虛擬化仿真在網絡安全課程教學中的應用研究

◆溫海波

(安徽交通職業技術學院 安徽 230051)

虛擬化仿真在網絡安全課程教學中的應用研究

◆溫海波

(安徽交通職業技術學院 安徽 230051)

在網絡安全課程虛擬化仿真教學中，如何搭建復雜的虛擬化網絡工程環境，如何進行教學過程設計是課程教學的關鍵點。本文通過分析VMware、GNS3、sniffer等虛擬化軟件的基本原理，詳述各軟件配置及相互配合，并研究了VMware虛擬機與GNS3虛擬的網絡設備互聯的關鍵技術。最后以“WEB頁面信息安全課程單元”為例，介紹了虛擬化仿真技術在網絡安全實例教學中的設計和實現。

虛擬機；網絡安全；課程教學；VMware；GNS3

0 引言

隨著互聯網的迅猛發展，尤其在互聯網+，大數據、云計算的時代背景下，網絡安全日益受到重視。各高校計算機及相關專業已開設網絡安全等課程，這門課程實踐性很強，在教學中往往遇到一些問題：（1）相關教學設備較為昂貴，很難做到每個學生都能使用；（2）由于設備實際配置數量有限，通常是分組教學，教學效果不理想；（3）網絡安全課程內容更新較快，需要設備也要隨之更新。將虛擬化仿真技術應用于網絡安全課程中，可以實現情景化教學需求，同時大大降低教學中所需軟硬件成本，滿足該課程教學的必備環境[1-3]。

1 虛擬化仿真軟件

目前虛擬系統軟件主要有VMware、Virtual PC等軟件；網絡模擬器軟件有思科的 Packet Tracer，GNS3等軟件以及華三的LITO，eNSP等軟件；網絡檢測分析工具軟件有科來、Sniffer和WireShark等軟件。

1.1 虛擬機VMware

虛擬機VMware軟件可以在宿主機上模擬多臺不同操作系統的虛擬計算機，為組建網絡提供計算機平臺。VMWare軟件是一款功能強大的虛擬機軟件，可以模擬工作站和服務器平臺，以及支持平臺上大部分設備的功能。

VMware具備三種工作模式[4]，具體描述和網絡連接如下所示。

（1）橋接(Bridged)模式：在此模式下，VMware軟件虛擬出交換機Vmnet0。該虛擬機相當于和host主機同處在局域網中的一臺主機，有該局域網下的獨立IP地址。在圖1中host主機A、主機B和虛擬機C1之間可相互通信。

（2）NAT模式：在此模式下，VMware軟件虛擬出交換機Vmnet8。虛擬機可以與host主機和其它“NAT模式”的虛擬機相互通信，但只能單向訪問與 host主機在同一局域網中的其他計算機，不可反向訪問。在圖1中虛擬機C2可以和主機A互相通信，虛擬機C2可以單向訪問主機B。

（3）主機(Host-Only)模式：在此模式下，VMware軟件虛擬出交換機 Vmnet1。虛擬機只可以同 host主機和其它“主機模式”的虛擬機相互通信。在圖1中虛擬機C3可以和host主機A互相通信。

1.2 GNS3

GNS3是可以運行在多個操作系統平臺之上的圖形化用戶界面網絡虛擬軟件[5]。GNS3能模擬思科路由、交換機、PIX防火墻、PC機等設備，為虛擬真實復雜的網絡環境提供基礎。

1.3 VMware與GNS3互聯

在網絡安全課程中的模擬環境較為復雜，虛擬機VMware它能夠很好地模擬網絡中的PC機，而它提供Vmnet虛擬交換機只是該軟件內部虛擬的，既沒法操作也沒法靈活配置，更不能模擬路由器和防火墻等網絡連接設備。GNS3能很好地模擬豐富的網絡連接設備，但是它用VPCs模擬的PC機只能和用戶通過簡單的命令行方式進行交互，不能滿足真實計算機的復雜操作。

圖1 虛擬機三種模式的網絡連接分析圖

在GNS3中交換機等網絡互聯設備無法直接連接虛擬機中的虛擬交換機或虛擬計算機。如何將虛擬機VMware與GNS3相結合起來，仿真出真實復雜的網絡環境是虛擬化教學的關鍵。通過分析宿主機、GNS3軟件和VMware虛擬機軟件的連接原理，可以通過宿主機添加回環卡，將 VMnet虛擬交換機與回環卡相連，將GNS3虛擬的云設備連接到回環卡上，然后通過虛擬交換機連接虛擬計算機[6-8]。

1.4 網絡檢測分析工具

科來網絡分析系統、Sniffer軟件和WireShark軟件都是專業的通過抓取網絡數據包進行網絡檢測、網絡協議分析的工具，它們都可以可實時監測網絡傳輸數據，全面透視整個網絡的動態信息。

2 課程實驗

以“WEB頁面信息安全課程”單元中黑客竊取頁面密碼過程為例，通過VMWare和GNS3軟件構建虛擬仿真網絡環境，利用Sniffer軟件進行抓包分析數據。整個網絡拓撲如圖2所示。

圖2 WEB頁面信息安全課程實驗網絡拓撲圖

2.1 實驗環境

實驗機器為聯想 Lenovo V480 20143，CPU：Intel Core3 i5-3210M，RAM：8G，硬盤：WDC 1TB，Windows 7旗艦版64位SP1。安裝了VMware Workstation 11.1.0，GNS3 1.3.1和Sniffer Pro 4.70.530英文版軟件。

2.2 虛擬設備環境配置

2.2.1 回環卡添加

（1）打開宿主機win7操作系統中的控制面板/所有控制面板項/系統/設備管理器，選擇“操作”菜單/添加過時設備/手動方式/網絡適配器，在“廠商”列表中選擇“Microsoft”，在“網絡適配器”列添加 Microsoft Loopback Adapter（回環卡 1） 和Microsoft Loopback Adapter#2（回環卡2）兩個回環卡。

（2）在控制面板/網絡和 Internet/網絡連接中將這兩個回環網卡分別重命名為：回環卡1和回環卡2。

2.2.2 設置虛擬機環境

在虛擬機中建立名稱為 Web服務器，客戶機，黑客機三個虛擬機并打開。在“編輯”菜單的“虛擬網絡編輯器”中設置虛擬機網絡，新添加兩個的虛擬交換機（橋接模式）：虛擬機VMnet10 連接Microsoft Loopback Adapter和虛擬機VMnet11連接Microsoft Loopback Adapter#2；網絡連接都設置為橋接方式，結果如圖3所示。

圖3 虛擬機網絡設置圖

2.2.3 構建網絡環境

（1）在GNS3中添加如圖2所示設備（除去3臺PC機），并將其按圖示連接起來，啟動所有設備。如圖4所示，在Cloud1的Configure選項中添加連接回環卡1。同樣設置Cloud2連接回環卡2。

（2）在VMware虛擬機中添加Web服務器，客戶機，黑客機三臺虛擬機，并按表1分別設置各虛擬機網絡適配器的連接方式（都設置為自定義的橋接模式，按圖2所示連接到虛擬交換機VMnet10或VMnet11）、IP地址、子網掩碼及網關地址。

圖4 Cloud1連接回環卡1配置圖

2.2.4 配置路由器

在GNS3中，打開虛擬的路由器設備，輸入以下命令配置端口地址：

en

conf t

int f0/0

ip add 60.0.0.1 255.0.0.0

no shut

end

en

conf t

int f0/1

ip add 192.168.11.1 255.255.255.0

no shut

end

2.3 構建web服務器及配置Sniffer軟件

在 http服務器虛擬機上構架 asp web服務，將登錄網頁上傳。黑客機上安裝Sniffer軟件并進行配置。打開sniffer軟件，進入Capture --〉 Define Filter中進行配置。

（1）設置地址過濾：為獲取所有網內邏輯地址之間的數據，在address選項卡中Address設為IP，方向為any-any。

（2）設置抓包類型：因為網頁數據包傳輸類型為 HTTP類型，在advanced選項卡中設置http，Packet type為normal，Packet size為all。

表1 虛擬機網絡參數設置表

（3）設置包內數據類型：在Data Pattern 選項卡中，如圖5所示進行設置：

a）為過濾出http類型包中的應答包及快速傳輸數據（即PSH和ACK標記位為1）的包，添加AND條件，將TCP的 Flags 標記位設為 18， Offset為設2F。

b）過濾出訪問目標端口為80（http web頁面訪問標準端口號）的數據；添加AND條件，將TCP的Destination port 設為80 ， Offset設為24。

圖5 Sniffer 自定義過濾器模式設置圖

圖6 Sniffer抓包分析圖

2.4 攻擊實現與分析

設置完成后，在黑客機端啟動 capture按鈕。在客戶機上訪問登錄頁面，輸入用戶名：“admin”和密碼：“zm123”并提交。在黑客機端停止Sniffer俘獲，在Sniffer中選擇encode選項，就可以看到如圖6所示抓到的數據報，在summry中找到類型為post的包，在包信息中可以看到usename和password后面就是剛才輸入的用戶名和密碼。

3 結束語

網絡虛擬化仿真軟件VMware和GNS3軟件相互配合使用可以構建出復雜的網絡環境。實驗證明，配合網絡分析工具等軟件，完全可以將其應用于網絡安全課程教學實踐中。該方案具有可行性、靈活性和易操作性，為其他類似課程教學和實驗實訓提供了參考。

[1]遲國棟．淺談虛擬機技術在高職計算機網絡安全教學中的應用[J]．價值工程，2013．

[2]朱輝，劉北水，李暉，劉乃安．基于虛擬化技術的信息安全實驗平臺開發與應用[J]．武漢大學學報：理學版，2012．

[3]賀惠萍，榮彥，張蘭．虛擬機軟件在網絡安全教學中的應用[J]．實驗技術與管理，2011．

[4]VMware虛擬機三種網絡模式詳解[EB/OL]．http：//blog．csdn．net/noob_f/article/details/51099040/， 2016．

[5]曾剛．GNS3在網絡安全實踐教學中的應用[J]．網絡安全技術與應用，2014．

[6]王鳳娥，溫高磊，霍杰標．基于Vmware與GNS3網絡仿真環境的搭建[J]．科技視界，2015．

[7]龍艷軍，歐陽建權，俞佳曦．基于GNS3和VMware的虛擬網絡系統集成實驗室研究[J]．實驗技術與管理，2013．

[8]顧春峰，李偉斌，蘭秀風．基于VMware、GNS3實現虛擬網絡實驗室[J]．實驗室研究與探索，2012．

安徽省教學研究項目(2016mooc126)；安徽省自然科學基金重點項目（KJ2016A159）。