马 丽

(31682部队,甘肃 兰州 730000)

网络安全攻防训练平台设计与实现

马 丽

(31682部队,甘肃 兰州 730000)

随着因特网的广泛应用,信息网络安全问题日益突出,如何培养计算机网络安全人才已成为当务之急.针对目前构建计算机网络攻防训练环境成本高、管理难、对实际网络设备影响大以及使用仿真软件训练缺乏系统性等问题,文章借助虚拟化技术,采用B/S架构设计并实现一种集攻击、防护训练及学习功能于一体的网络安全攻防训练平台.

网络安全;攻防训练;平台设计

近年来,随着计算机网络和信息系统应用加速,各类信息安全和网络攻击事件时有发生,防不胜防,并且逐步渗透到国家安全、经济发展、人民生活的各个领域,使得当今社会对信息安全人才的需求日益紧迫和突出.目前开展网络攻防训练存在以下几个制约因素:(1)构建真实的物理平台需要优质的物理设备和复杂的实现环境,费用昂贵、模拟规模有限且设备更新换代较慢,不利于对最新网络安全技术的学习和掌握.(2)网络攻防实验一般对网络设备具有破坏性,在真实的网络中开展攻防实验管理难度大,训练风险高[1].(3)采用OPNET和NS2等网络安全仿真软件存在仿真对象单一、平台制约多、缺乏系统性等问题.

本文借助虚拟化技术,采用B/S架构设计并实现一种集攻击、防护训练及学习功能于一体的网络安全攻防训练平台.该平台充分利用现有的设备和网络基础设施环境,设备资源利用率高、组建灵活,可扩展性强,利于系统地开展网络攻防训练.

1 平台架构及功能设计

1.1 平台系统架构

平台分为物理资源层、虚拟化层和用户管理层3个层次:(1)物理资源层主要包括物理计算机、服务器、存储设备及网络等.(2)虚拟化层是攻防训练平台的底层核心,将互联的物理计算机和存储设备虚拟化为由内存、显卡、磁盘和CPU组成的网络资源池,通过虚拟化可在资源池上运行多个共享资源虚拟机,以实现不同应用.(3)用户管理层是攻防训练平台的应用核心,主要包括靶场中心、工具台、实训中心、管理控制中心4个功能模块,用户通过浏览器访问Web用户交互界面来使用攻防训练平台进行攻防训练.

1.2 平台功能设计

(1)实训中心以课程为向导,分为攻击和防护两大方面,区分具体类别提供配套电子实验指导书、知识库、漏洞库等,供参训人员自主选择学习.(2)工具台集合了训练中所用到的各种攻击防御工具,按不同的类别进行分类,用户训练时可通过Web网页下载工具台当中的工具供训练使用.(3)靶场中心是靶机的集合,为网络攻防训练提供目标和环境.靶机(Targets Hosts)上预置了存在安全漏洞的网站、应用程序或是操作系统等,攻击者可以通过查找漏洞进行相应的攻击训练,防护者通过修复漏洞练习网络防护技巧.(4)管理控制台主要包括监控管理和系统维护两个方面的功能.

监控管理可根据定义好的规则过滤网卡的流量,从而通过抓取正在训练的虚拟机的流量包,对整个平台正在训练的虚拟机进行监控,并采集大量真实的数据信息用于后续分析.

对网络攻防训练平台的系统维护可以分为基本维护管理和高级维护管理两类.基本维护管理主要是对平台门户网站的维护,包括网站内容更新、栏目管理、工具台列表更新等日常维护.高级维护管理主要是指对攻防训练平台基础结构进行调整,包括添加新服务器对虚拟资源池进行扩展,部署新的工具台虚拟主机(Tools Hosts),在工具台中添加新的攻击工具,根据新发现的漏洞建立相应的靶机环境,以及为现有工具台、靶机调整虚拟硬件资源等.

2 系统实现

2.1 虚拟化解决方案

虚拟化是一个简化管理、优化资源的解决方案,通过虚拟化可以把有限的固定资源根据不同需求重新规划,以达到最大利用率.综合考虑适用性及软件成本,笔者采用VMware公司的基于vSphere的服务器虚拟化解决方案[2].vSphere可提供包括计算、存储、网络的基础架构服务以及包括可用性、安全性、可扩展性的应用程序服务[3].在本平台中使用了vSphere的VMware ESXi,VMware vSphere Client和VMware vCenter Server功能组件,如图1所示.

VMware ESXi是VMware vSphere的核心组件,安装好ESXi的服务器称之为ESXi主机.ESXi从内核级支持硬件虚拟化,提供强健的、高性能虚拟化层,允许在ESXi主机上创建的多个虚拟机共享硬件资源.VMware vCenter Server是VMware vSphere的ESXi主机和虚拟机集中管理组件[4],能使用标准化模板在ESXi主机上快速部署虚拟机,并对其提供集中化管理、配置和性能监控.VMware VSphere Client是VMware vSphere的管理端,可以用来远程登录并管理VMware vCenter Server服务器.本平台中可以通过vSphere Client远程连接控制单台ESXi主机,也可以通过vSphere Client 登录VMware vCenter Server,集中管理多台ESXi主机及其上的虚拟机.

图1 网络攻防训练平台vSphere虚拟化解决方案示意

为了保证网络安全攻防训练平台的性能,我们使用vSphere HA(高可用)技术,当服务器集群中硬件失效时,实现虚拟服务器自动在集群中另一个主机上重启.使用VSphere DRS(分布式资源管理)技术,在不同ESXi主机间进行虚拟机的迁移,从而自动平衡ESXi集群的负载,并且可根据资源分配策略,设置虚拟机优先级和限制虚拟机资源使用等,对集群范围内的资源进行分配,从而提升平台的整体性能[5].

2.2 工具台

工具台用于存放攻防训练平台的常用攻防工具,创建工具台的过程如图2所示,共分4步.(1)通过VMware vCenter Server新建虚拟机;(2)在虚拟机中,安装攻防工具包,并对其可用性、稳定性等基本情况进行测试;(3)在完成攻防工具的安装部署后,更新平台网站的攻防工具列表使其可以通过网页被调用,攻防工具列表以csv格式存储,使用DMcsvEditor工具进行编辑;(4)在平台网站中添加新的页面链接,使用户可以调用攻防工具.

2.3 靶场中心

靶场中心为网络攻防训练提供目标和环境,首先通过VMware vCenter Server新建虚拟机作为靶机,然后在靶机中安装存在漏洞的操作系统、应用程序或是部署存在漏洞的网站等,在部署完成后更新平台网站的靶机链接,使用户可以通过平台网站直接获取靶机的信息进行攻击和防护,也可以通过平台提供的工具间接对靶机进行攻击和防护.

图2 工具台创建过程示意

2.4 实训中心

实训中心以课程为向导,分为攻击和防护两大方面.攻击方面从"按攻击方法"和"按攻击对象"两个维度将全部课程分类,课程按照攻击方法可分为"信息收集""木马病毒""密码破解""网络欺骗""溢出攻击""DOS攻击""逆向工程"等类别;按照攻击对象可分为"操作系统""应用平台""交换机""防火墙""VPN"等类别,并提供配套电子实验指导书.防护方面包括防火墙、入侵检测系统、路由器、交换机的配置应用训练,以及网络安全知识库,共享漏洞库.网络安全知识库主要是以文字的形式提供网络安全防护基本概念和常用的防护手段等.共享漏洞库主要是用于实时更新、发布各类已知的共享漏洞,并提供各类漏洞的解决方案,以便用户了解最新漏洞并尽快对其修补.

2.5 部署方式

平台采用B/S架构,创建平台门户网站,用户不仅可以在局域网内实训,也可以通过互联网使用浏览器对平台进行远端访问和操作.本平台打破训练模式的局限,可实现用户随时随地参与线上训练.

3 结语

网络安全攻防平台的实现降低了网络攻防实验对物理设备和实际网络环境的破坏性,减少训练成本的投入,且能够通过因特网实现线上训练,满足不同层次人员对网络攻击、防御过程及细节学习和训练的需求,具有较大实用价值.

[1]张力,周汉清.基于云计算技术的网络安全攻防实验平台设计[J].软件导刊,2015(9):188-191.

[2]底晓强,张宇昕,赵建平.基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J].2015(4):147-151.

[3]VMware中国网站.vSphere产品[EB/OL].(2014-09-25)[2017-10-15].http://www.vmware.com/cn/products/ vsphere/.

[4]黄晓芳.网络攻防实验平台开发与实现[J].实验技术与管理,2017(5):73-76.

[5]姚炜.网络攻防模拟平台的设计与实现[J].科研,2016(10):33-35.

Design and implementation of network security attack and defense training platform

Ma Li
(31682 Force, Lanzhou 730000, China)

With the wide application of the Internet, information network security is becoming increasingly prominent. How to cultivate the talents of computer network security has become a pressing matter of the moment. Aiming at the problems of current construction of computer network attack and defense training environment of high cost, difficult management and great influence on the actual network equipment and lack of systematic the use of simulation software training. With the help of virtualization technology, this paper designs and implements a network security attack and defense training platform which has attack and protection training and learning functions adopting B/S structure.

network security; attack and defense training; platform design

马丽(1986- ),女,河南焦作人,助理工程师,硕士;研究方向:计算机网络安全.