基于XEN 云平臺的網絡安全實驗教學

吳 迪，薛 政，潘 嶸

(中山大學 計算機科學系，廣東 廣州510006)

0 引 言

實驗課程是網絡安全教學的重要一環，學生對課本理論知識點進行相應的實驗可以有效地增強對概念、原理的直觀理解，而且這也培養了學生的實際動手操作能力。然而另一方面，很多網絡安全實驗都涉及多臺主機并需要構建特定的網絡拓撲結構，由于學生擁有的硬件資源有限，使得實驗環境的構建成為阻礙網絡安全教學的一大因素。

傳統的解決方法是讓學生去網絡安全實驗室進行相關實驗，但實驗室的硬件資源也是有限的，并且需要學生重新配置路由器、交換機、主機網卡等，這都會大大降低學生進行實驗的效率。另一種方案是采用VMware 虛擬機進行實驗［1-3］。VMware 是一款應用很廣的虛擬化軟件，用戶可以在上面創建自己的虛擬機，虛擬網絡等。在眾多虛擬化軟件中，VMware 相對容易安裝使用，但其完全虛擬化的實現機制也帶來了很多性能上的損耗。一般情況下4 GB 內存的物理機器用VMware 創建三臺虛擬機就會感覺運行很不流暢，從這一點來說這種方案也只能勉強滿足需求。

為了解決網絡安全實驗需求跟硬件資源限制這一矛盾，我們設計并實現了基于XEN［4-6］開源軟件的網絡安全實驗云平臺，向學生提供虛擬網絡安全實驗環境。不同于一般的只能面向單獨虛擬主機的服務［7］，XEN 實驗云平臺是面向虛擬網絡的，申請創建的虛擬機可以組成一個特定的網絡拓撲。本文給出一種基于XEN 云平臺進行防火墻配置實驗教學的實驗實例，通過XEN 實驗云平臺提供的虛擬主機服務創建虛擬網絡環境，然后對網絡中某些節點的網絡地址、路由表、iptables 進行配置，從而完成防火墻配置這個實驗。學生通過瀏覽器申請遠端的虛擬主機群，然后用SSH 遠程到虛擬機上進行相關實驗，在占用自身機器很少資源的情況下就能方便地搭建滿足特定網絡拓撲的集群。這跟使用VMware 的解決方案相比，它的優勢在于:①幾乎不用占用自身電腦的資源，創建的虛擬機數量不再受到本地機器性能的限制。②申請操作都在web 頁面中完成，操作更加簡單直觀。據調查表明，面向虛擬網絡的虛擬云服務非常新穎，而在云平臺上組織網絡安全實驗更具有一定的獨創性。我們的實踐表明，XEN 實驗云平臺能大大簡化網絡安全實驗環境的搭建，具有很強的擴展性和實用性。

2 XEN 實驗云平臺的設計與實現

2.1 XEN 虛擬化技術介紹

Xen 起源于2003 年劍橋大學的一個研究項目，之后成為一個開源社區驅動的軟件項目［9］。Xen 使用了半虛擬化技術，通俗地理解就是說客戶虛擬機系統清楚自身是運行在虛擬化的環境中，通過修改客戶虛擬機的系統內核，客戶虛擬機在執行一些特權指令的時候可以直接跟VMM 交互而非通過復雜的指令二進制翻譯(VMware 等全虛擬化平臺采用的策略)，從而大大提高效率。另一方面，Xen 本身所占用的系統資源只占總資源的2%，最多也只有8%，這跟其它虛擬化產品通常20%的資源占用率相比優勢明顯。因為這些原因，XEN 把設計目標設定為在一臺現代化的服務器上虛擬出100 臺全系統的虛擬機，實踐證明這是可以實現的，因為就算是一臺性能一般的個人PC4 GB內存、普通4 核CPU，也能輕易地虛擬出二三十臺虛擬主機。

2.2 XEN 實驗云平臺的體系架構

XEN 實驗云平臺以XEN 為底層虛擬化技術，編寫Shell 腳本實現虛擬機、虛擬網絡的自動化管理，提供給用戶一個簡單的Web 頁面接口，屏蔽復雜的底層操作，讓用戶輕松地配置、創建、銷毀虛擬機及虛擬網絡。圖1 描述了該平臺的總體架構。

圖1 XEN 云平臺總體架構

整個系統采用B/S +R 結構，其中B/S 就是普通的網站架構，R 指用戶遠程到虛擬機的方式。下面對各部分的功能、配置以及所采用的技術進行簡單的介紹。

(1) 用戶。虛擬機申請使用者，通過Web 提交申請(包括虛擬機數量、配置、網絡拓撲等)，待Web 反饋虛擬機創建成功的信息后遠程登錄到虛擬機。

(2) Web 服務器。采用經典的Linux + Tomcat +Mysql+JSP 結構。初期由于負載均衡設計得比較簡單，所以跟Web 服務器放在一起。Tomcat 接收來自用戶的申請，JSP 做好申請的解析，根據后臺物理機的負載情況把虛擬機的創建任務分發給負載較輕的機器，調用腳本完成創建及配置工作，然后把相關信息寫入Mysql 數據庫。最后把信息反饋到Web 前端。

(3) 物理機。這是虛擬機實際創建和運行的地方。目前的基本硬件配置是4 核CPU(i3-2100)、4 GB內存、500 GB 硬盤，共有4 臺同配置的物理機構成后端集群。Xen 環境是3.1.0 版本的linux 內核(也就是Domain 0 內核，這需要重新編譯以支持Xen［10］)加上4.1.2 版本的Xen。物理機在平臺體系中的職責是根據Web 服務器傳遞過來的命令執行相應腳本，在本機完成虛擬機的創建、配置、銷毀等工作。

(4) 虛擬交換機。這是Xen 虛擬出來的設備，用于對生成的虛擬機進行網絡劃分，依靠這些交換機，虛擬機組成的網絡拓撲變得非常靈活。

2.3 通過XEN 實驗云平臺構建虛擬網絡

虛擬網絡是由虛擬交換機、虛擬主機、虛擬網卡、DHCP 服務器等構成的一個集合，其中虛擬交換機處于核心地位，如果兩臺虛擬機連接到了同一臺虛擬交換機，那么它們就位于同一個子網。根據需求的不同，XEN 提供了3 種虛擬交換機的工作模式［11］:

(1) NAT 模式。連接到這個網橋下的虛擬機，都是通過共用主機的IP 地址來與外網連通。外網中的計算機不能連接到該網橋下的虛擬機。

(2) Routed 模式。虛擬交換機通過物理主機的外網網卡直接連到物理服務器所在的網絡，在這種模式下每一臺虛擬機都具有獨立的外部IP，跟物理服務器同一層網絡的計算機可以訪問到這些虛擬機。

(3) Isolated 模式。在這種模式下，連接到同一虛擬交換機的虛擬機可以互相通信，但與外部網絡處于完全斷開的關系。

以上提到的3 種虛擬機工作模式在不同應用上各有優劣勢，就XEN 云平臺的需求而言，自由配置網絡拓撲的要求決定了不能用Routed 模式，hosting 的應用目的決定了不能使用Isolated 模式，剩下的NAT 模式雖然不能完全契合我們的需求，但是此處的最佳選擇。

根據Xen 的網絡虛擬化方式［12-13］，結合NAT 模式的組網技術，設計出XEN 云平臺的虛擬網絡架構，如圖2 所示。

圖2 XEN 云平臺網絡架構圖

在圖2 中，peth0 其實就是物理網卡，也即一般linux 啟動后的eth0，這里Xen 做了一個重命名，然后把系統默認啟動的第一個網橋命名為eth0. 網橋這個概念

其實就是前文提到的虛擬交換機，用它可以方便地架設子網。

在我們的設計中，物理主機使用系統默認生成的eth0 網橋，屬于Routed 模式。而其它虛擬機則都連到一個或多個NAT 模式的網橋，從而形成特定的網絡拓撲。

3 XEN 實驗云平臺中虛擬網絡拓撲的生成

在本節中，先分析XEN 云平臺創建一臺虛擬機的流程，然后分析防火墻配置實驗所要求的網絡拓撲圖，基于此我們將在XEN 云平臺上創建這個虛擬網絡。

3.1 虛擬機生成流程分析

單臺虛擬機的創建流程，如圖3 所示。一臺虛擬機從用戶申請創建到后臺完成創建工作并通知用戶，可以分為以下幾個步驟:

(1)用戶通過瀏覽器填寫虛擬機配置表單，并提交。

(2)Web 服務器接受虛擬機創建任務，如果該用戶在平臺中已經擁有了虛擬機，那么就把這個創建任務分配到那些虛擬機所在的服務器，如果是一個新用戶，那么就選擇負載比較輕的服務器并把創建任務交給它。

(3)根據用戶提交的IP、MASK 計算出子網網段，如果平臺中還沒有這個網段，那么就調用腳本創建相應的子網，如果已經有了這個網段，檢測是否存在IP沖突。

(4)在選定的服務器調用虛擬機創建腳本，這些腳本完成的任務包括環境檢測、虛擬機生成、虛擬機場景化、虛擬機遠程隧道的建立等。

(5)創建成功后，Web 服務器返回消息給用戶，并提供給用戶一個遠程連接該虛擬機的接口。

圖3 虛擬機創建流程圖

3.2 自定義網絡拓撲生成

為了更好地理解如何在XEN 實驗云平臺上創建虛擬網絡，我們將配置如圖4 所示的實驗網絡拓撲圖，其中m2 是m1 和m3 的網關，m2 連接到Internet。

這是一個簡單的網絡拓撲，分析上面的實驗拓撲圖，再結合XEN Cloud Platform虛擬網絡的特點，可以給出這樣的分析:m1、m2、m3構成一個子網vmnet1，而且m1、m3 只屬于這個子網，m2 可以連接到外部網絡，那么它必須還屬于另外一個子網vmnet2。vmnet1 不可以連接到外部網絡，vmnet2 則通過NAT 連接到外網。雖然默認情況下生成的每個子網都是NAT 模式的，這個跟vmnet1 的要求不符，但是通過對虛擬機進行路由、網關的簡單設置可以實現這樣的要求。具體做法就是刪除m1、m3 默認的default 路由(此路由項的默認網關為vmnet1 中的虛擬交換機)，然后添加一條以m2 為網關的default 路由。

圖4 網絡實驗拓撲圖

根據以上的分析，我們在XEN 云平臺上建立滿足如圖5 所示的拓撲虛擬機群。

圖5 虛擬機群拓撲圖

根據上面的拓撲圖，我們在Web 界面完成相應的配置表單(虛擬機發行版本類型、內存、主機名、root 密碼等可以根據情況填寫，IP/MASK 對需要按照拓撲圖填寫)。提交表單，虛擬機創建成功后，我們就可以通過SSH 訪問虛擬網絡中的虛擬主機了。

4 基于XEN 云平臺的網絡安全實驗

在本節中，我們將通過防火墻實驗作為一個實例來演示如何使用XEN 實驗云平臺。防火墻［14］是一項協助確保信息安全的服務，它會依照特定的規則，允許或是限制傳輸的數據通過，在網絡安全領域扮演著舉足輕重的角色。在防火墻配置這個實驗中，學生通過linux 下的iptables 工具配置防火墻規則，從而實現NAT 服務、特定包過濾等功能。通過這個實驗，學生可以更直觀地理解到防火墻的工作機理，以及iptables的配置方法。在實驗過程中，學生還需要進行Wireshark 抓包，并進行數據包的分析。按照上一節內容創建一個類似圖4 的虛擬網絡，然后在實驗中完成以下內容:

(1)在m2 上配置帶POSTROUTING 的NAT 服務，實現內部IP 地址隱藏。并只允許HTTP 請求通過。

(2)在m2 配置只接受或發送(不轉發)ssh 和ping數據包的過濾服務。

(3)在m3 配置只允許m1 的HTTP 請求通過服務。

(4)根據實驗情況回答以下問題:①自己組織語言描述iptables 是怎么工作的?②為什么iptables 需要內核 的 支 持?③iptables 中 的 INPUT、OUTPUT、FORWARD 三條鏈有什么區別?④iptables 中的DROP、REJECT、ACCEPT 三種處理有什么區別?⑤考慮iptables 的魯棒性、效率、功能，它有哪些優勢?⑥Linux 中還有哪些可以替代iptables 的程序包?

4.1 在m2 上配置帶POSTROUTING 的NAT 服務

基本的虛擬網絡已經在第三節創建好了，接下來的工作就要在m2 配置NAT 服務，具體的操作遠程登錄到m2，然后用root 用戶執行如下命令［15］:

iptables ——flush

iptables ——table nat ——flush

iptables ——delete－chain

iptables ——table nat ——delete-chain

iptables ——table nat ——append POSTROUTING——out－interface eth0-j MASQUERADE

iptables ——append FORWARD ——in-interface eth1-j ACCEPT

echo 1 ＞ /proc/sys/net/ipv4/ip_forward

其中:第1 到第4 條命令用于清除FILTER 跟NAT 兩個表中的規則以及自定義的鏈;第5 條用于在nat 表POSTROUTING 鏈上加上一條規則，這條規則使得從eth0 這個網口出去的流量包都會進行地址隱藏;第6 條往filter 表里添加一條規則，使得從eth1 這個網口進來的流量包都可以進行轉發;第7 條是打開m2系統的ip 包轉發功能。

實驗進行到這里，m2 已經實現了內網IP 地址隱藏功能，也就是說m1 和m3 可以ping 通外部IP 地址，但反過來是不行的。為了在m2 實現只允許HTTP 請求通過的功能，我們還需要設置數據包過濾規則，一般情況下HTTP 服務監聽的是80 端口，所以我們可以設置這樣的iptables 轉發規則:

iptables ——append FORWARD ——in-interface eth1-j DROP

iptables ——append FORWARD ——ininterfaceeth1-p tcp-dport 80-j ACCEPT

這兩句合在一起的意義是除了目標端口是80(http 監聽端口)的請求，其它請求都不予轉發，也就實現了m2 只允許m1 和m3 進行HTTP 請求的功能。

4.2 在m2 配置只接受或發送ssh 和ping 數據包的過濾服務

要實現這一功能我們可以分步考慮，由于只開放兩種服務，所以我們可以先把所有服務都禁用，然后再開通ssh 和ping 兩種服務。

關閉所有的服務可以采用下面的命令:

iptables ——append FORWARD-j DROP

iptables ——appendINPUT-j DROP

iptables ——appendOUTPUT -j DROP

接下來開啟ssh 服務，ssh 使用tcp 這個傳輸層協議，默認監聽端口號為22，所以我們可以通過以下命令來開啟服務:

iptables -I INPUT -i eth1-p tcp ——dport 22 -j ACCEPT

iptables -I OUTPUT -o eth1-p tcp ——sport 22 -j ACCEPT

Ping 服務不能通過端口號進行設置，但是ping 使用了ICMP 這種比較特殊的網絡層協議，可以通過允許這一種協議的數據包通過來開啟ping 服務:

iptables -I INPUT -i eth1-p icmp -j ACCEPT

iptables -I OUTPUT -o eth1-p icmp -j ACCEPT

4.3 在m2 配置只允許m1 的HTTP 請求通過的服務二級標題

首先我們需要對前面設置的FILTER 表進行沖洗，刪除之前設定的過濾規則:

iptables ——flush

iptables ——delete-chain

然后我們配置阻斷所有數據包的iptables 規則，這里使用的方法跟4.2 一樣:

iptables ——append FORWARD -j DROP

iptables ——appendINPUT -j DROP

iptables ——appendOUTPUT -j DROP

接下來就是設定m1 到外部網絡的HTTP 數據包轉發功能，由于m3 的數據包需要被完全阻斷，而m1和m3 的數據包都是通過eth1 這個網卡進入m2 的，所以這里不能用網卡進行數據包來源的劃分，做法是在iptables 規則中直接指定源IP 地址:

iptables ——append FORWARD -s 192. 168. 10.11-p tcp -dport 80 -j ACCEPT

至此，我們詳細介紹了基于XEN 云平臺的防火墻實驗的整個過程。實驗的順利進行驗證了平臺的實用性，同時也說明了使用XEN 實驗云平臺進行網絡安全實驗教學的可行性。

5 結 語

針對網絡安全課程實驗教學中學生硬件資源的限制，本文在分析了常用的實驗室實驗方案及VMware實驗方案的不足，在此基礎上提出了一種基于云平臺的解決方案。XEN 實驗云平臺是由我們設計開發的一個面向學生提供虛擬主機服務的平臺，學生可以在上面方便地創建自己的虛擬網絡，在消耗本地計算資源很少的情況下完成網絡安全實驗。本文介紹了使用XEN 云平臺進行網絡安全實驗的教學方法，我們發現該方法具有很強實用性和可擴展性，并且可以推廣到其它網絡安全實驗的教學，比如IPSec 實驗等。

［1］ 呂 峰，楊 宏. 基于VMware 虛擬網絡計算機實驗室的構建［J］. 電腦編程技巧與維護，2009(16):32-33.

［2］ 蘭聰花. VMware 虛擬機技術在計算機實踐教學中的應用［J］.考試周刊，2008(11):166-167.

［3］ 欒 勇. 應用虛擬機進行計算機教學的優越性［J］. 電腦知識與技術，2009(21):5985-5986.

［4］ Bhatia N，Vetter J S. Virtual Cluster Management with Xen［M］.Lecture Notes in Computer Science，Springer Berlin/Heidelberg，2008:185-194.

［5］ Clark B，Deshane T. Xen and the Art of Repeated Research［C］//Proceedings of the 2004 USEIX Annual Technical Conference.2004:135-144.

［6］ Govindan S，Nath A R，Das A，et al. Xen and Co.:Communicationaware CPU Scheduling for Consolidated Xen-based Hosting Platforms［C］//Proceedings of the 3rdInternational Conference on Virtual Execution Environments.2007:126-136.

［7］ 徐 永. 基于XEN 的彈性云平臺的研究［D］. 武漢:武漢理工大學，2010.

［8］ Paul Barham，Boris Dragovic. Xen and the Art of Virtualization. In SOSP，2003.

［9］ 石 磊，鄒德清，金 海. XenVirtualization Technology［M］. 武漢:華中科技大學出版社，2009:2-32.

［10］ Giorgos Kappes. Installing and Using Xen［DB/OL］. http://www.cs.uoi.gr/ ～gkappes/tutorials/ xen_guide.pdf，2012.

［11］ XenNetworking，http://wiki. xensource. com/xenwiki/XenNetworking.

［12］ 楊林鳳. 基于XEN 網絡虛擬化的性能研究［D］. 上海:復旦大學，2010.

［13］ Apparao P，Makineni S，Newell D. Characterization of network processing overheads in Xen［C］//Proceeding of the Second International Workshop on Virtualization Technology in Distributed Computing，2006.

［14］ 維基百科. Firewall 概 念［EB/OL］，http://en. wikipedia. org/wiki/Firewall.

［15］ Iptables 指南，http://www. frozentux. net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html.