网络安全的实验教学具有很强的实践性。由于互联网庞大的规模、复杂的结构使其无法在实验室里搭建;为实验教学而设置网络安全漏洞会产生巨大风险;在真实的网络中开展网络攻击、病毒注入等实验,将酿成灾难性后果。因此,网络安全类课程的实验教学难以在真实的网络环境中完成。虚拟仿真实验为网络安全实验教学的开展提供了新的思路,即利用虚拟仿真技术开展网络安全的实验教学。
系统服务器端用户分为学生、教师、教务管理员和系统管理员四种角色,不同角色拥有不同权限。
1计算机信息安全与网络攻防实验教学现状
由于网络安全实验本身具有特殊性和破坏性,目前开展网络安全的实验教学和研究工作一般都是在一个独立的网络中,利用硬件设备搭建物理实验环境,或者采用虚拟仿真技术模拟真实网络环境。利用硬件进行网络安全实验对实验室的有很高的要求,而且当攻防实验所需的网络规模庞大和拓扑结构复杂时,在实验室中仍无法进行。因此,目前的网络攻防实验大多采用虚拟仿真技术来进行。已有的基于虚拟仿真技术的网络攻防教学和培训产品,对网络安全的实验和研究起到了良好的推动作用,但也存在以下问题:(1)由于真实网络环境的复杂性和多样性,仅依靠虚拟化技术或硬件设备,难以实现对多样化的网络拓扑结构和攻防场景的模拟[3];(2)不能通过网络开展远程攻防实验,实验设备利用率较低。因此,利用虚拟化和云技术,开发出可以供远程用户使用并灵活配置出多种网络拓扑结构的实验教学平台成为目前的研究热点。
2基于云技术和虚拟化的实验平台功能
本文设计的实验平台提供自助式虚拟实验项目建设体系,利用虚拟现实技术,多种媒体(如音频、视频、图像、文字等)来辅助学生对虚拟仿真实验项目内容的认知和理解。学生根据教学要求,在线学习虚拟仿真实验知识,通过网络共享平台的软硬件资源,进行网络安全实验。平台可以将实验过程和实验结果数据反馈给学生,供学生分析和总结。如图1所示,虚拟仿真教学平台由8个模块组成。(1)远程接入控制模块。支持用户通过局域网接入或互联网远程接入到虚拟仿真平台进行信息安全实验和攻防实验。(2)虚拟攻击机云模块。利用虚拟化技术,根据实验的攻击方法,可以生成配置有不同攻击和防护工具的Windows虚拟机和Linux虚拟机。(3)虚拟靶机云模块。利用虚拟化技术,根据实验的攻击方案,可以生成具有不同操作系统漏洞的虚拟靶机和具有应用软件漏洞的虚拟靶机,根据靶机的防护方案,为靶机安装了不同类型的防护软件。(4)扩展设备配置模块。允许用户为虚拟攻击机云平台配置防火墙、入侵检测系统和安全审计系统等硬件设备,以构建多样化的网络环境开展实验。(5)监控中心模块。在实验进行时自动捕获平台中的虚拟攻击机和虚拟靶机流入和流出的网络数据流,在实验完成后,局域网用户或互联网用户可下载这些数据包信息以进行分析。(6)管理中心模块。添加和维护通过网络使用该平台的账号;维护虚拟攻击机和虚拟靶机的操作系统镜像库和攻击软件工具。(7)实验配置模块。允许互联网用户和局域网用户配置虚拟攻击机和虚拟靶机的IP地址和虚拟网络的拓扑结构等信息。(8)教学运行管理模块。具有信息发布、互动交流、实验预约、成绩评定和成果展示等教学管理功能。
3基于Openstatck的实验平台建设方案
3.1实验平台硬件结构本文设计的网络攻防实验教学平台拓扑结构如图2所示。其中应用服务器包括8台DellR910,分别连接到交换机、第一网络云存储和第二网络云存储。第一网络云存储通过防火墙连接到交换机。防火墙是可选的网络防护设备,可以用其他网络防护设备替代,或者直接连接交换机。使用防火墙是为了配置多样化的网络防护环境。第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件,可以用来创建Windows或Linux虚拟靶机实例。第二网络云存储直接连接到交换机,保存着已安装攻击工具的操作系统镜像文件,利用这些镜像文件可以创建出Windows或Linux虚拟攻击机实例。互联网用户通过VPN网关、局域网用户通过交换机连接到该虚拟仿真系统。
3.2实验平台系统架构实验平台是在云计算平台开源项目OpenStack基础上构建的,可以利用OpenStack实现类似于Am-azonEC2和S3的云基础架构服务(见图3)。构建平台主要用到OpenStack以下模块的服务:(1)Nova调派资源实例化虚拟机;(2)Glance提供虚拟机实例化时需要的镜像;(3)Network提供网络连接;(4)Cinder提供外接的块存储服务;(5)Ceilometer从以上与虚拟机相关的几个服务中收集数据,用于统计、监控、计费、报警等;(6)Swift可以为Glance提供镜像的存储服务,可以为Cinder提供卷的备份服务。控制服务器和服务器节点都安装了Ubuntu操作系统;其中控制服务器还安装了Network模块,服务器节点安装了Nova和Swift,其他几个模块也在平台中得到了应用。实验平台利用控制服务器管理各个服务器节点,根据第一网络云存储和第二网络云存储中的镜像,建立虚拟靶机和虚拟攻击机。虚拟靶机和虚拟攻击机之间可以通过虚拟网络连接,也可以通过网络安全设备和网络连接设备连接,以此构建出多样化的网络环境。
3.3实验平台维护和实验过程实验平台维护和实验过程如图4所示。实验平台初始化时,管理员维护账号信息库,包括用户名、口令和可以操作的实验类别,为账号在第一和第二网络云存储中分配磁盘空间,指定用户可以操作的实验类别。管理员维护第一网络云存储中的虚拟靶机Win-dows和Linux操作系统镜像文件库,维护第二网络云存储中的虚拟攻击机Windows和Linux操作系统镜像文件库,同时维护在虚拟攻击机实例上使用的攻击工具和虚拟靶机实例上使用的漏洞库资源。局域网用户提供正确的用户名和口令后直接连接到该虚拟仿真系统;互联网用户通过VPN建立与实验平台的连接。当局域网用户和互联网用户连接到该平台后,可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上的磁盘空间。用户根据实验类别,选择虚拟攻击机和虚拟靶机的镜像文件,在属于自己的磁盘空间内创建虚拟攻击机实例和虚拟靶机实例,配置虚拟攻击机实例和虚拟靶机实例的IP地址、子网掩码、默认网关和DNS服务器,建立虚拟攻击机实例和虚拟靶机实例之间的网络连接,然后登录到自己创建的虚拟靶机实例内,利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟靶机实例,使其具备被攻击的条件。用户登录到自己创建的虚拟攻击机实例内,利用第二网络云存储上提供的攻击工具配置虚拟攻击机实例使其具备攻击能力。用户可以自行在虚拟攻击机实例上安装其他攻击工具,在虚拟靶机实例上安装其他防护工具。为了真实地模拟复杂的网络环境,用户可以为虚拟靶机实例配置防火墙,将虚拟靶机实例纳入防火墙的安全防护范围内。用户登录到虚拟攻击机防火墙的安全防护范围内和虚拟攻击机实例内,利用所配置的攻击工具对虚拟靶机实例发动网络攻击。监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包,保存虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。网络用户可随时下载由监控中心模块捕获的网络数据包,以分析实验结果。实验完成后,监控中心模块会自动监控长时间内没有活动的虚拟攻击机实例和虚拟靶机实例,将其关闭以释放资源。
4实验教学体系和实验平台应用效果
4.1计算机信息安全与网络攻防实验教学体系建设一个高水平的信息安全与网络攻防实验室,使其成为计算机网络与安全技术实验基地和人才培养基地,有利于促进网络安全的理论和实践教学,提升学生的实践创新能力[7]。长春理工大学国家级虚拟仿真实验中心建设了有线网络攻防模拟、病毒攻防等10个计算机信息安全与网络攻防实验模块(见图5),近200个实验题目,为14门课程开设了实验。
4.2实验平台应用效果为了验证平台的教学使用效果,对计算机科学与技术、软件工程和网络工程等3个专业6门课程的教学效果(使用平台前后的课程平均分)进行了对比(见图6)。结果表明,使用该平台的学生的平均成绩要高于未使用的学生。
5结束语
本文提出了基于云计算和虚拟化的计算机信息安全与网络攻防实验教学平台建设方案,结合创新人才培养要求,设计了满足基础性、探索性和研究性实验需求的实验体系。教学效果分析表明,该平台教学效果良好。
