網絡安全攻防訓練平臺設計與實現

馬 麗

(31682部隊,甘肅 蘭州 730000)

網絡安全攻防訓練平臺設計與實現

馬 麗

(31682部隊,甘肅 蘭州 730000)

隨著因特網的廣泛應用,信息網絡安全問題日益突出,如何培養計算機網絡安全人才已成為當務之急.針對目前構建計算機網絡攻防訓練環境成本高、管理難、對實際網絡設備影響大以及使用仿真軟件訓練缺乏系統性等問題,文章借助虛擬化技術,采用B/S架構設計并實現一種集攻擊、防護訓練及學習功能于一體的網絡安全攻防訓練平臺.

網絡安全;攻防訓練;平臺設計

近年來,隨著計算機網絡和信息系統應用加速,各類信息安全和網絡攻擊事件時有發生,防不勝防,并且逐步滲透到國家安全、經濟發展、人民生活的各個領域,使得當今社會對信息安全人才的需求日益緊迫和突出.目前開展網絡攻防訓練存在以下幾個制約因素:(1)構建真實的物理平臺需要優質的物理設備和復雜的實現環境,費用昂貴、模擬規模有限且設備更新換代較慢,不利于對最新網絡安全技術的學習和掌握.(2)網絡攻防實驗一般對網絡設備具有破壞性,在真實的網絡中開展攻防實驗管理難度大,訓練風險高[1].(3)采用OPNET和NS2等網絡安全仿真軟件存在仿真對象單一、平臺制約多、缺乏系統性等問題.

本文借助虛擬化技術,采用B/S架構設計并實現一種集攻擊、防護訓練及學習功能于一體的網絡安全攻防訓練平臺.該平臺充分利用現有的設備和網絡基礎設施環境,設備資源利用率高、組建靈活,可擴展性強,利于系統地開展網絡攻防訓練.

1 平臺架構及功能設計

1.1 平臺系統架構

平臺分為物理資源層、虛擬化層和用戶管理層3個層次:(1)物理資源層主要包括物理計算機、服務器、存儲設備及網絡等.(2)虛擬化層是攻防訓練平臺的底層核心,將互聯的物理計算機和存儲設備虛擬化為由內存、顯卡、磁盤和CPU組成的網絡資源池,通過虛擬化可在資源池上運行多個共享資源虛擬機,以實現不同應用.(3)用戶管理層是攻防訓練平臺的應用核心,主要包括靶場中心、工具臺、實訓中心、管理控制中心4個功能模塊,用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓練平臺進行攻防訓練.

1.2 平臺功能設計

(1)實訓中心以課程為向導,分為攻擊和防護兩大方面,區分具體類別提供配套電子實驗指導書、知識庫、漏洞庫等,供參訓人員自主選擇學習.(2)工具臺集合了訓練中所用到的各種攻擊防御工具,按不同的類別進行分類,用戶訓練時可通過Web網頁下載工具臺當中的工具供訓練使用.(3)靶場中心是靶機的集合,為網絡攻防訓練提供目標和環境.靶機(Targets Hosts)上預置了存在安全漏洞的網站、應用程序或是操作系統等,攻擊者可以通過查找漏洞進行相應的攻擊訓練,防護者通過修復漏洞練習網絡防護技巧.(4)管理控制臺主要包括監控管理和系統維護兩個方面的功能.

監控管理可根據定義好的規則過濾網卡的流量,從而通過抓取正在訓練的虛擬機的流量包,對整個平臺正在訓練的虛擬機進行監控,并采集大量真實的數據信息用于后續分析.

對網絡攻防訓練平臺的系統維護可以分為基本維護管理和高級維護管理兩類.基本維護管理主要是對平臺門戶網站的維護,包括網站內容更新、欄目管理、工具臺列表更新等日常維護.高級維護管理主要是指對攻防訓練平臺基礎結構進行調整,包括添加新服務器對虛擬資源池進行擴展,部署新的工具臺虛擬主機(Tools Hosts),在工具臺中添加新的攻擊工具,根據新發現的漏洞建立相應的靶機環境,以及為現有工具臺、靶機調整虛擬硬件資源等.

2 系統實現

2.1 虛擬化解決方案

虛擬化是一個簡化管理、優化資源的解決方案,通過虛擬化可以把有限的固定資源根據不同需求重新規劃,以達到最大利用率.綜合考慮適用性及軟件成本,筆者采用VMware公司的基于vSphere的服務器虛擬化解決方案[2].vSphere可提供包括計算、存儲、網絡的基礎架構服務以及包括可用性、安全性、可擴展性的應用程序服務[3].在本平臺中使用了vSphere的VMware ESXi,VMware vSphere Client和VMware vCenter Server功能組件,如圖1所示.

VMware ESXi是VMware vSphere的核心組件,安裝好ESXi的服務器稱之為ESXi主機.ESXi從內核級支持硬件虛擬化,提供強健的、高性能虛擬化層,允許在ESXi主機上創建的多個虛擬機共享硬件資源.VMware vCenter Server是VMware vSphere的ESXi主機和虛擬機集中管理組件[4],能使用標準化模板在ESXi主機上快速部署虛擬機,并對其提供集中化管理、配置和性能監控.VMware VSphere Client是VMware vSphere的管理端,可以用來遠程登錄并管理VMware vCenter Server服務器.本平臺中可以通過vSphere Client遠程連接控制單臺ESXi主機,也可以通過vSphere Client 登錄VMware vCenter Server,集中管理多臺ESXi主機及其上的虛擬機.

圖1 網絡攻防訓練平臺vSphere虛擬化解決方案示意

為了保證網絡安全攻防訓練平臺的性能,我們使用vSphere HA(高可用)技術,當服務器集群中硬件失效時,實現虛擬服務器自動在集群中另一個主機上重啟.使用VSphere DRS(分布式資源管理)技術,在不同ESXi主機間進行虛擬機的遷移,從而自動平衡ESXi集群的負載,并且可根據資源分配策略,設置虛擬機優先級和限制虛擬機資源使用等,對集群范圍內的資源進行分配,從而提升平臺的整體性能[5].

2.2 工具臺

工具臺用于存放攻防訓練平臺的常用攻防工具,創建工具臺的過程如圖2所示,共分4步.(1)通過VMware vCenter Server新建虛擬機;(2)在虛擬機中,安裝攻防工具包,并對其可用性、穩定性等基本情況進行測試;(3)在完成攻防工具的安裝部署后,更新平臺網站的攻防工具列表使其可以通過網頁被調用,攻防工具列表以csv格式存儲,使用DMcsvEditor工具進行編輯;(4)在平臺網站中添加新的頁面鏈接,使用戶可以調用攻防工具.

2.3 靶場中心

靶場中心為網絡攻防訓練提供目標和環境,首先通過VMware vCenter Server新建虛擬機作為靶機,然后在靶機中安裝存在漏洞的操作系統、應用程序或是部署存在漏洞的網站等,在部署完成后更新平臺網站的靶機鏈接,使用戶可以通過平臺網站直接獲取靶機的信息進行攻擊和防護,也可以通過平臺提供的工具間接對靶機進行攻擊和防護.

圖2 工具臺創建過程示意

2.4 實訓中心

實訓中心以課程為向導,分為攻擊和防護兩大方面.攻擊方面從"按攻擊方法"和"按攻擊對象"兩個維度將全部課程分類,課程按照攻擊方法可分為"信息收集""木馬病毒""密碼破解""網絡欺騙""溢出攻擊""DOS攻擊""逆向工程"等類別;按照攻擊對象可分為"操作系統""應用平臺""交換機""防火墻""VPN"等類別,并提供配套電子實驗指導書.防護方面包括防火墻、入侵檢測系統、路由器、交換機的配置應用訓練,以及網絡安全知識庫,共享漏洞庫.網絡安全知識庫主要是以文字的形式提供網絡安全防護基本概念和常用的防護手段等.共享漏洞庫主要是用于實時更新、發布各類已知的共享漏洞,并提供各類漏洞的解決方案,以便用戶了解最新漏洞并盡快對其修補.

2.5 部署方式

平臺采用B/S架構,創建平臺門戶網站,用戶不僅可以在局域網內實訓,也可以通過互聯網使用瀏覽器對平臺進行遠端訪問和操作.本平臺打破訓練模式的局限,可實現用戶隨時隨地參與線上訓練.

3 結語

網絡安全攻防平臺的實現降低了網絡攻防實驗對物理設備和實際網絡環境的破壞性,減少訓練成本的投入,且能夠通過因特網實現線上訓練,滿足不同層次人員對網絡攻擊、防御過程及細節學習和訓練的需求,具有較大實用價值.

[1]張力,周漢清.基于云計算技術的網絡安全攻防實驗平臺設計[J].軟件導刊,2015(9):188-191.

[2]底曉強,張宇昕,趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].2015(4):147-151.

[3]VMware中國網站.vSphere產品[EB/OL].(2014-09-25)[2017-10-15].http://www.vmware.com/cn/products/ vsphere/.

[4]黃曉芳.網絡攻防實驗平臺開發與實現[J].實驗技術與管理,2017(5):73-76.

[5]姚煒.網絡攻防模擬平臺的設計與實現[J].科研,2016(10):33-35.

Design and implementation of network security attack and defense training platform

Ma Li
(31682 Force, Lanzhou 730000, China)

With the wide application of the Internet, information network security is becoming increasingly prominent. How to cultivate the talents of computer network security has become a pressing matter of the moment. Aiming at the problems of current construction of computer network attack and defense training environment of high cost, difficult management and great influence on the actual network equipment and lack of systematic the use of simulation software training. With the help of virtualization technology, this paper designs and implements a network security attack and defense training platform which has attack and protection training and learning functions adopting B/S structure.

network security; attack and defense training; platform design

馬麗(1986- ),女,河南焦作人,助理工程師,碩士;研究方向:計算機網絡安全.