基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

廉龍穎+王希斌+劉文強(qiáng)+陳榮麗

[摘要]

為了解決網(wǎng)絡(luò)安全實(shí)驗(yàn)受到硬件條件和虛擬化技術(shù)限制的問題，設(shè)計(jì)實(shí)現(xiàn)了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。該平臺(tái)采用抽象分層模式，通過整合實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并在OpenStack中使用SDN網(wǎng)絡(luò)虛擬化技術(shù)搭建。通過教學(xué)實(shí)踐表明，該平臺(tái)具有真實(shí)性、可編程性、隔離性和擴(kuò)展性等特點(diǎn)，為用戶提供了一個(gè)良好的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)環(huán)境，具有一定的研究和應(yīng)用價(jià)值。

[關(guān)鍵詞]OpenStack;虛擬網(wǎng)絡(luò);網(wǎng)絡(luò)安全;實(shí)驗(yàn)平臺(tái)

[中圖分類號(hào)]G642.0[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1005-4634（2015）02-0095-05

0引言

網(wǎng)絡(luò)安全課程是計(jì)算機(jī)專業(yè)的一門專業(yè)主干課程。實(shí)驗(yàn)教學(xué)是本門課程的重要環(huán)節(jié)，是培養(yǎng)學(xué)生實(shí)踐能力和創(chuàng)新意識(shí)的重要手段[1]。目前，各高校的網(wǎng)絡(luò)安全實(shí)驗(yàn)基本采用兩種方式來搭建網(wǎng)絡(luò)攻防環(huán)境：（1）基于硬件設(shè)備搭建真實(shí)網(wǎng)絡(luò); （2）基于VMware搭建虛擬網(wǎng)絡(luò)[2]。網(wǎng)絡(luò)安全實(shí)驗(yàn)涉及到各種網(wǎng)絡(luò)設(shè)備，需要構(gòu)建特定的、復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)驗(yàn)以攻防為主，具有一定的攻擊性和破壞性。采用方式一構(gòu)建真實(shí)網(wǎng)絡(luò)，受到實(shí)驗(yàn)室的硬件資源限制，存在成本高、易癱瘓等問題;采用方式二構(gòu)建虛擬網(wǎng)絡(luò)，受到虛擬化技術(shù)限制，VMware允許用戶創(chuàng)建自己的虛擬機(jī)，但無法虛擬其它網(wǎng)絡(luò)設(shè)備，存在虛擬網(wǎng)絡(luò)設(shè)備不足、網(wǎng)絡(luò)環(huán)境簡單等問題[3-5]。由此可見，采用以上兩種方式搭建實(shí)驗(yàn)平臺(tái)，都不能完全滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)的需求，實(shí)驗(yàn)環(huán)境的構(gòu)建成為阻礙網(wǎng)絡(luò)安全教學(xué)的一大因素，搭建新型網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)具有重要意義。

為了解決網(wǎng)絡(luò)安全實(shí)驗(yàn)需求與網(wǎng)絡(luò)環(huán)境限制這一矛盾，黑龍江科技大學(xué)展開相關(guān)研究，搭建了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。該平臺(tái)提供了真實(shí)的、隔離的、可擴(kuò)展的、可編程的實(shí)驗(yàn)環(huán)境，并實(shí)現(xiàn)虛擬資源的統(tǒng)一管理。該平臺(tái)已在黑龍江科技大學(xué)投入使用，并應(yīng)用于網(wǎng)絡(luò)安全課程教學(xué)中，支持網(wǎng)絡(luò)安全創(chuàng)新實(shí)驗(yàn)。

1基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

設(shè)計(jì)與搭建

實(shí)驗(yàn)平臺(tái)采用抽象分層模式，根據(jù)網(wǎng)絡(luò)安全實(shí)驗(yàn)項(xiàng)目，設(shè)計(jì)一個(gè)可滿足實(shí)驗(yàn)需求的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用SDN網(wǎng)絡(luò)虛擬化技術(shù)在OpenStack中完成實(shí)驗(yàn)平臺(tái)搭建。

1.1實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)設(shè)計(jì)

實(shí)驗(yàn)平臺(tái)按照資源、管控和應(yīng)用三個(gè)方面進(jìn)行抽象，自下而上進(jìn)行分層的結(jié)構(gòu)設(shè)計(jì)，將復(fù)雜的平臺(tái)設(shè)計(jì)簡單化。采用抽象分層的設(shè)計(jì)模式，邏輯上進(jìn)行集中管理和控制，可使實(shí)驗(yàn)用戶從復(fù)雜的實(shí)驗(yàn)環(huán)境配置中分離出來，實(shí)現(xiàn)個(gè)性化定制實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)[6-8]。

實(shí)驗(yàn)平臺(tái)抽象為3層結(jié)構(gòu)：面向底層虛擬化的硬件資源管理層，面向OpenStack的網(wǎng)絡(luò)虛擬化層，以及面向用戶的實(shí)驗(yàn)應(yīng)用層。經(jīng)過抽象分層后，實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)如圖1所示。實(shí)驗(yàn)用戶注冊后，申請實(shí)驗(yàn)資源，將用戶的需求轉(zhuǎn)化為虛擬網(wǎng)絡(luò)拓?fù)涿枋稣Z言，傳遞給網(wǎng)絡(luò)虛擬化層。網(wǎng)絡(luò)虛擬化層根據(jù)硬件資源使用情況和用戶提出的實(shí)驗(yàn)資源申請，生成滿足用戶需求的虛擬網(wǎng)絡(luò)，并通過映射來完成對虛擬節(jié)點(diǎn)的配置，并反饋給用戶，用戶即可在平臺(tái)中進(jìn)行實(shí)驗(yàn)。

1.2實(shí)驗(yàn)平臺(tái)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)內(nèi)容主要包括攻擊和防御兩部分，攻擊實(shí)驗(yàn)項(xiàng)目包括：代理跳板隱藏IP、掃描服務(wù)器漏洞、暴力破解工作主機(jī)的SAM數(shù)據(jù)庫、遠(yuǎn)程入侵Web服務(wù)器、遠(yuǎn)程入侵?jǐn)?shù)據(jù)庫服務(wù)器、DDoS攻擊等;防御實(shí)驗(yàn)項(xiàng)目包括：防火墻配置、DDoS攻擊檢測、漏洞補(bǔ)丁、數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)加密等。

整合攻防實(shí)驗(yàn)項(xiàng)目所需的網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)實(shí)驗(yàn)平臺(tái)中虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖2所示，搭建出一個(gè)完整的網(wǎng)絡(luò)安全實(shí)驗(yàn)場景。在實(shí)驗(yàn)場景拓?fù)鋱D中，整個(gè)實(shí)驗(yàn)網(wǎng)絡(luò)劃分為公司內(nèi)網(wǎng)和外網(wǎng)，其中公司內(nèi)網(wǎng)由內(nèi)網(wǎng)（net1）與非軍事化保護(hù)區(qū)DMZ（net2）組成。net1包含網(wǎng)絡(luò)管理服務(wù)器server1、數(shù)據(jù)庫服務(wù)器server2、密鑰服務(wù)器server3、網(wǎng)絡(luò)管理員主機(jī)pc1和工作人員主機(jī)pc2。net2包含Web服務(wù)器server4、郵件服務(wù)器server5、FTP服務(wù)器server6、DNS服務(wù)器server7和入侵檢測系統(tǒng)IDS。外網(wǎng)中包含攻擊者主機(jī)pc3和普通用戶主機(jī)pc4。內(nèi)網(wǎng)通過交換機(jī)S1與F1相連，防火墻F1和F2之間為DMZ區(qū)，外網(wǎng)通過路由器R1和防火墻F2相連。

圖2實(shí)驗(yàn)場景拓?fù)鋱D

1.3實(shí)驗(yàn)平臺(tái)搭建

在OpenStack中使用SDN網(wǎng)絡(luò)虛擬化技術(shù)，通過Neutron組件來創(chuàng)建和配置虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)搭建。

虛擬網(wǎng)絡(luò)是指采用網(wǎng)絡(luò)虛擬化技術(shù)，在底層物理設(shè)施之上，將虛擬節(jié)點(diǎn)與虛擬鏈路進(jìn)行邏輯連接的虛擬拓?fù)浼蟍9-11]。SDN是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)，SDN的一個(gè)重要價(jià)值是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。

開源云計(jì)算管理平臺(tái)OpenStack工作在SDN應(yīng)用層。首先，在其網(wǎng)絡(luò)資源管理組件中增加Neutron組件，然后使用Neutron組件提供的虛擬網(wǎng)絡(luò)、子網(wǎng)、端口抽象等API，分別創(chuàng)建虛擬網(wǎng)絡(luò)、路由器、負(fù)載均衡等各種網(wǎng)絡(luò)節(jié)點(diǎn)，最后根據(jù)實(shí)驗(yàn)需求對虛擬節(jié)點(diǎn)進(jìn)行配置和管理，最終完成創(chuàng)建圖2所示的虛擬網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)的搭建[12]。

在OpenStack中使用SDN虛擬化技術(shù)搭建實(shí)驗(yàn)平臺(tái)的優(yōu)勢如下。

1）在SDN虛擬網(wǎng)絡(luò)中，虛擬機(jī)的增加、刪除、遷移等都不依賴于物理設(shè)備，更不需要對物理網(wǎng)絡(luò)做任何修改，所有的網(wǎng)絡(luò)設(shè)備創(chuàng)建、改動(dòng)等操作都由軟件來定義。

2）可模擬真實(shí)的網(wǎng)絡(luò)環(huán)境搭建虛擬網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)網(wǎng)絡(luò)安全防御功能，比如負(fù)載均衡、防火墻、VPN等。

3）支持用戶自定義虛擬網(wǎng)絡(luò)，網(wǎng)絡(luò)規(guī)則和控制策略。因此，利用SDN虛擬化技術(shù)搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，具有良好的可擴(kuò)展性、實(shí)現(xiàn)真實(shí)網(wǎng)絡(luò)環(huán)境和深度可編程性等優(yōu)點(diǎn)，完全能夠滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)需求[13-15]。

1.4實(shí)驗(yàn)平臺(tái)特點(diǎn)

1）真實(shí)性。實(shí)驗(yàn)平臺(tái)由軟件定義的虛擬網(wǎng)絡(luò)構(gòu)建，能夠反映網(wǎng)絡(luò)實(shí)際運(yùn)行狀況，營造真實(shí)的網(wǎng)絡(luò)環(huán)境，實(shí)驗(yàn)中的代碼幾乎可以無縫遷移到真實(shí)的硬件環(huán)境中。

2）可編程性。實(shí)驗(yàn)平臺(tái)采用SDN網(wǎng)絡(luò)虛擬化技術(shù)，可以保障實(shí)驗(yàn)平臺(tái)的可編程性。在結(jié)構(gòu)上，支持用戶根據(jù)實(shí)驗(yàn)虛求自定義網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);在應(yīng)用上，支持用戶自定義各種網(wǎng)絡(luò)安全配置。

3）隔離性。實(shí)驗(yàn)平臺(tái)在OpenStack中運(yùn)行，支持不同實(shí)驗(yàn)共享虛擬網(wǎng)絡(luò)資源，支持多個(gè)實(shí)驗(yàn)并行開展，保證不同實(shí)驗(yàn)流量的互不影響和有效隔離。

4）可擴(kuò)展性。實(shí)驗(yàn)平臺(tái)采用抽象分層的模式，提供標(biāo)準(zhǔn)化的管理接口，方便軟硬件的移植和擴(kuò)展。

2實(shí)驗(yàn)流程

用戶（學(xué)生或教師）在實(shí)驗(yàn)平臺(tái)中進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)之前，需要注冊并通過平臺(tái)管理員審核。審核通過后，用戶提交資源使用申請，管理員按照實(shí)驗(yàn)項(xiàng)目進(jìn)行資源分配。項(xiàng)目申請通過后，用戶在實(shí)驗(yàn)網(wǎng)絡(luò)中進(jìn)行創(chuàng)建鏡像、設(shè)計(jì)協(xié)議、配置虛擬節(jié)點(diǎn)等操作，完成后即可進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)流程如圖3所示。

圖3實(shí)驗(yàn)流程

3網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)

實(shí)驗(yàn)平臺(tái)已在黑龍江科技大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中得到具體應(yīng)用，下面僅以防火墻配置實(shí)驗(yàn)項(xiàng)目中一個(gè)任務(wù)作為實(shí)例演示。本實(shí)驗(yàn)任務(wù)要求學(xué)生通過linux下的iptables工具配置流表規(guī)則，完成在pc1中配置禁止SSH數(shù)據(jù)包的過濾服務(wù)。通過本實(shí)驗(yàn)，了解控制器與防火墻之間的消息交換流程，理解基于OpenFlow防火墻的工作原理。在實(shí)驗(yàn)中，學(xué)生可在實(shí)驗(yàn)場景拓?fù)浣Y(jié)構(gòu)中，選擇pc1作為OpenFlow控制器，pc2作為用戶主機(jī)A，pc4作為用戶主機(jī)B，s1作為OpenFlow交換機(jī)，該實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。學(xué)生在實(shí)驗(yàn)網(wǎng)絡(luò)中利用OpenFlow協(xié)議中的流表項(xiàng)構(gòu)建ACL，實(shí)現(xiàn)防火墻功能，并使用Wireshark網(wǎng)絡(luò)封包分析軟件抓取數(shù)據(jù)包。

圖4防火墻實(shí)驗(yàn)虛擬網(wǎng)絡(luò)拓?fù)鋱D

3.1實(shí)驗(yàn)原理

主機(jī)A和主機(jī)B之間經(jīng)過OpenFlow交換機(jī)進(jìn)行通信，主機(jī)A向交換機(jī)發(fā)出訪問主機(jī)B的請求，如果該請求在交換機(jī)中無匹配的轉(zhuǎn)發(fā)規(guī)則，則轉(zhuǎn)發(fā)該請求數(shù)據(jù)包的副本到OpenFlow控制器，控制器的防火墻應(yīng)用模塊進(jìn)行訪問策略檢查，并且將響應(yīng)結(jié)果返回給交換機(jī)，如果交換機(jī)收到規(guī)則“來自主機(jī)A的數(shù)據(jù)包可以被發(fā)送給主機(jī)B”，則交換機(jī)響應(yīng)主機(jī)A的請求，數(shù)據(jù)從主機(jī)A轉(zhuǎn)發(fā)到交換機(jī)，再從交換機(jī)轉(zhuǎn)發(fā)到主機(jī)B。在使用SDN虛擬化技術(shù)構(gòu)建的虛擬實(shí)驗(yàn)網(wǎng)絡(luò)中，防火墻以反應(yīng)模式進(jìn)行工作，控制部分作為一個(gè)程序應(yīng)用轉(zhuǎn)移到控制器中，轉(zhuǎn)發(fā)部分則駐留在交換機(jī)中。

3.2實(shí)驗(yàn)操作

實(shí)驗(yàn)要求防火墻實(shí)現(xiàn)禁止SSH數(shù)據(jù)包的過濾服務(wù)，SSH 是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議，使用TCP協(xié)議，默認(rèn)監(jiān)聽端口為22。因此，本實(shí)驗(yàn)需要關(guān)閉所有TCP端口22的訪問，流表項(xiàng)形式的防火墻ACL如圖5所示。

1）清除原有規(guī)則。iptables-F 清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則;iptables-X 清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則。

2）關(guān)閉ssh服務(wù)，默認(rèn)端口號(hào)為22：iptables-A INPUT-p tcp-dport 22-j DROP;iptables-A OUTPUT-p tcp-sport 22-j DROP。

至此，通過防火墻實(shí)驗(yàn)項(xiàng)目中一個(gè)簡單任務(wù)案例，詳細(xì)的介紹了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)的過程，驗(yàn)證了使用OpenStack平臺(tái)搭建虛擬網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)的可行性。

4結(jié)束語

課題組分析了常用的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境構(gòu)建方案的不足，提出了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)平臺(tái)設(shè)計(jì)方案。該平臺(tái)采用抽象分層模式，通過整合網(wǎng)絡(luò)安全實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在OpenStack中采用SDN網(wǎng)絡(luò)虛擬化技術(shù)創(chuàng)建虛擬網(wǎng)絡(luò)，搭建出具有真實(shí)性、可編程性、隔離性和可擴(kuò)展性的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。通過在黑龍江科技大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中的應(yīng)用，發(fā)現(xiàn)該平臺(tái)完全能夠滿足網(wǎng)絡(luò)安全課程實(shí)驗(yàn)環(huán)境需求，并且可以推廣到其它網(wǎng)絡(luò)相關(guān)課程的實(shí)驗(yàn)教學(xué)中。

目前，基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)僅提供實(shí)驗(yàn)應(yīng)用，未來進(jìn)一步的開發(fā)工作將集中在如下2個(gè)方面：（1）提供更高性能的實(shí)驗(yàn)環(huán)境構(gòu)建，即支持大規(guī)模網(wǎng)絡(luò)拓?fù)涞目焖俸妥詣?dòng)化部署;（2）提供實(shí)時(shí)監(jiān)測功能，對實(shí)驗(yàn)中的關(guān)鍵節(jié)點(diǎn)進(jìn)行實(shí)時(shí)數(shù)據(jù)、流量和狀態(tài)監(jiān)測。今后將擴(kuò)大該平臺(tái)的應(yīng)用部署范圍，加強(qiáng)實(shí)踐應(yīng)用和改進(jìn)，使該平臺(tái)成為具有廣泛認(rèn)同度的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。

參考文獻(xiàn)

[1] ?吳迪，薛政，潘嶸.基于XEN云平臺(tái)的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)室研究與探索，2013，32（7）：62-66.

[2] 姚青.網(wǎng)絡(luò)虛擬化的關(guān)鍵技術(shù)研究[D].南京：南京郵電大學(xué)，2013.

[3] 史景慧.網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)踐[D].北京：北京郵電大學(xué)，2012.

[4] 王芳，李勇，周燁.基于分層抽象思想的虛擬化網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2012，52（11）：1535-1539.

[5] 周燁，李勇，王芳.基于OpenFlow的網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)技術(shù)[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2012，52（11）：1540-1544.

[6] 汪淵，楊槐，朱安國.基于插件的網(wǎng)絡(luò)攻防訓(xùn)練模擬系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（7）：172-174.

[7] 翟繼強(qiáng)，陳宜冬.虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)[J].實(shí)驗(yàn)室研究與探索，2009，28（6）：79-82.

[8] 康辰，朱志祥.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)[J].西安郵電大學(xué)學(xué)報(bào)，2013，18（3）：87-91.

[9] N K Chowdhury，R Boutaba.Network virtualization：state of the art and research challenges[J]，JEEE Communieations Magazine. 2009，47（7）：20-26.

[10] Wen H，Tiwary P K，Le-Ngoc T.Network Virtualization Technologies and Techniques[M]. New York：Springer International Publishing，2013：25-40.

[11] Bonner S，Pulley C，Kureshi I，et al. Using OpenStack to improve student experience in an HE environment[C].Science and Information Conference （SAI）. IEEE，2013：888-893.

[12] 龔宇，李帥，李勇.基于云計(jì)算的網(wǎng)絡(luò)創(chuàng)新實(shí)驗(yàn)平臺(tái)[J].計(jì)算機(jī)工程，2012，38（24）：5-13.

[13] Hua Q. Using virtual machine technology to establish Network Security teaching platform[C].Electronics， Computer and Applications， 2014： 707-709.

[14] Braga R， Mota E， Passito A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C].Local Computer Networks （LCN）， 2010 IEEE 35th Conference， 2010： 408-415.

[15] Corradi A， Fanelli M， Foschini L. VM consolidation：a real case based on openstack cloud[J]. Future Generation Computer Systems， 2014， 32： 118-127.

OpenStack-based experimental platform for network security

LIAN Long-ying，WANG Xi-bin，LIU Wen-qiang，CHEN Rong-li

（School of Computer and Information Engineering，Heilongjiang University of Science

and Technology，Harbin，Heilongjiang150022，China）

AbstractIn order to solve the problem of limitation of hardware conditions and virtualization technology for network security experiment，OpenStack-based experimental platform for network security is designed and implemented.The platform adopts the abstract hierarchical pattern，through integrating experimental project to design virtual network topology，and uses SDN network virtualization technology to build the experimental platform in OpenStack.Teaching practice indicates that the platform possesses the features of authenticity，programmability，isolation and expandability，it can provide a good network security experiment teaching environment for users and possess certain research and application value.

Key wordsOpenStack;virtual network;network security;experimental platform