陈栋伟 李燕 李光 杨林

(1.66018部队 天津 300380;2.石家庄学院 河北石家庄 050035)

网络攻防环境是组织网络空间安全相关的实验、训练、测试等活动重要物质基础，真实、复杂的网络攻防环境对提高从业人员的网络攻击和网络防御水平，具有十分重要的作用。在缺少公共网络靶场环境的情况下，如何立足现有条件，通过较少投入构建符合要求的网络攻防小规模适用性环境，一直是亟需解决的问题。

利用真实物理设备构建网络攻防环境，如设备数量过少，实现场景有限，无法真实模拟实际网络环境；设备数量多则需要投入大量费用，设备利用率不高，难以实现不同网络攻防环境的灵活切换，还有可能引起设备的物理损坏[1]。若使用互联网环境进行网络空间安全相关的相关活动，一方面满足实验要求的目标网络难以寻找，另一方面直接在互联网上进行网络攻击测试与实验，会对目标网络造成一定危害且容易涉及法律问题。

因此，本文提出一种运用虚拟化技术，以现有设备和已有计算机网络为基础，通过少量投入即可构建出的小规模网络攻防环境的构建方法，可提供网络仿真、靶场环境模拟、漏洞库管理、攻防工具管理等功能。

1 运用的主要技术

随着计算机虚拟化技术的不断创新和发展，近年来出现了多种不同的虚拟化技术，从应用的角度讲，主要有服务器虚拟化、网络虚拟化、主机虚拟化和应用虚拟化等多个方面。

在虚拟软件方面，主要有VMware、Hyper-V、KVM、XenServer等多种虚拟软件，通过横向对比，VMware系列软件具有更强大的功能和明显的易用性，丰富的功能和组件完全可以满足系统构建需要[2]。其VMware vSphere产品与VMware WorkStation产品之间可以很方便的实现交互和迁移，高版本WorkStation甚至可以直接连接到vSphere，保证了整个环境构设的兼容性和一致性[3]。在虚拟网络方面，可以采取在VMware中运行软路由来的方式来构建虚拟化路由的方式实现，例如使用vSphere Standard switch和Distributed Switch功能，在VMware vSphere Client中建立虚拟交换机。在虚拟主机方面，可以运用VMware WorkStation来虚拟各种类型、各种操作系统的主机，能够最大化模拟真实的网络情况，提供逼真的网络攻防环境[4]。

2 总体架构

在确定网络攻防实验环境构建的主要技术路线后，即可对系统进行规划和设计，主要包括网络攻防实验环境的总体功能设计和总体结构设计。

2.1 总体功能设计

网络攻防实验环境主要实现以下功能：攻防实验主机环境和网络环境，漏洞、补丁库，网络攻击和网络防护工具库，网络安全知识库等4项内容。攻防实验环境主要实现在一个可控的网络环境中对复杂网络环境的模拟，尽可能包含主流操作系统和服务漏洞，并能够进行灵活转换。漏洞和补丁库主要实现典型Web应用安全漏洞以及相对应的漏洞防护补丁的搜集、整理和入库；网络攻击和网络防护工具库主要提供主流网络攻防软件和工具，用于攻防演练中供演练人员选用；网络安全知识库主要是将网络攻防教学资料和视频、技术文档、渗透测试报告、漏洞分析报告等网络攻防技术资料进行整理和入库，便于随时查阅[5]。

2.2 总体结构设计

实验环境在总体结构上可划分为基础设备和虚拟环境两个主要部分。

基础设备是部署整个网络攻防实验环境的硬件基础，主要包括服务器、路由器、交换机、防火墙以及必要的基础网络设施等。基础设备既可以按照需求购置新设备，也可以利用符合条件的非关键业务的现有局域网络实施，充分利用现有资源，减少投入。

虚拟环境是通过虚拟化技术，使用相应的虚拟化软件，对基础设备中的硬件和软件资源进行管理和控制，构建出符合要求的网络攻防目标环境，实现环境构设的目的。虚拟环境主要包括服务器虚拟化、主机虚拟化、主机内部网络虚拟化以及网络设备虚拟化。

服务器虚拟化是指可在一台物理服务器上同时运行多台虚拟服务器的技术，从用户的角度来看，这些虚拟服务器与真实的物理服务器是没有任何区别的，并且可以在多个虚拟服务器上安装完全不同的操作系统和完全不同的应用软件，多个虚拟服务器之间数据隔离，互不影响。主机虚拟化和服务器虚拟化基本相同，可在一台物理主机上安装和运行多台不同系统的主机。运用网络虚拟化技术，可以实现主机内部网络虚拟化，以及路由器、交换机、防火墙等设备的虚拟化，建立实验环境所需的网络拓扑结构，并可以轻松实现对网络环境以及网络配置的变更[6]。

3 网络攻防实验环境的实现

本环境利用已有局域网络实现，共设置路由器（华为AR111-S）1台，防火墙（华为Secospace USG6000）1台，交换机（华为Qudiway S5700）1台，交换机（华为S5720-32C-HI-24S）1台，虚拟主机服务器2台，存储服务器1台，pc机18台，构建一个小规模的网络攻防实验环境。主机服务器为联想thinkserver TS560，该服务器采用XeonE3-1220 v6 CPU，8GB内存、1TB硬盘的基本配置，由于该服务器作为虚拟服务器配置较低，因此将2台虚拟主机服务器升级至64GB内存、8TB硬盘。存储服务器可单独设置一台NAS服务器，选用一台小型服务器或者PC机搭建即可，硬盘容量根据需要进行配置，本环境所采用的存储服务器为HP ProLiant MicroServer Gen8，该服务器采用Inter Pentium G2020T CPU，升级至16G内存、32TB硬盘。该环境可以满足10余台攻击PC机同时实施网络攻击的实验要求，其配置方式及物理拓扑如图1所示。

图1 网络攻防实验环境配置方式及物理拓扑

2台虚拟主机服务器分别安装VMware ESXi，形成两台虚拟主机服务器，在资源管理上，主要利用vSphere中的vCenter对环境中的硬件资源和软件资源进行管理和调度。在1台PC机中安装vSphere Client作为管理PC机，可对虚拟服务器和实体服务器进行监控、调整、创建、迁移等管理操作。存储服务器可安装FreeNAS、NAS4Free、Open-E等操作系统，这些操作系统支持Hyper-V和Xen等虚拟技术，并通过VMware认证，可直接在硬件上安装，也可以在虚拟机中安装，进行基本配置后，即可作为NAS服务器使用。通过在现有PC机上安装VMware WorkStation，而后在虚拟机中运行Windows、Linux或Kali等操作系统，作为网络攻防实验的攻击平台，不会对物理机和原有软硬件环境产生任何影响[7]。

4 应用优势

4.1 可大幅节约经费投入

该网络攻防实验环境对计算机及网络硬件要求不高，可完全依托现有办公局域网络或机房网络进行建设，几乎没有硬件成本投入。如需要构建的虚拟网络较为复杂，在攻击机配置较低的情况下，采用加大内存的方式就可以解决，一般攻击PC机配置16G内存已经足够使用。运用该环境构建方法可大幅降低建设成本，基本不影响原有网络业务和功能，设备利用率明显提高。

4.2 可构建丰富的目标环境

该环境使用VMware系列软件作为网络攻防环境的基础平台，支持虚拟包括Windows、Linux、Apple Mac OS、Solaris、FreeBSD等在内的多种类型和版本的操作系统，通过安装不同时期和版本的操作系统，可基本囊括所有已知操作系统漏洞，并进行有针对性的实验；在此基础上可以安装网络浏览器、数据库、文字处理等各类应用软件，进行应用程序漏洞利用实验；通过安装软路由、虚拟交换机的方式，灵活配置网络环境，进行综合性网络攻防练习。为保持复杂性和真实性，还可以安装honeyd虚拟蜜罐系统、沙箱和入侵监测系统，进一步提高网络攻防的难度。

4.3 可快速恢复环境状态

网络攻防环境构建时，可利用虚拟机的快照功能，建立多个不同的状态快照，在需要切换状态或改变环境时，可以利用“恢复到快照”功能，迅速切换到另一状态。在网络攻防实验中，很多实验操作对计算机系统和网络系统来说都是具有较大危险性的，某些操作可对磁盘的固件，操作系统的引导区，文件管理功能造成严重影响和破坏。采用虚拟化技术则不需要担心此类问题，可利用虚拟机的快照功能随时恢复系统。

虽然该系统具备构建快捷、灵活多变、功能强大等特点，但仍然存在缺乏统一管理，缺少检验评估等问题。可在此基础上进行深入开发和研究，使用PHP或其他语言构建Web服务器，建立基于B/S架构的Web可视化平台，将环境整合成为一个具备用户管理、实验管理、工具下载、效果评估等多种功能于一身的统一平台，进一步提高虚拟化网络攻防环境的应用功能和使用效益。