基于虛擬化技術的網絡攻防實驗環境構建研究①

陳棟偉 李燕 李光 楊林

(1.66018部隊 天津 300380;2.石家莊學院 河北石家莊 050035)

網絡攻防環境是組織網絡空間安全相關的實驗、訓練、測試等活動重要物質基礎，真實、復雜的網絡攻防環境對提高從業人員的網絡攻擊和網絡防御水平，具有十分重要的作用。在缺少公共網絡靶場環境的情況下，如何立足現有條件，通過較少投入構建符合要求的網絡攻防小規模適用性環境，一直是亟需解決的問題。

利用真實物理設備構建網絡攻防環境，如設備數量過少，實現場景有限，無法真實模擬實際網絡環境；設備數量多則需要投入大量費用，設備利用率不高，難以實現不同網絡攻防環境的靈活切換，還有可能引起設備的物理損壞[1]。若使用互聯網環境進行網絡空間安全相關的相關活動，一方面滿足實驗要求的目標網絡難以尋找，另一方面直接在互聯網上進行網絡攻擊測試與實驗，會對目標網絡造成一定危害且容易涉及法律問題。

因此，本文提出一種運用虛擬化技術，以現有設備和已有計算機網絡為基礎，通過少量投入即可構建出的小規模網絡攻防環境的構建方法，可提供網絡仿真、靶場環境模擬、漏洞庫管理、攻防工具管理等功能。

1 運用的主要技術

隨著計算機虛擬化技術的不斷創新和發展，近年來出現了多種不同的虛擬化技術，從應用的角度講，主要有服務器虛擬化、網絡虛擬化、主機虛擬化和應用虛擬化等多個方面。

在虛擬軟件方面，主要有VMware、Hyper-V、KVM、XenServer等多種虛擬軟件，通過橫向對比，VMware系列軟件具有更強大的功能和明顯的易用性，豐富的功能和組件完全可以滿足系統構建需要[2]。其VMware vSphere產品與VMware WorkStation產品之間可以很方便的實現交互和遷移，高版本WorkStation甚至可以直接連接到vSphere，保證了整個環境構設的兼容性和一致性[3]。在虛擬網絡方面，可以采取在VMware中運行軟路由來的方式來構建虛擬化路由的方式實現，例如使用vSphere Standard switch和Distributed Switch功能，在VMware vSphere Client中建立虛擬交換機。在虛擬主機方面，可以運用VMware WorkStation來虛擬各種類型、各種操作系統的主機，能夠最大化模擬真實的網絡情況，提供逼真的網絡攻防環境[4]。

2 總體架構

在確定網絡攻防實驗環境構建的主要技術路線后，即可對系統進行規劃和設計，主要包括網絡攻防實驗環境的總體功能設計和總體結構設計。

2.1 總體功能設計

網絡攻防實驗環境主要實現以下功能：攻防實驗主機環境和網絡環境，漏洞、補丁庫，網絡攻擊和網絡防護工具庫，網絡安全知識庫等4項內容。攻防實驗環境主要實現在一個可控的網絡環境中對復雜網絡環境的模擬，盡可能包含主流操作系統和服務漏洞，并能夠進行靈活轉換。漏洞和補丁庫主要實現典型Web應用安全漏洞以及相對應的漏洞防護補丁的搜集、整理和入庫；網絡攻擊和網絡防護工具庫主要提供主流網絡攻防軟件和工具，用于攻防演練中供演練人員選用；網絡安全知識庫主要是將網絡攻防教學資料和視頻、技術文檔、滲透測試報告、漏洞分析報告等網絡攻防技術資料進行整理和入庫，便于隨時查閱[5]。

2.2 總體結構設計

實驗環境在總體結構上可劃分為基礎設備和虛擬環境兩個主要部分。

基礎設備是部署整個網絡攻防實驗環境的硬件基礎，主要包括服務器、路由器、交換機、防火墻以及必要的基礎網絡設施等。基礎設備既可以按照需求購置新設備，也可以利用符合條件的非關鍵業務的現有局域網絡實施，充分利用現有資源，減少投入。

虛擬環境是通過虛擬化技術，使用相應的虛擬化軟件，對基礎設備中的硬件和軟件資源進行管理和控制，構建出符合要求的網絡攻防目標環境，實現環境構設的目的。虛擬環境主要包括服務器虛擬化、主機虛擬化、主機內部網絡虛擬化以及網絡設備虛擬化。

服務器虛擬化是指可在一臺物理服務器上同時運行多臺虛擬服務器的技術，從用戶的角度來看，這些虛擬服務器與真實的物理服務器是沒有任何區別的，并且可以在多個虛擬服務器上安裝完全不同的操作系統和完全不同的應用軟件，多個虛擬服務器之間數據隔離，互不影響。主機虛擬化和服務器虛擬化基本相同，可在一臺物理主機上安裝和運行多臺不同系統的主機。運用網絡虛擬化技術，可以實現主機內部網絡虛擬化，以及路由器、交換機、防火墻等設備的虛擬化，建立實驗環境所需的網絡拓撲結構，并可以輕松實現對網絡環境以及網絡配置的變更[6]。

3 網絡攻防實驗環境的實現

本環境利用已有局域網絡實現，共設置路由器（華為AR111-S）1臺，防火墻（華為Secospace USG6000）1臺，交換機（華為Qudiway S5700）1臺，交換機（華為S5720-32C-HI-24S）1臺，虛擬主機服務器2臺，存儲服務器1臺，pc機18臺，構建一個小規模的網絡攻防實驗環境。主機服務器為聯想thinkserver TS560，該服務器采用XeonE3-1220 v6 CPU，8GB內存、1TB硬盤的基本配置，由于該服務器作為虛擬服務器配置較低，因此將2臺虛擬主機服務器升級至64GB內存、8TB硬盤。存儲服務器可單獨設置一臺NAS服務器，選用一臺小型服務器或者PC機搭建即可，硬盤容量根據需要進行配置，本環境所采用的存儲服務器為HP ProLiant MicroServer Gen8，該服務器采用Inter Pentium G2020T CPU，升級至16G內存、32TB硬盤。該環境可以滿足10余臺攻擊PC機同時實施網絡攻擊的實驗要求，其配置方式及物理拓撲如圖1所示。

圖1 網絡攻防實驗環境配置方式及物理拓撲

2臺虛擬主機服務器分別安裝VMware ESXi，形成兩臺虛擬主機服務器，在資源管理上，主要利用vSphere中的vCenter對環境中的硬件資源和軟件資源進行管理和調度。在1臺PC機中安裝vSphere Client作為管理PC機，可對虛擬服務器和實體服務器進行監控、調整、創建、遷移等管理操作。存儲服務器可安裝FreeNAS、NAS4Free、Open-E等操作系統，這些操作系統支持Hyper-V和Xen等虛擬技術，并通過VMware認證，可直接在硬件上安裝，也可以在虛擬機中安裝，進行基本配置后，即可作為NAS服務器使用。通過在現有PC機上安裝VMware WorkStation，而后在虛擬機中運行Windows、Linux或Kali等操作系統，作為網絡攻防實驗的攻擊平臺，不會對物理機和原有軟硬件環境產生任何影響[7]。

4 應用優勢

4.1 可大幅節約經費投入

該網絡攻防實驗環境對計算機及網絡硬件要求不高，可完全依托現有辦公局域網絡或機房網絡進行建設，幾乎沒有硬件成本投入。如需要構建的虛擬網絡較為復雜，在攻擊機配置較低的情況下，采用加大內存的方式就可以解決，一般攻擊PC機配置16G內存已經足夠使用。運用該環境構建方法可大幅降低建設成本，基本不影響原有網絡業務和功能，設備利用率明顯提高。

4.2 可構建豐富的目標環境

該環境使用VMware系列軟件作為網絡攻防環境的基礎平臺，支持虛擬包括Windows、Linux、Apple Mac OS、Solaris、FreeBSD等在內的多種類型和版本的操作系統，通過安裝不同時期和版本的操作系統，可基本囊括所有已知操作系統漏洞，并進行有針對性的實驗；在此基礎上可以安裝網絡瀏覽器、數據庫、文字處理等各類應用軟件，進行應用程序漏洞利用實驗；通過安裝軟路由、虛擬交換機的方式，靈活配置網絡環境，進行綜合性網絡攻防練習。為保持復雜性和真實性，還可以安裝honeyd虛擬蜜罐系統、沙箱和入侵監測系統，進一步提高網絡攻防的難度。

4.3 可快速恢復環境狀態

網絡攻防環境構建時，可利用虛擬機的快照功能，建立多個不同的狀態快照，在需要切換狀態或改變環境時，可以利用“恢復到快照”功能，迅速切換到另一狀態。在網絡攻防實驗中，很多實驗操作對計算機系統和網絡系統來說都是具有較大危險性的，某些操作可對磁盤的固件，操作系統的引導區，文件管理功能造成嚴重影響和破壞。采用虛擬化技術則不需要擔心此類問題，可利用虛擬機的快照功能隨時恢復系統。

雖然該系統具備構建快捷、靈活多變、功能強大等特點，但仍然存在缺乏統一管理，缺少檢驗評估等問題。可在此基礎上進行深入開發和研究，使用PHP或其他語言構建Web服務器，建立基于B/S架構的Web可視化平臺，將環境整合成為一個具備用戶管理、實驗管理、工具下載、效果評估等多種功能于一身的統一平臺，進一步提高虛擬化網絡攻防環境的應用功能和使用效益。