基于SDN 的网络安全攻防虚拟仿真实战平台设计

2022-09-02许林，孟娜，袁静，吴丹

电子设计工程 2022年16期

许林，孟娜，袁静，吴丹

（解放军第960 医院，山东济南 250000）

当前互联网飞速发展，伴之而来的网络安全问题日益凸显[1]。网络安全作为高校信息安全的核心课程，实践性较强，且对于网络安全攻防教学中，学生只有通过实训，才能具备网络安全攻防能力[2-3]。网络安全攻防试验破坏性高，实际教学中，通常采用虚拟仿真的形式进行，因此网络安全教学中虚拟仿真平台的构建意义重大[4]。

传统虚拟仿真平台在部分方面满足网络安全教学需求，但存在以下问题[5-6]：

1）网络拓扑固化，难以实现拓扑的灵活性；

2）由于攻防环境模式单一，环境切换及设置难度大；

3）与其他开源软件融合性差。

SDN 作为可将转发与控制相分离的新型网络构架，采用南向OpenFlow 协议完成数据平面及控制平面间的通信[7]。SDN 通过网络虚拟化、网络可编程、集中式管理等，支持定制试验场景，解决了网络安全攻防虚拟仿真平台共性问题[8]。

1 虚拟仿真实战平台设计

1.1 设计思路

基于SDN 构架建立虚拟仿真实战平台，该平台可通过控制器实现网络的集中控制，具有控制平面与数据平面相分离的特点，且通过全局视野可集中调度网内资源。网络拓扑中，通过OpenStack 开源云服务，快速、可度量、弹性、按需分配及管理资源池中的存储、计算、网络等资源[9]。基于实体数据存储及控制器，通过虚拟化部署应用服务器、防火墙及交换机等，并采用SDN 控制器对虚拟网络拓扑集中配置，确保有效隔离虚拟网。平台的构建基于虚拟化及SDN，可通过网络拓扑、攻防模式切换等，实现实战环境的灵活变更。开源技术的采用，避免了产品许可，且易与其他开源软件融合拓展，构建成本低[10]。

1.2 关键技术

1）软件定义网络SDN

SDN 可实现网络设备与控制功能的分离，控制器和数据平面分别负责流表管理及流表结构的维护，形成数据转发、逻辑控制相分离的网络构架[11]。该结构中，控制器通过交换机下发流表，实现网络逻辑控制策略配置及管理。OpenFlow 作为SDN 数据及控制平面通信协议，代表了SDN 部署实例及实现原型。文中平台通过OpenFlow1.3 实现数据、控制平面通信。

2）Open vSwitch

Open vSwitch 作为虚拟交换机，通过编程扩展，支持标准管理接口及协议，可实现大规模的网络自动化。其为常用的云计算平台虚拟交换机，支持多种Linux 虚拟化技术[12]。

3）OpenStack

OpenStack 包含网络节点、控制节点、计算节点及存储节点，既是开源云计算操作系统，也是云计算平台项目。其核心服务部件由网络、计算、块存储、对象存储、认证及镜像等组成。通过Dashboard 控制面板，OpenStack 为服务提供可视化UI 接口。通过OpenStack，建立操作平台，虚拟化处理SDN 转发设备、控制设备等资源[13]。

1.3 网络拓扑

实战平台实体部分由数据服务器、控制服务器两部分构成。采用虚拟化技术，处理防火墙、渗透主机、实战靶机、SDN 控制器、交换机等，构建SDN 网络实战拓扑[14]。平台网络拓扑图如图1 所示。

图1 平台网络拓扑图

1）SDN 控制器

通过OpenStack，构建SDN 控制器虚拟部件。根据下发流表规则，数据平面各转发设备转发数据包，配置虚拟部件，构建网络拓扑，确保各组网络间的隔离，登录系统后仅可连接相应靶机。

2）控制服务器

控制服务器作为平台控制节点的同时，实现对管理系统及答题系统的部署。安装网络、计算及对象存储等部件，实现网络、计算、存储等功能，其中采用Open vSwitch 作为网络的L2 Agent 代理，完成虚拟交换，通过Web 界面实现控制节点的全部管理操作[15]。

3）数据服务器

为确保数据的保密性、完整性及可用性，通过数据服务器，存储平台数据信息，实现系统数据的统一化存储。

4）防火墙

防火墙为OpenStack 建立的虚拟部分，实现隔离实战靶机。

5）交换机

交换机为OpenStack 建立的虚拟部分，实现各攻防设备的连接。

6）实战靶机

按照实战难易要求，实战靶机提供不同安全漏洞的系统镜像。试验时，实战靶机建立不同等级镜像实例，并分配与对应战队。

7）渗透主机

渗透主机为OpenStack 建立的虚拟部分，与靶机连接，完成防御工具安装及渗透攻击。

2 虚拟仿真实战环境的设置

2.1 传统实战环境设置

传统实战平台由实体设备构成，安装时只需通过端口完成主机与对应设备的连接。传统实战环境安装、配置简单，但固化了网络环境，扩展困难，不满足实战环境的灵活性及多样化要求，不支持多样化实验场景。

目前部分实战平台基于虚拟化技术，可方便对网络设备删除及添加，一定程度上解决了网络环境固化及扩展困难等问题，但由于缺乏网络数据转发的全局视野及集中控制，当平台网络拓扑改变时，需更改全部转发设备，同样不满足实战环境的灵活性及多样化要求，不支持多样化试验场景。

2.2 SDN攻防实战环境设置

基于SDN 的网络安全攻防虚拟仿真实战平台系统架构图如图2 所示。

图2 基于SDN 的网络安全攻防虚拟仿真实战平台系统架构图

通过攻防实战平台系统构架图，结合实战环境设置的3 个步骤可知，基于SDN 的网络安全攻防虚拟仿真平台的实战环境具有较好的灵活性，适应不同实战场景。

1）网络部件构建

文中基于OpenStack 中的Neutron 组件及Nova组件，实现虚拟网络功能及资源调度。采用Neutron Server 为Plugin 插件提供调用所需API 插件。通过数据库访问，Plugin 获得同物理网络对应关系及逻辑网络配置数据。

2）SDN 网络拓扑构建

平台虚拟机选用配备ODL（Open Day Light）的开源控制器，南向接口采用OpenFlow1.3 与各Open vSwitch 交换机进行通信[16]，北向接口连接至平台控制软件。

数据包下发前，控制器向交换机下发流表，该流表包括全部自定义规则及OpenFlow 预设。根据流表规则，交换机对获得数据包进行处理。交换机包含单张或多张流表，同时各流表包括多条规则，根据规则优先级的不同，进行数据包的匹配。

基于SDN 的攻防实战平台，具有较好的网络拓扑灵活性，报文任意字段均可作为数据包匹配内容，通过ODL 完成流表规则设定、集中控制，实现网络任意部件的连通、隔离。

3）网络隔离的实现

基于Overlay（隧道封装）技术，SDN 网络可实现同一物理网络中不同用户的隔离。文中SDN 网络采用VXLAN 典型Overlay 技术，如图3 所示。虚拟机VM1、VM2 经br-tun、br-int、qbr 3 个虚拟网元完成VXLAN 隧道的通信。

图3 VTEP类型的VXLAN示意图

Open vSwitch 虚拟交换机对应网络设备为VTEP（VXLAN tunnel end point）类型，VXLAN 网络搭建于Open vSwitch 上。如图3 中，在VM1 上设置VXLAN，设定远端IP 为VM2 可对外通信的IP，即：

#ovs-vsctl add-port[VM1 网桥]vx1--set interface vxl type=vxlanoptions:remote_ip=[vm2 可对外通信ip]

VM2 的设定过程与VM1 相同，仅需将IP 更改为VM1 可对外通信IP 即可。设置完成，实现VM1 与VM2 间VXLAN 隧道通信。以上设置满足实战链路的有效隔离，避免实战环境对控制链路损坏。

SDN 的引入，实现了实战环境设置的灵活性与便捷性。攻防实战环境的设置过程如图4 所示。

图4 攻防实战环境设置流程

设置完成实战环境后，登录系统，平台分配用户侧虚拟主机。用户可与靶机相连接，进行渗透防御及攻击试验。设置过程灵活，且在硬件配置允许范围内可随时删减及增加实战团队。各攻防实战平台组网方案如表1 所示。由表1 可知，基于SDN 的组网方案，在部件新增及拓扑修改中均具有较好的灵活性及便捷性。平台整体设计采用开源软件，成本低、可扩展性好。