以及网络设备和网络安全设备,因此在网络安全实验平台中应用虚拟化技术,能较好解决现存的问题。目前主流的有KVM、Xen等虚拟化技术,通过对比,Xen具有开源免费、性能高比较好的优势,因此本文选用Xen虚拟化技术。
2.2设计思路
利用成熟的虚拟化技术,打造一个虚拟化网络安全实验平台,平台具有可扩展性,首先,是硬件资源可扩充性,根据实验需求,可以调整/扩充资源池,资源池中有多个虚拟安全组件,如虚拟防火墙、虚拟WAF、虚拟页防篡改等,这些安全器件是可扩充的;其次是实验内容可扩充性,可以根据教学需要,调整、增加实验资源包。最后,本平台应具有远程实验的功能,可以不受时间、空间限制进行实验;还应具有实验管理的功能,对用户、资源、实验过程等进行管理。
2.3平台实施
根据虚拟化技术原理,平台构架如图2所示。用户层主要提供标准的web访问,进行页面展示,访问入口。业务层主要是功能实现,数据处理和数据操作接口。基础服务层向业务层提供服务和接口,包括虚/实设备管理、拓扑设计与管理,以及公共服务。虚拟化层通过虚拟化技术生成虚拟机,提供基础虚拟化功能。硬件资源层为平台提供运行所需的硬件环境。平台集成8个实训模块,包括:网络安全、信息系统安全、云计算、密码学、安全运、开发语言、移动安全理论等,实训课程资源,实验项目包括恶意代码检测、安全漏洞挖掘、逆向工程、密码学、操作系统安全、web安全、安全研发、数据库安全……平台管理功能主要分为三块,门户管理、后台管理、资源管理,如图3所示。
3实验设计与效果
网络安全实验平台部署后,设备数量、种类以及环境约束得到较好解决,以防火墙QoS流量控制实验为例,实验设计如下:QoS中的流量监管就是对流量进行控制,通过监督进入网络端口的流量速率,对超出部分的流量进行处理(这个处理可以是丢弃、也可是延迟发送),使进入端口的流量被限制在一个合理的范围之内,解决网络中拥塞的问题。实验环境设计:虚拟防火墙一台,虚拟windows靶机一台(模拟内网主机),虚拟Linux靶机(模拟外网主机)。实验过程:进入管理中心,分别启动虚拟防火墙,虚拟windows靶机,虚拟Linux靶机。设置IP地址,使网络环境符合实验要求。windows靶机IP和防火墙的eth1处于内网段192.168.100.0,防火墙的eth2和Linux靶机IP处于外网172.22.10.0。实验拓扑结构如图4所示。进入windows虚拟机,选择目标设备linux,通过win-dows向linux发送数据,这里linux连接虚拟防火墙的eth2口。在防火墙里设置下行带宽和上行带宽,添加服务质量规则,选择好源主机(表示要发起操作的IP地址或者网段,这里是windows主机)和目的网络IP(表示与源主机发生通信的目的网络,这里是linux主机),选择本次服务所使用的协议和端口。实验验证:在规则生效之前和之后,进行远程文件拷贝,对比传输速度的区别,验证流量控制效果。本次实验涉及到两种操作系统环境,内外网及防火墙,在传统的实验室环境难以满足,利用本平台,能够满足需求,并且做到人人可以单独实验,提高学生的积极性和动手能力。此外,学生还可以通过远程登录进行实验,满足部分学生自学需求。目前,本校利用此平台对学生进行网络安全方面的技能培训,在信息安全竞赛,网络安全CTF等比赛中多次获奖。
4结束语
本文分析了传统网络安全课程实验环境存在的不足,设计了基于虚拟化技术的网络安全实验平台。该平台能够较好满足网络安全实验对设备环境的特殊要求,并且能够降低经费投入,突破实验时间、空间限制。该平台还支持硬件平台和实验内容资源的升级和扩展。在实际应用中证明,通过使用该平台,能够激发学生对网络安全学习的积极性,提高他们的实践能力,同时,能够作为信息安全类学科竞赛的训练平台,取得了较好的成效。
参考文献
[1]张焕国,韩文报,来学嘉,等.网络空间安全综述[J].中国科学:信息科学,2016,46
(2):125-164.
[2]底晓强,韩登,杨凌翔,等.基于超融合构架的网络安全虚拟仿真实验教学平台探索[J].实验室研究与探索,2017,36
(10):195-198.
[3]王瑞锦,周世杰,秦志光,等.基于虚拟化技术的信息安全实验教学体系建设[J],实验科学与技术,2015,13
(4):40-43.
[4]朱晓静,林元乖.基于虚拟化实验环境的网络信息安全课程的实践教学改革[J].琼州学院学报,2015,22
(5):120-124.
[5]陈天武.基于GNS3和VMware的防火墙技术仿真设计[J].信息系统工程,2018,
(1
1):69-71.