0 引言

随着互联网的不断发展，网络服务给人们带来巨大便利的同时，网络安全问题也在不断的涌现。近年来，随着美国“棱镜门”事件的发生，网络信息安全已然成为当今世界人们关注的焦点，网络信息安全受到了前所未有的挑战，网络信息安全已经成为国家战略安全的重要组成部分。

对于我国网络信息安全方面面临的严峻形势，我国急需掌握网络信息安全和攻防技术的高科技人才。由于在真实网络中开展网络攻防、病毒注入等实验所带来的安全隐患和破坏性，所以网络攻防教学迫切需要一种具备网络攻防实验环境的教学平台[1]。本文提出了一种基于虚拟化的远程有线网络攻防研究实验教学平台。学习者通过此平台可以进行网络攻防实战演练，并在实战中了解网络攻防、病毒攻防、网络渗透攻击、网络安全加固等的原理。通过实验使学生更好的了解网络攻防底层的运行机制，并加深学生对网络攻防的认识[2-4]。

1 基于虚拟化的实验教学平台整体架构

本文设计的基于虚拟化的远程有线网络攻防实验教学平台利用了虚拟化技术模拟出远程有线网络攻防中的攻击方和防守方。学生可自行为虚拟攻击机模块自由配置攻击工具，同时学生也可自行为虚拟靶机模块自由配置防护软件和硬件防火墙。实验完成后学生还可以通过局域网或互联网下载实验数据以供学生分析使用。教师可以在学生实验后通过该实验平台的管理模块对虚拟攻击机模块和虚拟靶机模块的操作系统进行重置[5]。

基于虚拟化的远程有线网络攻防实验教学平台共分为8个模块，他们分别为接入控制模块、管理中心模块、虚拟攻击机模块、虚拟靶机模块、扩展设备配置模块、监控中心模块、实验配置模块、教学运行管理模块。实验平台整体架构如图1所示。

图1 基于虚拟化的实验教学平台整体架构

①接入控制模块：允许学生使用局域网或互联网根据管理员分配的账号信息通过VPN连接到教学实验平台。并根据账号的属性，判别学生可以在实验配置模块中所执行的操作权限。

②管理中心模块：允许教师维护配置攻击工具包的虚拟攻击机镜像和具有安全漏洞的虚拟靶机镜像；维护可以通过网络使用该平台的账号信息，并可以设置账号在该平台上所能开展的实验项目权限。

③虚拟攻击机模块：利用虚拟化技术，根据实验的攻击方法，可以生成配置不同攻击工具的Windows虚拟机和Linux虚拟机。

④虚拟靶机模块：利用虚拟化技术，根据实验的防护方案和攻击方法，可以为虚拟靶机安装不同的防护软件，并为其配置各种不同的操作系统漏洞和应用软件漏洞。

⑤扩展设备配置模块：允许学生为虚拟靶机模块配置防火墙、入侵检测系统和安全审计系统等硬件设备，以构建多样化的网络环境开展实验。

⑥监控中心模块：利用交换机的端口镜像功能，捕获流经虚拟攻击机和虚拟靶机的网络数据流，并能按照使用局域网接入的学生或使用互联网接入的学生所操作的虚拟机的 IP地址和应用层网络协议类型将捕获的数据包分类，允许学生下载自己操纵的虚拟攻击机和虚拟靶机流入和流出的网络数据包供其分析；监测虚拟攻击机模块内的虚拟攻击机实例和虚拟靶机模块内的虚拟靶机实例的状态，销毁超过预先设置时间内没有操作的虚拟攻击机实例和虚拟靶机实例以释放资源。

⑦实验配置模块：允许互联网接入的学生和局域网接入的学生连接到实验教学平台后，根据实验要求和账号权限自行选择配置攻击工具包的虚拟攻击机镜像生成新的虚拟攻击机实例，选择具有安全漏洞的虚拟靶机镜像生成虚拟靶机实例，并为生成的虚拟攻击机实例和虚拟靶机实例配置相应的IP地址和网络拓扑。

⑧教学运行管理模块：包括信息发布、互动交流、实验预约、成绩评定和成果展示等教学管理功能。

2 攻防实验流程

攻防实验流程如图2所示。

实验平台初始化后，由教师维护学生帐号信息库、虚拟攻击机和虚拟靶机镜像库、攻击软件工具包，防护软件工具包和漏洞库等实验资源。教师可以修改账号的用户名、密码和可以操作的实验类别。通过设置可以操作的实验类别，为学生在使用实验配置模块时附加权限。

学生根据教师分配的帐号，与实验教学平台建立连接。使用局域网接入的学生可以通过直接输入用户名和密码连接到实验教学平台。使用互联网远程接入的学生可以通过VPN与实验教学平台建立连接。

建立连接后，学生就可以使用平台上为其分配的磁盘空间。学生根据实验题目，选择相应的虚拟机镜像，在自己所属磁盘空间内创建虚拟攻击机实例和虚拟靶机实例，然后为虚拟攻击机实例和虚拟靶机实例配置相应的 IP地址、子网掩码、默认网关和DNS服务器以实现虚拟攻击机实例和虚拟靶机实例的网络连接。

图2 实验流程图

利用实验教学平台提供的攻击软件工具包配置虚拟攻击机实例，利用实验教学平台提供的防护软件工具包和和漏洞库配置虚拟靶机实例。为了模拟真实复杂的网络环境，学生还可以为虚拟靶机配置硬件防火墙等防护设备。在完成实验配置和设备连接后，学生就可以利用虚拟攻击机实例和虚拟靶机实例开展网络攻防实验。学生完成实验后可以关闭虚拟机实例，也可以保存当前的实验状态，在下次登录后继续进行实验。

在实验进行时，监控中心模块会自动捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包，收集实验数据。学生可以随时下载由监控中心模块捕获的数据包，以供其分析实验结果。实验完成后，监控中心模块会自动监测虚拟攻击机模块内的虚拟攻击机实例和虚拟靶机模块内的虚拟靶机实例的状态，销毁超过预先设置时间内没有操作的虚拟攻击机实例和虚拟靶机实例以释放资源。

3 总结

本文提出了一种基于虚拟化的远程有线网络攻防实验教学平台，学生通过该实验教学平台进行远程有线网络攻防实验可以深刻的体验真实复杂的网络环境下网络攻防的过程。学生在为虚拟攻击机模块配置攻击软件时，可以深刻的理解攻击软件的运行细节、病毒的注入过程和网络渗透攻击的原理。同时，学生在为虚拟靶机模块配置防护软件和硬件防火墙时，可以更好的理解防护软件的运行细节、网络的安全加固和防火墙的工作原理。从而通过虚拟攻击机和虚拟靶机之间的网络攻防演练达到实验教学的目的。