虚拟化技术下的网络安全实验平台设计_优秀论文

1、 虚拟化技术下的网络安全实验平台设计p引言目前, 计算机网络在各领域得到了广泛的应用, 网络带给了人们极大的便利, 但是网络安全的问题也日益突出, 网络安全问题在国际上得到了各国的高度重视1。在我国, 2015年, 网络空间安全一级学科设立；2016年通过了中华人民共和国网络安全法, 这体现了国家对网络安全的重视。我国还成立了中央网络安全和信息化领导小组, 全力打造网络安全强国。因此, 培养高素质网络安全人才, 必须引起高校相关专业的重视。在网络安全类课程实验中, 行业热点更新快, 实验内容相对滞后, 同时实验对网络安全设备要求种类多, 经费投入大, 并且攻防实验、病毒实验对设备、操作系统及网

2、络软件环境具有破坏力, 维护恢复实验环境工作量大, 给管理带来不便2。因此, 目前网络安全实验大多只进行演示实验和简单验证实验, 不能进行综合性设计性实验。随着虚拟化技术和云计算的发展应用, 通过研究发现, 在网络安全实验环境建设中, 科研利用虚拟化技术来解决现存在的问题3。通过建立硬件资源池, 学生在虚拟机上实验, 能够实现多种操作系统环境, 不仅能尽量利用硬件资源, 减少投入, 而且管理方便, 易于维护和升级。1现状及问题相较于最早的主机+网络安全设备模式, 目前, 网络安全实验室已经利用一些虚拟仿真软件, 做了一定的优化, 主要有两种方式组织, 一种是单机虚拟PC+网络安全设备。利用vm

3、ware, 用户可创建多个虚拟PC, 模拟出windowslinux多系统环境, 不需要进行系统重启切换, 能进一步减少投入, 解决电脑台套数问题和软件环境维护问题4, 但是由于虚拟PC与真实环境中的设备通信存在问题, 故障率高, 而且, 网络安全设备的投入还是很大, 升级慢。另一种是单机+模拟安全设备, 利用packettracer、GNS3等模拟器来模拟一些防火墙5, 路由器等设备。但是, 由于这些软件主要用于拓扑组网, 路由管理维护方面的网络实验, 在模拟网络安全设备方面运行不稳定, 功能少, 能实现的实验类型非常有限, 只能做简单的访问控制和代理等实验。而且不能模拟服务器、linux多

4、系统环境, 实验受到较大限制。由于实验条件的以上限制, 导致了目前网络安全教学普遍重理论, 轻实验, 这与课程的特性不符, 理论知识过于枯燥抽象, 导致学生没兴趣, 学不好。但是, 网络安全类设备更新快, 价格昂贵, 实验环境投入大, 维护难, 导致设备台套数不够, 同等设备大量购置又存在经费投入大, 场地占用大等问题。综上, 目前网络安全实验存在的问题有：实验对网络安全设备要求种类较多, 经费投入大, 并且实验过程对设备、实验操作系统及网络软件环境具有破坏力, 维护恢复实验环境工作量大, 给管理带来不便。目前, 有研究者提出利用云计算虚拟机技术来解决这些问题, 取得较好的效果6。2实验平台设

5、计与实施2.1平台设计原理虚拟化技术是一种资源管理技术, 将实体硬件资源（服务器、存储、网络等）抽象、重组, 组成同一的资源池, 在此基础上虚拟出多台逻辑上独立的设备。多个虚拟机可以运行在一台物理机器上, 相互之间互不影响, 大大提高资源利用率, 减少维护成本。虚拟化技术运行原理如图1所示。图1虚拟化技术图利用这一特性, 本实验平台可以在物理资源池基础上虚拟出多种操作系统：windows、linux, 以及网络设备和网络安全设备, 因此在网络安全实验平台中应用虚拟化技术, 能较好解决现存的问题。目前主流的有KVM、Xen等虚拟化技术, 通过对比, Xen具有开源免费、性能高比较好的优势, 因此

6、本文选用Xen虚拟化技术。2.2设计思路利用成熟的虚拟化技术, 打造一个虚拟化网络安全实验平台, 平台具有可扩展性, 首先, 是硬件资源可扩充性, 根据实验需求, 可以调整/扩充资源池, 资源池中有多个虚拟安全组件, 如虚拟防火墙、虚拟WAF、虚拟页防篡改等, 这些安全器件是可扩充的；其次是实验内容可扩充性, 可以根据教学需要, 调整、增加实验资源包。最后, 本平台应具有远程实验的功能, 可以不受时间、空间限制进行实验；还应具有实验管理的功能, 对用户、资源、实验过程等进行管理。2.3平台实施根据虚拟化技术原理, 平台构架如图2所示。用户层主要提供标准的web访问, 进行页面展示, 访问入口。

7、业务层主要是功能实现, 数据处理和数据操作接口。基础服务层向业务层提供服务和接口, 包括虚/实设备管理、拓扑设计与管理, 以及公共服务。虚拟化层通过虚拟化技术生成虚拟机, 提供基础虚拟化功能。硬件资源层为平台提供运行所需的硬件环境。平台集成8个实训模块, 包括：网络安全、信息系统安全、云计算、密码学、安全运、开发语言、移动安全理论等, 实训课程资源, 实验项目包括恶意代码检测、安全漏洞挖掘、逆向工程、密码学、操作系统安全、web安全、安全研发、数据库安全平台管理功能主要分为三块, 门户管理、后台管理、资源管理, 如图3所示。3实验设计与效果网络安全实验平台部署后, 设备数量、种类以及环境约束得

8、到较好解决, 以防火墙QoS流量控制实验为例, 实验设计如下：QoS中的流量监管就是对流量进行控制, 通过监督进入网络端口的流量速率, 对超出部分的流量进行处理（这个处理可以是丢弃、也可是延迟发送）, 使进入端口的流量被限制在一个合理的范围之内, 解决网络中拥塞的问题。实验环境设计：虚拟防火墙一台, 虚拟windows靶机一台（模拟内网主机）, 虚拟Linux靶机（模拟外网主机）。实验过程：进入管理中心, 分别启动虚拟防火墙, 虚拟windows靶机, 虚拟Linux靶机。设置IP地址, 使网络环境符合实验要求。windows靶机IP和防火墙的eth1处于内网段192.168.100.0, 防

9、火墙的eth2和Linux靶机IP处于外网172.22.10.0。实验拓扑结构如图4所示。进入windows虚拟机, 选择目标设备linux, 通过win-dows向linux发送数据, 这里linux连接虚拟防火墙的eth2口。在防火墙里设置下行带宽和上行带宽, 添加服务质量规则, 选择好源主机（表示要发起操作的IP地址或者网段, 这里是windows主机）和目的网络IP（表示与源主机发生通信的目的网络, 这里是linux主机）, 选择本次服务所使用的协议和端口。实验验证：在规则生效之前和之后, 进行远程文件拷贝, 对比传输速度的区别, 验证流量控制效果。本次实验涉及到两种操作系统环境, 内

10、外网及防火墙, 在传统的实验室环境难以满足, 利用本平台, 能够满足需求, 并且做到人人可以单独实验, 提高学生的积极性和动手能力。此外, 学生还可以通过远程登录进行实验, 满足部分学生自学需求。目前, 本校利用此平台对学生进行网络安全方面的技能培训, 在信息安全竞赛, 网络安全CTF等比赛中多次获奖。4结束语本文分析了传统网络安全课程实验环境存在的不足, 设计了基于虚拟化技术的网络安全实验平台。该平台能够较好满足网络安全实验对设备环境的特殊要求, 并且能够降低经费投入, 突破实验时间、空间限制。该平台还支持硬件平台和实验内容资源的升级和扩展。在实际应用中证明, 通过使用该平台, 能够激发学生对网络安全学习的积极性, 提高他们的实践能力, 同时, 能够作为信息安全类学科竞赛的训练平台, 取得了较好的成效。参考文献1张焕国,韩文报,来学嘉,等网络空间安全综述J.中国科学:信息科学,2016,46(2):125-1642底晓强,韩登,杨凌翔,等基于超融合构架的网络安全虚拟仿真实验教学平台探索J.实验室研究与探索, 2017,36(10):195-1983王瑞锦, 周世杰,