红亚科技基于云平台的网络攻防靶场实战实验室建设方案(15版).pdf

基于云平台的网络攻防实战平台 1 25 基于云平台的网络攻防靶场实战基于云平台的网络攻防靶场实战 系统方案系统方案 北京红亚华宇科技有限公司 二零一五年 基于云平台的网络攻防实战平台 2 25 目录目录 一 公司介绍 3 二 建设背景 5 三 实验室总体规划 7 四 实战平台功能 10 1 实战平台网络战靶场 11 2 实战平台网络靶场实战 12 3 实战平台红蓝对抗 14 4 系统后台管理 17 2 1 平台管理 17 2 2 靶场管理 18 2 3 闯关设置 18 2 4 对抗设置 18 2 5 实时监控 19 2 6 靶机的管理 19 五 攻防实战靶场列表 21 六 所需设备 23 基于云平台的网络攻防实战平台 3 25 一 公司介绍一 公司介绍 北京红亚华宇科技有限公司成立于 2012 年 位于高校云集的中关村核心区 域 主要从事信息安全领域的成果转化 技术开发和咨询服务 致力于成为国内 高等院校信息安全实验室解决方案专业的供应商 公司的主要成员均在教育领域耕耘多年 既有丰富的实验教学经验 又有丰 厚的技术开发经验 不仅能够为客户提供高质量的产品 还能在了解客户需求的 前提下提供顾问式服务 我们可以为用户提供网络安全 网络攻防实验室建设的 规划 方案设计 系统建设 培训维护等服务 同时 也为学校提供师资培养 教材建设 迄今为止 公司的前身承担了国家级项目 包括 973 863 国家自然科学 基金 国家发改委 超过 20 余项 省部级项目 北京市 军队 国家各相关部 委 超过 100 余项 各种企事业单位的横向课题超过 500 项 积累的各类标准提 案数十个 已获批准的专利超过 50 余项 公司还积极参与信息安全教学研讨活动 迄今支持和承办了三届信息安全师 资交流活动 为来自全国的信息安全一线教师提供了实验教学理念 实验教学方 法 实验教学手段 实验教学考核的交流平台 公司典型的客户包括 基于云平台的网络攻防实战平台 4 25 基于云平台的网络攻防实战平台 5 25 二 二 建设背景建设背景 1 1 人才培养的 人才培养的需要需要 21 世纪 大到国家 小到个人 越来越离不开网络 网络技术的发展在创 造了便捷性的同时 也把数以十亿计的用户带入了一个两难的境地 一方面 国 家和政府依赖网络维持政治 经济 文化 军事等各项活动的正常运转 企业用 户依赖网络进行技术创新和市场拓展 个人用户依赖网络进行信息交互 另一方 面 网络中的信息存储 处理和传输的都是事关国家安全 企业及个人的机密信 息或是敏感信息 因此成为敌对势力 不法分子的攻击目标 这种不安全的态势 在未来绝对不会平息 而是会持续发展 逐渐渗透到物联网 智能移动互联 云 计算等新兴的网络空间 所以 从国家层面 从企业安全层面 从个人需求层面 培训养一批网络安全人才 已经成为我国的一项重要工程 在我国 网络安全事件 基本上可分为两类 一类是被攻击 一类个人防范 意识差 从而中有危害性的计算机病毒 为了解决这个问题 一方面要有专业的 人才来防护我们的网络 一方面要加强人民的网络安全意识 更重要的是 有效 的防止外来的攻击以保证我国网络环境的健康发展 对于人才培养来看 在我国高等院校及各类高职高专是网络安全专业人才的 培养基地 网络攻击与防护是网络安全的核心内容 也是国内外各个高校信息安 全相关专业的重点教学内容 网络攻击与防护具有工程性 实践性的特点 对课 程设计和综合实训提出了更高的实验环境要求 所以能否培养出一批有价值的人 才 实践环境起到了非常重要的作用 2 2 教学的 教学的需要需要 在网络安全专业中 网络安全占据了重要的教学任务 在网络安全中 网络 攻防占据的主导作用 网络攻防可以将是将密码学 计算机病毒 防火墙 网络 安全 操作系统 数据库 WEB 安全等一系的知识串连起来 对学生网络安全 知识至关重要 所以网络攻防是网络安全核心内容 但在我学院却难以开展相关 的实验 有道是只有掌握了攻击方法 才能清楚的知道如何防护 目前学院没 有一个有效的网络攻防平台 犹如纸上谈兵 严重影响人才培养的质量 建设网 络攻防实验室 不但能为学生提供良好的硬件资源 而且能大大提高科学研究及 学科建设水平 提高办学层次 为培养信息安全高级人才提供有力保证 所以我 基于云平台的网络攻防实战平台 6 25 院非常有必要建设一个现代化 真实化的网络攻防实验室 网络攻防课程在总体上的特点是技术性和实践性强 坚持理论联系实际 才 能真正掌握这些知识 通过学习网络攻防 学生将可以了解网络安全的威胁 掌 握入侵检测技术 安全防护技术以及应急响应机制等基本安全技术 可以为信息 系统的设计和实现提供网络安全防御机制 从系统的整个生命周期考虑网络安全 问题 目前 我国大部分高校开设的网络攻防课程 或相关课程 的主要内容包括 网络应用服务安全 防火墙 入侵检测 虚拟专用网 网络攻击与防护等 其中 网络攻击与防护是应用性 实践性 综合性最强的一部分核心内容 学生要很好 地掌握这些内容 除了课堂学习 主要通过实验的实际操作来加深理解和掌握工 程性技能 然而仅仅使用个别的 松散的 不连贯的实验在特定环境下来验证所学知识 掌握工具的使用技能 是显然无法满足我国高校网络安全教学中突出综合性 真 实性 实用性 开放性及实践性的需求 还需要通过综合型的网络攻防实训来将 零散的知识应用到实际的渗透测试当中 已达到真正的发散性 创新性及学以致 用的实训目的 因此 引入专业的网络攻防实战系统是十分重要和必要的 3 3 学生的需要 学生的需要 网络安全尤其是网络攻击和防护 只有在真实环境下亲身体验了实际的过程 才能掌握网络攻击的原理 分析网络攻击的途径和方式 才能更好的针对各种攻 击提供网络防护措施 才能体会网络攻击的危害性 全面提升安全意识 通过搭建真实的 覆盖网络攻防相关领域知识的实战系统 可对学生进行网 络攻防综合应用方面全面的 系统的培训 同时能够根据网络安全技术的最新发 展 增加相关的实战内容和实战环境 使学生能够始终追踪前沿网络攻防技术 不断开阔思路和眼界 提升实践教学水平和质量 以网络攻防实战系统为依托 学校可进行相应的网络攻防实战培训 择优参 加全国及地区性的信息安全相关的技能大赛 保证大赛中代表队优异的成绩 或 有效组织校内 地区甚至全国性的信息安全相关技术大赛 通过上述方式可有效 提升学校及专业的影响力 所以对于学生而言 建设一个专业的网络攻防实验室 更是迫在眉心 基于云平台的网络攻防实战平台 7 25 三 三 实验室总体规划实验室总体规划 1 1 实验室技术平台选择实验室技术平台选择 网络攻防实战实验室建设在技术选择 要优先考虑靶场环境的更新 因为针 对网络安全的技术发展是非常之快 如果靶场环境无法更新或更新繁琐将会给教 学带来很多的麻烦 因此 我们在实验室建设的时选择实验系统 是基于云计算 的技术 在实验室建设一个私有云的网络攻防靶场实战平台 基于云环境的实战 系统 可通过后台 直接添加新的靶场 实验平台不需要客户端 靶场更新非常 的方便 2 2 实验室功能规划实验室功能规划 实验室建设在功能上规划主要分为教师管理及学生实战两个环境 教师管理 主要分为云环境管理 用户管理 靶场管理 成绩管理 实验学生端可分为三个 层次 分别为攻防实训 靶场实战 红蓝对抗 学生 实战 教师 管理 云管理用户管理靶场管理成绩管理 攻防实训 SQL注入 XSS 密码破解 靶场实战 企业官网 OA系统 电商平台 红蓝对抗 阵地对抗 实时防护 即攻即防 图 1 系统功能图 3 3 实验室布局规划实验室布局规划 针对实验室的空间环境及现代实验教学的发展趋势 一个实验班级 36 60 个 学生可分为 6 8 个实验组 每组可安排 6 个学生进行实验 这样可同时安排 36 60 个学生进行网络攻防相关的实验课程 以小组的形式 可培养学生的团队合作能 力 对于大三大四学生 可以小组合作方式 进行网络对抗实验 基于云平台的网络攻防实战平台 8 25 图 2 实验室平面布置图 图 3 实验室效果图 4 4 实验室基础环境 实验室基础环境 基础环境建设包括实验终端个人电脑和实验所需的网络环境 学生实验终端 计算机一方面可以采用普通终端 PC 机 组合成实验室局域网 支撑学生进行网 络攻防靶场实战实验 另一方面随着云计算技术的发展 学生计算机可以采用虚 拟桌面云终端的设计方式 通过采用专用云资源服务器及云调度设备进行设计 利用服务器虚拟化的方法来对终端进行支撑 用户通过部署在实验台的瘦客户端 进行实验操作 所有应用 数据统一存放在后台服务器 虚拟桌面云终端不存放 基于云平台的网络攻防实战平台 9 25 任何数据 可被管理工具统一管理 包括分发系统 更新软件 远程监控 审计 等操作 虚拟桌面云平台也通过虚拟化平台的管理工具管理 大大降低维护人员 的重复工作量 基于云平台的网络攻防实战平台 10 25 四 四 实战平台实战平台功能功能 基于云平台的网络攻防靶场实战系统 HonyaNACD 由北京红亚华宇科技有 限公司开发完成 通过专用虚拟化系统及云平台控制模块确保系统高效安全运行 可定制化的设置灵活应对各种新信息安全技术和信息安全事件的研究 该平台可 有效提高信息安全专业从事人员入侵和防御能力 协助用户全面提升信息系统整 体安全状况 基于云平台的网络攻防靶场实战作为信息安全技术研究的领域革命性产品 可提供包括网络设备 安全设备 主机设备和应用系统的全方位安全技术利用 通过虚拟真实应用环境 涵盖网络技术 主机操作系统 数据库技术 WEB 应 用系统 中间件应用 手机应用 无线应用在内的全方位漏洞技术研究 基于云平台的网络攻防靶场实战包括 信息安全攻防和信息安全事件知识库 系统与应用漏洞虚拟模板库 课件系统库 工具集 网络靶场以及分布式集群 云平台系统等功能模块 每一个功能模块包含若干单元 功能模块既可集成一体 平台亦可独立部署应用 平台开放统一接口 可融合客户自行开发的工具 方便 用户更新靶场及自定义攻防场景 图 4 实验室网络拓扑图 基于云平台的网络攻防实战平台 11 25 1 实战平台实战平台网络战靶场网络战靶场 HonyaNACD 通过云计算虚拟化的技术 在可控环境中进行有效模拟 利用 实战平台中 200 多个虚拟化漏洞模板构建多个网络靶场 灵活部署加载多种复杂 场景 提供真实的信息安全攻防网络环境 同时又要十分灵活部署和制造各种可 能遭遇的网络攻击场景 HonyaNACD 利用信息安全环境管理器灵活部署包括路由器 交换机 服务 器 防火墙 监测设备 无线系统等各种复杂系统 尽可能重现真实互联网 信 息安全攻防人员可以方便地在这个环境中反复演练入侵和防御手段 并把攻击和 防御日志生成报表 便于学习总结 HonyaNACD 建立网络靶场是模拟互联网的平台 除此之外 还有一种存在 于现实网络中的实验室 被称为 蜜罐 系统 蜜罐 技术通过在互联网上布 置一些作为诱饵的主机 诱使攻击者进行攻击 从而帮助网络战人员研究攻击方 式 HonyaNACD 目前已经有的靶场包括 30 套 靶场共 200 个 类型涵盖了 WEB 系统漏洞 应用漏洞等 并为每一套靶场提供了入侵步骤及视频指导 图 5 系统主界面 基于云平台的网络攻防实战平台 12 25 2 实战平台实战平台网络网络靶场实战靶场实战 网络靶场实战分为四大部分 第一部分即攻防技能题目考核 目前系统自带 了 100 道题库 包括了密码破解 WEB 安全 逆向工程 系统安全 网络协议等 类型 第二部分初级靶场 以单个靶机组成的靶场为主 总计 15 个靶场 近 40 个关卡 第三部分中级靶场 以 2 3 个靶机组成的靶场为主 总计 10 套靶场 近 50 个关卡 第四部分高级靶场 以 2 5 个靶机组成的靶场为主 总计 5 套靶 场约 60 个关卡 图 6 靶场级别 获取靶场信息后 系统为学员提供了两个渗透主机 分别为 XP 和 KALI 点 击渗透主机图标 即可获取服务端提供的渗透主机 对靶场进行渗透 获取过关 文件 靶场渗透如下图 基于云平台的网络攻防实战平台 13 25 图 7 靶场渗透 图 8 云主机 排名系统根据学员渗透情况 进行实时的排名 可查看自己当前的得分情况 作为管理员 还可以实时的查看比赛进度 题目背景及答题的情况 如下图 基于云平台的网络攻防实战平台 14 25 图 9 靶场排名 图 10 题目背景 3 实战平台红蓝对抗实战平台红蓝对抗 红蓝对抗支持多组互相攻击 每个小组都可分配 3 5 成员 小组里分别有 2 个渗透人员 2 名防护人员 1 名指挥人员 在攻击其它小组靶场同时 也要对 本组靶场进行实时防护 以免被其它小组攻陷自己的靶机 比赛开始每个团队的 分数相同 每攻下一个靶场 本队得分 被攻下的团队丢分 进入比赛时 可以 看到其它小组目前的分数及所丢的分数 如下图 基于云平台的网络攻防实战平台 15 25 图 11 各小组分数靶场情况 选手可以根据其它各小组的情况选择目标 进行渗透攻入击 并实时观看本 队的靶场的安全状态 图 12 攻击其它小组靶场 基于云平台的网络攻防实战平台 16 25 图 13 本团队靶机的情况 各小组得分排名及阵地沦陷动态如下图 图 14 团队排名 基于云平台的网络攻防实战平台 17 25 图 15 团队靶场沦陷状态 4 系统系统后台管理后台管理 2 1 平台管理平台管理 平台管理包括了竞赛管理 选手管理 成绩管理 竞赛管理 系统管理 监 控管理 用户只需通过浏览器即可对整个平台进行管理 竞赛过程中通过监控展 示 对所有攻击的靶场进实时的监控 有效的防止的学生作弊 图 17 系统后台功能主页 基于云平台的网络攻防实战平台 18 25 2 2 靶场管理靶场管理 靶场管理可对目前现有的靶场进行编辑 进行分数调整及新建靶场 图 18 靶场管理 2 3 闯关设置闯关设置 针对攻防比赛时 可将多个靶场组合成为一个闯关的比赛 通过新建关卡 关口 使学生以游戏的方式进行闯关训练 提升学生的学习兴趣 图 19 闯关管理 2 4 对抗设置对抗设置 除了攻防靶场实战之外 教师还可以设置红蓝对抗 可以将学生分为不同的 小组 不同的目标 红方为攻击方 可对蓝方的目标进行攻击 蓝方可实时对自 己的目标进行防护 从而双方进行攻防对抗 基于云平台的网络攻防实战平台 19 25 图 20 对抗设置 2 5 实时监控实时监控 教师可在后台对所有的攻击机及被攻击机 进行监控 可监控所有的攻击情况 图 21 后台监控 2 6 靶机的管理靶机的管理 平台提供了靶场管理功能 可对现有的靶场进行管理 也可增加新的靶场 方便快捷的更新实战的环境 图 11 靶机管理 基于云平台的网络攻防实战平台 20 25 图 22 新建靶机 基于云平台的网络攻防实战平台 21 25 五五 攻防实战靶场攻防实战靶场列表列表 信息安全攻防实战提供了靶机虚拟化模板自定义功能 并提供主机系统 WEB 应用 用户业务应用系统级漏洞虚拟化模板 系统提供监控平台调度靶机 模板 根据不同的实战任务下发进行自动调度靶机虚拟化模板功能 系统平台能 够提供 30 多种不同级别的金 银 铜牌靶机 序序号号 名称名称 文档文档 视频视频 01 ServU 漏洞利用靶场 完整 完整 02 UDP 密码泄露靶场 完整 完整 03 Windows 漏洞靶场 1 完整 完整 04 webshell 利用 完整 完整 05 SqlServer 提权靶场 完整 完整 06 动网 SQL 注入靶场 完整 完整 07 cookie 分析靶场 完整 完整 08 IIS 设置漏洞靶场 完整 完整 09 表单欺骗靶场 完整 完整 10 Windows 漏洞靶场 2 完整 完整 11 Tomcat 服务器漏洞利用 完整 完整 12 系统弱口令利用靶场 完整 完整 13 电气公司网站靶场 完整 完整 14 某新闻系统靶场 完整 完整 15 雷池新闻系统靶场 完整 完整 16 织梦手工 sql 注入靶场 完整 完整 基于云平台的网络攻防实战平台 22 25 17 某培训机构网站靶场 完整 完整 18 某环保组织网站靶场 完整 完整 19 HFS 漏洞靶场 完整 完整 20 织梦手工 sql 注入靶场 完整 完整 21 某培训机构网站靶场 完整 完整 22 红亚会议网站靶场 完整 完整 23 南方数据靶场 完整 完整 24 红亚官网靶场 完整 完整 25 电商靶场 完整 完整 26 OA 系统 完整 完整 27 三牌闯关内网渗透靶场 完整 完整 28 端口转发利用综合靶场 完整 完整 29 wordpress 内网渗透综合靶场 完整 完整 30 心血漏洞靶场 完整 完整 31 代码审计综合靶场 完整 完整 基于云平台的网络攻防实战平台 23 25 六六 所需设备 所需设备 50 用户用户 序序 号号 产品名产品名 称称 产品型号及功能产品型号及功能 数量数量 1 网络攻 防实战 平台云 管理控 制设备 HonyaNADC MD 机型 2U 机架式设备 CPU E3 1230 内存 32G 硬盘 128G SLC 高速缓存硬盘读取速度于 500M 秒 1000G 存储硬盘 网口 2 个 10 100 1000 Gigabit Ethernet 支持基于 WEB 的用户注册功能 并支持学 生 教师和管理员三种用户 并支持用户自己修改用户信息 为整个系统提 供管理功能 管理系统各设备 可对各设备进行开关机 暂停 重启 系 统为满足实验 提供了不同应用的云主机 服务包括 FTP HTTP E mail DHCP DNS 1 2 网络攻 防实战 平台云 调度设 备 HonyaNADC DP 机型 2U 机架式设备 CPU E3 1230 内存 32G 硬盘 128G SLC 高速缓存硬盘读取速度于 500M 秒 1000G 存储硬盘 网口 2 个 10 100 1000 Gigabit Ethernet 功能 内置云平台调度系统 负责对靶场机 资源调度和管理 支持实验拓扑设计 管理 调试 不同实验可按自由切 换拓扑 拓扑设计提供基于 WEB 的可视化的管理界面 拓扑支持拖拽设 计 支持并发调度 每个学生可分配独立的靶场环境 相互不影响 最大 60 个靶场并发 1 3 网络攻 防实战 平台实 战靶场 设备 HonyaNADC RE 机型 2U 机架式设备 CPU E3 1230 内存 32G 硬盘 128G SLC 高速缓存硬盘读取速度 500M 秒 1000G 存储硬盘 网口 2 个 10 100 1000 Gigabit Ethernet 最大平均无故障运行时间 MTBF 10 万 小时 设备 为实战平台提供云靶场资源 设备资源 服务器资源和网络 资源进行虚拟化 单台设备内置 30 个靶机资源环境 服务器资源包括了 windows 操作系统类型和 Linuxt 系统 提供了各类应用服务 包括 FTP DNS E mail WEB 数据库 DHCP 系统安全软件等 5 4 网络攻 防实战 平台对 抗靶场 设备 HonyaNADC RT 机型 2U 机架式设备 CPU E3 1230 内存 32G 硬盘 128G SLC 高速缓存硬盘读取速度 500M 秒 1000G 存储硬盘 网口 2 个 10 100 1000 Gigabit Ethernet 最大平均无故障运行时间 MTBF 10 万 小时 设备 为实战平台提供对抗云靶场资源 设备资源 服务器资源和 网络资源进行虚拟化 单台设备内置 60 套组组对抗靶机资源环境 服务 器资源包括了windows操作系统类型和Linuxt系统 提供了各类应用服务 包括 FTP DNS E mail WEB 数据库 DHCP 系统安全软件等 5 基于云平台的网络攻防实战平台 24 25 5 网络攻 防实战 平台信 息管理 系统 HonyaNADC ST 支持基于 WEB 的用户注册功能 并支持学生 教师和管理员三种用户 并支持用户自己修改用户信息 为整个系统提供管理功能 管理系统各设 备 可对各设备进行开关机 暂停 重启 设备内安装基于 WEB 的管理 系统 提供可视化界面 包括了学生管理 班级管理 老师管理 在线课 件 成绩管理 云管理 拓扑管理 课程管理 考核管理 远程协助 靶 场功能 靶场场景管理 选手管理 闯关管理 成绩管理 系统为满足实 验 提供了不同应用的云主机 服务包括 FTP HTTP E mail DHCP DNS 1 6 网络攻 防实战 平台靶