0 引言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)服務(wù)給人們帶來巨大便利的同時(shí)，網(wǎng)絡(luò)安全問題也在不斷的涌現(xiàn)。近年來，隨著美國“棱鏡門”事件的發(fā)生，網(wǎng)絡(luò)信息安全已然成為當(dāng)今世界人們關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)信息安全受到了前所未有的挑戰(zhàn)，網(wǎng)絡(luò)信息安全已經(jīng)成為國家戰(zhàn)略安全的重要組成部分。

對(duì)于我國網(wǎng)絡(luò)信息安全方面面臨的嚴(yán)峻形勢，我國急需掌握網(wǎng)絡(luò)信息安全和攻防技術(shù)的高科技人才。由于在真實(shí)網(wǎng)絡(luò)中開展網(wǎng)絡(luò)攻防、病毒注入等實(shí)驗(yàn)所帶來的安全隱患和破壞性，所以網(wǎng)絡(luò)攻防教學(xué)迫切需要一種具備網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的教學(xué)平臺(tái)[1]。本文提出了一種基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防研究實(shí)驗(yàn)教學(xué)平臺(tái)。學(xué)習(xí)者通過此平臺(tái)可以進(jìn)行網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練，并在實(shí)戰(zhàn)中了解網(wǎng)絡(luò)攻防、病毒攻防、網(wǎng)絡(luò)滲透攻擊、網(wǎng)絡(luò)安全加固等的原理。通過實(shí)驗(yàn)使學(xué)生更好的了解網(wǎng)絡(luò)攻防底層的運(yùn)行機(jī)制，并加深學(xué)生對(duì)網(wǎng)絡(luò)攻防的認(rèn)識(shí)[2-4]。

1 基于虛擬化的實(shí)驗(yàn)教學(xué)平臺(tái)整體架構(gòu)

本文設(shè)計(jì)的基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)利用了虛擬化技術(shù)模擬出遠(yuǎn)程有線網(wǎng)絡(luò)攻防中的攻擊方和防守方。學(xué)生可自行為虛擬攻擊機(jī)模塊自由配置攻擊工具，同時(shí)學(xué)生也可自行為虛擬靶機(jī)模塊自由配置防護(hù)軟件和硬件防火墻。實(shí)驗(yàn)完成后學(xué)生還可以通過局域網(wǎng)或互聯(lián)網(wǎng)下載實(shí)驗(yàn)數(shù)據(jù)以供學(xué)生分析使用。教師可以在學(xué)生實(shí)驗(yàn)后通過該實(shí)驗(yàn)平臺(tái)的管理模塊對(duì)虛擬攻擊機(jī)模塊和虛擬靶機(jī)模塊的操作系統(tǒng)進(jìn)行重置[5]。

基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)共分為8個(gè)模塊，他們分別為接入控制模塊、管理中心模塊、虛擬攻擊機(jī)模塊、虛擬靶機(jī)模塊、擴(kuò)展設(shè)備配置模塊、監(jiān)控中心模塊、實(shí)驗(yàn)配置模塊、教學(xué)運(yùn)行管理模塊。實(shí)驗(yàn)平臺(tái)整體架構(gòu)如圖1所示。

圖1 基于虛擬化的實(shí)驗(yàn)教學(xué)平臺(tái)整體架構(gòu)

①接入控制模塊：允許學(xué)生使用局域網(wǎng)或互聯(lián)網(wǎng)根據(jù)管理員分配的賬號(hào)信息通過VPN連接到教學(xué)實(shí)驗(yàn)平臺(tái)。并根據(jù)賬號(hào)的屬性，判別學(xué)生可以在實(shí)驗(yàn)配置模塊中所執(zhí)行的操作權(quán)限。

②管理中心模塊：允許教師維護(hù)配置攻擊工具包的虛擬攻擊機(jī)鏡像和具有安全漏洞的虛擬靶機(jī)鏡像；維護(hù)可以通過網(wǎng)絡(luò)使用該平臺(tái)的賬號(hào)信息，并可以設(shè)置賬號(hào)在該平臺(tái)上所能開展的實(shí)驗(yàn)項(xiàng)目權(quán)限。

③虛擬攻擊機(jī)模塊：利用虛擬化技術(shù)，根據(jù)實(shí)驗(yàn)的攻擊方法，可以生成配置不同攻擊工具的Windows虛擬機(jī)和Linux虛擬機(jī)。

④虛擬靶機(jī)模塊：利用虛擬化技術(shù)，根據(jù)實(shí)驗(yàn)的防護(hù)方案和攻擊方法，可以為虛擬靶機(jī)安裝不同的防護(hù)軟件，并為其配置各種不同的操作系統(tǒng)漏洞和應(yīng)用軟件漏洞。

⑤擴(kuò)展設(shè)備配置模塊：允許學(xué)生為虛擬靶機(jī)模塊配置防火墻、入侵檢測系統(tǒng)和安全審計(jì)系統(tǒng)等硬件設(shè)備，以構(gòu)建多樣化的網(wǎng)絡(luò)環(huán)境開展實(shí)驗(yàn)。

⑥監(jiān)控中心模塊：利用交換機(jī)的端口鏡像功能，捕獲流經(jīng)虛擬攻擊機(jī)和虛擬靶機(jī)的網(wǎng)絡(luò)數(shù)據(jù)流，并能按照使用局域網(wǎng)接入的學(xué)生或使用互聯(lián)網(wǎng)接入的學(xué)生所操作的虛擬機(jī)的 IP地址和應(yīng)用層網(wǎng)絡(luò)協(xié)議類型將捕獲的數(shù)據(jù)包分類，允許學(xué)生下載自己操縱的虛擬攻擊機(jī)和虛擬靶機(jī)流入和流出的網(wǎng)絡(luò)數(shù)據(jù)包供其分析；監(jiān)測虛擬攻擊機(jī)模塊內(nèi)的虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)模塊內(nèi)的虛擬靶機(jī)實(shí)例的狀態(tài)，銷毀超過預(yù)先設(shè)置時(shí)間內(nèi)沒有操作的虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例以釋放資源。

⑦實(shí)驗(yàn)配置模塊：允許互聯(lián)網(wǎng)接入的學(xué)生和局域網(wǎng)接入的學(xué)生連接到實(shí)驗(yàn)教學(xué)平臺(tái)后，根據(jù)實(shí)驗(yàn)要求和賬號(hào)權(quán)限自行選擇配置攻擊工具包的虛擬攻擊機(jī)鏡像生成新的虛擬攻擊機(jī)實(shí)例，選擇具有安全漏洞的虛擬靶機(jī)鏡像生成虛擬靶機(jī)實(shí)例，并為生成的虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例配置相應(yīng)的IP地址和網(wǎng)絡(luò)拓?fù)洹?/p>

⑧教學(xué)運(yùn)行管理模塊：包括信息發(fā)布、互動(dòng)交流、實(shí)驗(yàn)預(yù)約、成績?cè)u(píng)定和成果展示等教學(xué)管理功能。

2 攻防實(shí)驗(yàn)流程

攻防實(shí)驗(yàn)流程如圖2所示。

實(shí)驗(yàn)平臺(tái)初始化后，由教師維護(hù)學(xué)生帳號(hào)信息庫、虛擬攻擊機(jī)和虛擬靶機(jī)鏡像庫、攻擊軟件工具包，防護(hù)軟件工具包和漏洞庫等實(shí)驗(yàn)資源。教師可以修改賬號(hào)的用戶名、密碼和可以操作的實(shí)驗(yàn)類別。通過設(shè)置可以操作的實(shí)驗(yàn)類別，為學(xué)生在使用實(shí)驗(yàn)配置模塊時(shí)附加權(quán)限。

學(xué)生根據(jù)教師分配的帳號(hào)，與實(shí)驗(yàn)教學(xué)平臺(tái)建立連接。使用局域網(wǎng)接入的學(xué)生可以通過直接輸入用戶名和密碼連接到實(shí)驗(yàn)教學(xué)平臺(tái)。使用互聯(lián)網(wǎng)遠(yuǎn)程接入的學(xué)生可以通過VPN與實(shí)驗(yàn)教學(xué)平臺(tái)建立連接。

建立連接后，學(xué)生就可以使用平臺(tái)上為其分配的磁盤空間。學(xué)生根據(jù)實(shí)驗(yàn)題目，選擇相應(yīng)的虛擬機(jī)鏡像，在自己所屬磁盤空間內(nèi)創(chuàng)建虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例，然后為虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例配置相應(yīng)的 IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器以實(shí)現(xiàn)虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例的網(wǎng)絡(luò)連接。

圖2 實(shí)驗(yàn)流程圖

利用實(shí)驗(yàn)教學(xué)平臺(tái)提供的攻擊軟件工具包配置虛擬攻擊機(jī)實(shí)例，利用實(shí)驗(yàn)教學(xué)平臺(tái)提供的防護(hù)軟件工具包和和漏洞庫配置虛擬靶機(jī)實(shí)例。為了模擬真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境，學(xué)生還可以為虛擬靶機(jī)配置硬件防火墻等防護(hù)設(shè)備。在完成實(shí)驗(yàn)配置和設(shè)備連接后，學(xué)生就可以利用虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例開展網(wǎng)絡(luò)攻防實(shí)驗(yàn)。學(xué)生完成實(shí)驗(yàn)后可以關(guān)閉虛擬機(jī)實(shí)例，也可以保存當(dāng)前的實(shí)驗(yàn)狀態(tài)，在下次登錄后繼續(xù)進(jìn)行實(shí)驗(yàn)。

在實(shí)驗(yàn)進(jìn)行時(shí)，監(jiān)控中心模塊會(huì)自動(dòng)捕獲流經(jīng)虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例的網(wǎng)絡(luò)數(shù)據(jù)包，收集實(shí)驗(yàn)數(shù)據(jù)。學(xué)生可以隨時(shí)下載由監(jiān)控中心模塊捕獲的數(shù)據(jù)包，以供其分析實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)完成后，監(jiān)控中心模塊會(huì)自動(dòng)監(jiān)測虛擬攻擊機(jī)模塊內(nèi)的虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)模塊內(nèi)的虛擬靶機(jī)實(shí)例的狀態(tài)，銷毀超過預(yù)先設(shè)置時(shí)間內(nèi)沒有操作的虛擬攻擊機(jī)實(shí)例和虛擬靶機(jī)實(shí)例以釋放資源。

3 總結(jié)

本文提出了一種基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)，學(xué)生通過該實(shí)驗(yàn)教學(xué)平臺(tái)進(jìn)行遠(yuǎn)程有線網(wǎng)絡(luò)攻防實(shí)驗(yàn)可以深刻的體驗(yàn)真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻防的過程。學(xué)生在為虛擬攻擊機(jī)模塊配置攻擊軟件時(shí)，可以深刻的理解攻擊軟件的運(yùn)行細(xì)節(jié)、病毒的注入過程和網(wǎng)絡(luò)滲透攻擊的原理。同時(shí)，學(xué)生在為虛擬靶機(jī)模塊配置防護(hù)軟件和硬件防火墻時(shí)，可以更好的理解防護(hù)軟件的運(yùn)行細(xì)節(jié)、網(wǎng)絡(luò)的安全加固和防火墻的工作原理。從而通過虛擬攻擊機(jī)和虛擬靶機(jī)之間的網(wǎng)絡(luò)攻防演練達(dá)到實(shí)驗(yàn)教學(xué)的目的。