《【網(wǎng)絡安全論文】虛擬化技術下的網(wǎng)絡安全實驗平臺設計》由會員分享，可在線閱讀，更多相關《【網(wǎng)絡安全論文】虛擬化技術下的網(wǎng)絡安全實驗平臺設計（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、【網(wǎng)絡安全論文】虛擬化技術下的網(wǎng)絡安全實驗平臺設計 摘要：網(wǎng)絡安全類課程實驗對培養(yǎng)學生實踐能力至關重要，由于網(wǎng)絡安全類實驗對設備和網(wǎng)絡環(huán)境的破壞性，以及實驗設備多樣性等要求難以滿足，造成目前網(wǎng)絡安全類實驗不能滿足人才培養(yǎng)的需求。針對存在的問題，本文利用基于虛擬化技術構建了網(wǎng)絡安全實驗平臺，通過建立硬件資源池，提供多種虛擬實驗環(huán)境及虛擬安全設備；通過建立課程資源池，擴充了實驗項目。實踐證明，本實驗平臺提高了學生動手實踐能力，取得較好的實際效果，達到了設計目標。 關鍵詞：虛擬化；虛擬機；資源池；網(wǎng)絡安全；實驗平臺 引言 目前，計算機網(wǎng)絡在各領

2、域得到了廣泛的應用，網(wǎng)絡帶給了人們極大的便利，但是網(wǎng)絡安全的問題也日益突出，網(wǎng)絡安全問題在國際上得到了各國的高度重視[1]。在我國，2015年，網(wǎng)絡空間安全一級學科設立；2016年通過了《中華人民共和國網(wǎng)絡安全法》，這體現(xiàn)了國家對網(wǎng)絡安全的重視。我國還成立了中央網(wǎng)絡安全和信息化領導小組，全力打造網(wǎng)絡安全強國。因此，培養(yǎng)高素質(zhì)網(wǎng)絡安全人才，必須引起高校相關專業(yè)的重視。在網(wǎng)絡安全類課程實驗中，行業(yè)熱點更新快，實驗內(nèi)容相對滯后，同時實驗對網(wǎng)絡安全設備要求種類多，經(jīng)費投入大，并且攻防實驗、病毒實驗對設備、操作系統(tǒng)及網(wǎng)絡軟件環(huán)境具有破壞力，維護恢復實驗環(huán)境工作量大，給管理帶來不便[2]。因此，目前網(wǎng)絡安

3、全實驗大多只進行演示實驗和簡單驗證實驗，不能進行綜合性設計性實驗。隨著虛擬化技術和云計算的發(fā)展應用，通過研究發(fā)現(xiàn)，在網(wǎng)絡安全實驗環(huán)境建設中，科研利用虛擬化技術來解決現(xiàn)存在的問題[3]。通過建立硬件資源池，學生在虛擬機上實驗，能夠?qū)崿F(xiàn)多種操作系統(tǒng)環(huán)境，不僅能盡量利用硬件資源，減少投入，而且管理方便，易于維護和升級。 1現(xiàn)狀及問題 相較于最早的主機+網(wǎng)絡安全設備模式，目前，網(wǎng)絡安全實驗室已經(jīng)利用一些虛擬仿真軟件，做了一定的優(yōu)化，主要有兩種方式組織，一種是單機虛擬PC+網(wǎng)絡安全設備。利用vmware，用戶可創(chuàng)建多個虛擬PC，模擬出windows\linux多系統(tǒng)環(huán)境，

4、不需要進行系統(tǒng)重啟切換，能進一步減少投入，解決電腦臺套數(shù)問題和軟件環(huán)境維護問題[4]，但是由于虛擬PC與真實環(huán)境中的設備通信存在問題，故障率高，而且，網(wǎng)絡安全設備的投入還是很大，升級慢。另一種是單機+模擬安全設備，利用packettracer、GNS3等模擬器來模擬一些防火墻[5]，路由器等設備。但是，由于這些軟件主要用于拓撲組網(wǎng)，路由管理維護方面的網(wǎng)絡實驗，在模擬網(wǎng)絡安全設備方面運行不穩(wěn)定，功能少，能實現(xiàn)的實驗類型非常有限，只能做簡單的訪問控制和代理等實驗。而且不能模擬服務器、linux多系統(tǒng)環(huán)境，實驗受到較大限制。由于實驗條件的以上限制，導致了目前網(wǎng)絡安全教學普遍重理論，輕實驗，這與課程的

5、特性不符，理論知識過于枯燥抽象，導致學生沒興趣，學不好。但是，網(wǎng)絡安全類設備更新快，價格昂貴，實驗環(huán)境投入大，維護難，導致設備臺套數(shù)不夠，同等設備大量購置又存在經(jīng)費投入大，場地占用大等問題。綜上，目前網(wǎng)絡安全實驗存在的問題有：實驗對網(wǎng)絡安全設備要求種類較多，經(jīng)費投入大，并且實驗過程對設備、實驗操作系統(tǒng)及網(wǎng)絡軟件環(huán)境具有破壞力，維護恢復實驗環(huán)境工作量大，給管理帶來不便。目前，有研究者提出利用云計算虛擬機技術來解決這些問題，取得較好的效果[6]。 2實驗平臺設計與實施 2.1平臺設計原理 虛擬化技術是一種資源管理技術，將實體硬件資源（服務器、存儲、網(wǎng)

6、絡等）抽象、重組，組成同一的資源池，在此基礎上虛擬出多臺邏輯上獨立的設備。多個虛擬機可以運行在一臺物理機器上，相互之間互不影響，大大提高資源利用率，減少維護成本。虛擬化技術運行原理如圖1所示。圖1虛擬化技術圖利用這一特性，本實驗平臺可以在物理資源池基礎上虛擬出多種操作系統(tǒng)：windows、linux，以及網(wǎng)絡設備和網(wǎng)絡安全設備，因此在網(wǎng)絡安全實驗平臺中應用虛擬化技術，能較好解決現(xiàn)存的問題。目前主流的有KVM、Xen等虛擬化技術，通過對比，Xen具有開源免費、性能高比較好的優(yōu)勢，因此本文選用Xen虛擬化技術。 2.2設計思路 利用成熟的虛擬化技術，打造一個虛擬化網(wǎng)

7、絡安全實驗平臺，平臺具有可擴展性，首先，是硬件資源可擴充性，根據(jù)實驗需求，可以調(diào)整/擴充資源池，資源池中有多個虛擬安全組件，如虛擬防火墻、虛擬WAF、虛擬頁防篡改等，這些安全器件是可擴充的；其次是實驗內(nèi)容可擴充性，可以根據(jù)教學需要，調(diào)整、增加實驗資源包。最后，本平臺應具有遠程實驗的功能，可以不受時間、空間限制進行實驗；還應具有實驗管理的功能，對用戶、資源、實驗過程等進行管理。 2.3平臺實施 根據(jù)虛擬化技術原理，平臺構架如圖2所示。用戶層主要提供標準的web訪問，進行頁面展示，訪問入口。業(yè)務層主要是功能實現(xiàn)，數(shù)據(jù)處理和數(shù)據(jù)操作接口?；A服務層向業(yè)務層提供服務和接

8、口，包括虛/實設備管理、拓撲設計與管理，以及公共服務。虛擬化層通過虛擬化技術生成虛擬機，提供基礎虛擬化功能。硬件資源層為平臺提供運行所需的硬件環(huán)境。平臺集成8個實訓模塊，包括：網(wǎng)絡安全、信息系統(tǒng)安全、云計算、密碼學、安全運、開發(fā)語言、移動安全理論等，實訓課程資源，實驗項目包括惡意代碼檢測、安全漏洞挖掘、逆向工程、密碼學、操作系統(tǒng)安全、web安全、安全研發(fā)、數(shù)據(jù)庫安全……平臺管理功能主要分為三塊，門戶管理、后臺管理、資源管理，如圖3所示。 3實驗設計與效果 網(wǎng)絡安全實驗平臺部署后，設備數(shù)量、種類以及環(huán)境約束得到較好解決，以防火墻QoS流量控制實驗為例，實驗設計如下

9、：QoS中的流量監(jiān)管就是對流量進行控制，通過監(jiān)督進入網(wǎng)絡端口的流量速率，對超出部分的流量進行處理（這個處理可以是丟棄、也可是延遲發(fā)送），使進入端口的流量被限制在一個合理的范圍之內(nèi)，解決網(wǎng)絡中擁塞的問題。實驗環(huán)境設計：虛擬防火墻一臺，虛擬windows靶機一臺（模擬內(nèi)網(wǎng)主機），虛擬Linux靶機（模擬外網(wǎng)主機）。實驗過程：進入管理中心，分別啟動虛擬防火墻，虛擬windows靶機，虛擬Linux靶機。設置IP地址，使網(wǎng)絡環(huán)境符合實驗要求。windows靶機IP和防火墻的eth1處于內(nèi)網(wǎng)段192.168.100.0，防火墻的eth2和Linux靶機IP處于外網(wǎng)172.22.10.0。實驗拓撲結構如圖

10、4所示。進入windows虛擬機，選擇目標設備linux，通過win-dows向linux發(fā)送數(shù)據(jù)，這里linux連接虛擬防火墻的eth2口。在防火墻里設置下行帶寬和上行帶寬，添加服務質(zhì)量規(guī)則，選擇好源主機（表示要發(fā)起操作的IP地址或者網(wǎng)段，這里是windows主機）和目的網(wǎng)絡IP（表示與源主機發(fā)生通信的目的網(wǎng)絡，這里是linux主機），選擇本次服務所使用的協(xié)議和端口。實驗驗證：在規(guī)則生效之前和之后，進行遠程文件拷貝，對比傳輸速度的區(qū)別，驗證流量控制效果。本次實驗涉及到兩種操作系統(tǒng)環(huán)境，內(nèi)外網(wǎng)及防火墻，在傳統(tǒng)的實驗室環(huán)境難以滿足，利用本平臺，能夠滿足需求，并且做到人人可以單獨實驗，提高學生的積

11、極性和動手能力。此外，學生還可以通過遠程登錄進行實驗，滿足部分學生自學需求。目前，本校利用此平臺對學生進行網(wǎng)絡安全方面的技能培訓，在信息安全競賽，網(wǎng)絡安全CTF等比賽中多次獲獎。 4結束語 本文分析了傳統(tǒng)網(wǎng)絡安全課程實驗環(huán)境存在的不足，設計了基于虛擬化技術的網(wǎng)絡安全實驗平臺。該平臺能夠較好滿足網(wǎng)絡安全實驗對設備環(huán)境的特殊要求，并且能夠降低經(jīng)費投入，突破實驗時間、空間限制。該平臺還支持硬件平臺和實驗內(nèi)容資源的升級和擴展。在實際應用中證明，通過使用該平臺，能夠激發(fā)學生對網(wǎng)絡安全學習的積極性，提高他們的實踐能力，同時，能夠作為信息安全類學科競賽的訓練平臺，取得了較好的

12、成效。 參考文獻 [1]張煥國,韓文報,來學嘉,等．網(wǎng)絡空間安全綜述[J].中國科學:信息科學,2016,46(2):125-164． [2]底曉強,韓登,楊凌翔,等．基于超融合構架的網(wǎng)絡安全虛擬仿真實驗教學平臺探索[J].實驗室研究與探索，2017,36(10):195-198． [3]王瑞錦，周世杰，秦志光，等．基于虛擬化技術的信息安全實驗教學體系建設[J],實驗科學與技術,2015,13(4):40-43. [4]朱曉靜，林元乖．基于虛擬化實驗環(huán)境的網(wǎng)絡信息安全課程的實踐教學改革[J].瓊州學院學報，2015,22(5):120-124． [5]陳天武．基于GNS3和VMware的防火墻技術仿真設計[J].信息系統(tǒng)工程,2018,(11):69-71．