基于OpenStack的高校網絡攻防平臺設計

黃華東

（廣西國際商務職業技術學院 廣西壯族自治區南寧市 530007）

1 引言

隨著互聯網信息化技術的不斷創新發展，網絡已成為各行業領域高質量發展的關鍵所在，社會發展對網絡的依賴同樣也促進了網絡信息化技術的高速發展，但是在實踐過程中會出現不同程度的安全問題。現階段，國內大部分高校相繼開設了計算機網絡安全及相關專業課程，具有很強的專業性和實效性，因此，在進行網絡安全實驗教學過程中會面臨諸多瓶頸因素，譬如：網絡攻防實驗平臺的構建需以優質的基礎設備作為保障，網絡攻防實驗平臺的實現建立在復雜的網絡環境之上[1]。目前，網絡攻防實驗平臺設計受多方面因素的制約，比如經費、場地等，加之其本身實驗具有較高的損壞性，致使網絡攻防平臺的硬件環境的構建存在諸多問題。與此同時，在教學過程中，網絡安全實驗管理相對較為困難，若在操作過程中出現操作不當就會產生一定的負面影響，甚至觸犯法律。因此，針對以上存在的瓶頸因素和不確定問題，為了最大程度上滿足高校網絡安全教學的多元化需求，幫助學生群體建立高效的專業技能和實操水平，需構建科學合理的高校網絡攻防實驗虛擬平臺。

基于此，本文以OpenStack的云計算網絡技術，在信息化時代的網絡環境搭建高校網絡攻防平臺，最大程度上打破以往的實驗實訓平臺無法實時在線、安全隔離及實驗人數受限等諸多問題，并以此契機，搭建設計在OpenStack視角下的高校網絡攻防平臺，從而全面幫助高校師生群體有效完成網絡攻防實驗、實測及安全工具的學習。

2 0penstack技術的基本概述

所謂“Openstack技術”，本質上與KVM類似均屬于開源式的一種程序，不同在于，Openstack技術屬于開源的計算機云計算系統范疇，而KVM更加凸顯了開源的網絡環境解決方案[2]。目前，Openstack作為很多對象聯合推出的云計算項目，結合實際環境，可實現在不同網絡環境下用戶群體自行搭建虛擬的數據網絡環境。一般情況下，Openstack在高校網絡攻防平臺設計中主要由5個模塊組成，即：計算機服務對象、對象儲存傳輸、鏡像服務、注冊登錄認證服務及平臺控制系統等。以上五個模塊相互銜接合作，但又作為獨立模塊相互不干涉，在此基礎上，共同支撐0penstack技術，從而為用戶提供信息服務。

圖1：網絡攻防平臺邏輯拓撲結構示意圖

圖2：網絡攻防平臺節點設計

3 構建高校網絡攻防實驗平臺的必要性

現階段，隨著計算機信息化技術的不斷普及應用，在各行業領域取得顯著成效的同時，也會給社會群體的日常交流帶來一定的危害性，比如黑客的攻擊導致用戶數據大面積泄露、計算機病毒入侵數據系統和程序。目前，社會群體在充分利用計算機網絡的同時也在積極探索如何正確使用網絡，經過專業技術人員的長期探索，普遍認為：要保障用戶網絡安全，必須構建高效的網絡攻防平臺。反其道而行，網絡攻防實驗平臺設計原理主要是根據黑客、病毒的入侵方式對網絡程序環境進行深入式的測試，歸根結底就是尋找網絡中的漏洞，并采取有效措施進行修復，切實保證用戶的網絡安全[3]。

從高校網絡攻防實驗平臺角度出發，Openstack作為云計算一種開源式的計算方式，具有靈活多變、有效管理、降低成本等顯著特征。隨著計算機網絡系統的逐漸成熟和開源軟件的普遍應用（免費提供），使得高校網絡攻防實驗平臺在資金投入受限的情況下，能利用Openstack技術搭建實驗平臺，從而保證其提供數據信息的安全性和服務質量的有效控制。

4 高校計算機網絡攻防實驗教學的現狀分析

現階段，“互聯網+教育”戰略不斷持續深入，其中互聯網網絡安全問題愈發凸顯，這也是新時期推動這一戰略落地生根亟需解決的突出問題。可顯而易見的發現，當前網絡技術的興起全面推動了互聯網行業的高質量發展，但網絡安全問題頻繁發生，安全問題從本質上未能根治。與此同時，除計算機病毒、系統漏洞等常規攻擊行為方式外，還包括互聯網、物聯網及終端設備等惡意程序攻擊、設備蠕蟲也多次出現，網絡安全問題遲遲得不到解決。目前，我國對于網絡安全人才的需求與日俱增，高等院校的網絡安全教學相對處于探索階段，高校網絡攻防實驗教學方面存在不足、資金投入不夠、硬軟件設施基礎條件匱乏、網絡環境差等諸多瓶頸因素，嚴重制約著高校網絡攻防實驗教學進程[4]。

（1）傳統的高校網絡攻防實驗項目大部分為驗證性質，無法及時更新數據，教學實驗環境無法得到有效保證。同時由于網絡安全實驗的形式、功能、流程等方面的固化，使得學生專業技術實踐能力的提升有限，加之實驗教學過程中各種不確定因素頻發，學生群體很難在實驗教學過程中全面掌握網絡安全攻防的相關技術。因此，若想設計高校網絡攻防平臺，須滿足學生實訓操作的多元化需求，同時也要滿足學生在網絡安全方面的專業素質和知識，使得高校網絡攻防實驗平臺成為網絡可持續發展的實訓基地，切實培養高校學生群體在網絡攻防領域的專業技能。

（2）一般情況下，以往的網絡攻防實驗平臺設計需要配備交換機、防火墻、系統漏洞補丁等相關設備，且配套設備費用較高。從高校網絡攻防實驗教學過程中存在問題的多樣性和投入資金不足等制約條件出發，諸多高校嘗試基于云計算和網絡虛擬化安全基礎設備、攻防實驗項目等內容開發設計了符合實際應用的網絡攻防平臺，進而有效改善了高等院校網絡安全的實驗性教學。從某種程度上講，高校網絡攻防平臺設計總體上分為軟件建設和硬件建設兩個主要部分，其中網絡攻防實驗平臺是實驗室建設的核心。

（3）隨著大數據、云計算等智能化手段不斷融入高校網絡攻防平臺設計中，通過虛擬化管理調度為網絡安全領域生產較為有效的實驗操作環節，最大限度上確保學生群體能夠進行網絡安全實訓和網絡攻防實驗操作，使得學生能夠扎掌握網絡攻防相關專業知識和實踐技能，

5 基于openstack的高校網絡攻防平臺設計

考慮到Openstack屬于開放源碼，且具有很強的社會網絡開放模式，在綜合考慮性價比、二次開放時的難易程度、網絡環境、成本控制等諸多方面因素，基于Openstack視角下高校網絡攻防平臺的搭建迫在眉睫[5]。

5.1 平臺功能分析

網絡安全問題一直是研究的重點，如何進一步深入研究網絡攻防技術是當前專業技術人員急需解決的突出問題。從專業技術層面進行分析，網絡信息化技術不斷更新迭代，在新時期全新的網絡攻擊方式出現時，應多措并舉，及時應對網絡攻擊帶來的嚴峻考驗。從實驗教學角度出發，基于Openstack的高校網絡攻防平臺設計能夠最大程度上避免諸多因素造成實驗環境的破壞，其主要優勢主要集中在能夠快速創建數字化、智能化、自動化的實驗環境，具有很強的擴展性，能夠將全新的網絡攻擊模塊添加至網絡安全實驗教學全過程。其次，通過在高校網絡攻防平臺中接入集群和靶場集群，順利完成認證服務、VPN服務、儲存服務及監控服務，在此基礎上，切實幫助學生群體完成網絡攻防學習。

5.2 平臺架構分析

5.2.1 平臺邏輯拓撲設計

本網絡攻防平臺設計主要結合其實驗教學的特征，根據滿足校內網絡用戶也滿足校外網絡用戶兼具使用的基本原則進行設計，具體的邏輯撲拓設計建圖1。校內網絡用戶可直接通過計算機主機對靶向目標主機實施攻擊和防御；校外網絡用戶需通過認證后直接接入集群主機對靶向目標主機實施攻擊和防御，網絡管理員可通過認證服務后或外網通過VPN服務進入后進行平臺管理操作。

本平臺的設計主要是根據單獨模塊化設計思路，結合Openstack技術的顯著優勢。根據Openstack計算服務達成高校網絡攻防平臺中接入集群和靶場集群的構建（主要利用Nova），根據Openstack計算儲存服務實現情景場景搭建和對應的儲存服務功能（主要利用Swift）；根據Openstack計算鏡像服務實現網絡攻防平臺中場景的自由切換（主要利用Glance）。

5.2.2 平臺邏輯拓撲設計

本網絡攻防平臺擬計劃滿足60個接入功能，主要分為攻擊組和防御組各30個接入主機和30個靶場主機，需說明每一個防御者和攻擊者共同使用一個靶場主機，在實踐過程中，結合儲存要求，本平臺專門設置模塊化的儲存服務器，一般情況下主要采取共享式服務器（本地硬盤）。主要從管理服務器、控制服務器、計算機服務器、三層交換機、安裝軟件、實驗場景等六個方面進行設計。

其中管理服務器建議選用I5/DDR3 1600MHz 8G/500G Server；控制服務器建議選擇ThinkServer RD630 Xeon E5-2609/1.8GHz (4core)*2 /DDR3 1600MHz 8G/SAS 300G；計算機服務器建議選擇ThinkServer RD640 Xeon E5- 2620/2.1GHz(6core) *2/ DDR3 1600MHz 256G/SAS 4T；三層交換機建議選擇1H3C千兆三層交換機及控制線纜；安裝軟件建議選擇開源軟件MirantisOpenStack-5.1.1；實訓場景搭建建議選擇基于FTP服務器緩沖溢出入侵及防御實驗。

5.2.3 控制節點設計

基于Openstack技術的高校網絡攻防平臺的設計本質上能夠達到成本低及快速部署的目的。本平臺的控制節點設計主要有三部分組成，具體為：控制節點、計算節點和儲存節點。其中控制節點是設計本平臺的中樞核心功能[6]，主要目的是收集網絡攻防過程中計算節點中的數據信息資源、資源分配及管理網絡，與此同時，對虛擬機實例質量周期內進行科學有效控制，對接入集群和靶場集群等模塊相應的服務功能數據信息進行儲存，在此基礎上，還能實現快速備份文件的儲存。計算節點是本網絡攻防平臺實現的基礎性節點，主要有物理設備構建，起在虛擬攻防實驗過程中對靶向目標數據進行分析，為網絡安全問題提供針對性服務。計算機儲存節點主要目的就是儲存平臺的相關信息數據，比如接入集群和靶場集群對應完成認證服務、VPN服務、儲存服務及監控服務相應的數據，其為可選部分，比如無法實現實際的環境，通過控制節點實現存儲，具體見圖2。

6 網絡攻防平臺的實現

本網絡攻防平臺在向校內外用戶提供數據服務時，通常是利用基于Openstack技術的服務器實現，主要步驟是：登錄、驗證、管理控制、創建虛擬攻防驗證主機、構建實驗環境等步驟。主要采取DDos攻擊方式和遠程控制攻擊方式。對于其能夠將不同計算機主機進行聯合攻擊多個靶向目標，這種方式會占據寬帶通道，從而導致系統的崩潰。對于遠程控制攻擊方式而言，主要通過植入木馬程序對計算機信息及系統進行攻擊。需說明這兩種方式均需要虛擬攻防實驗主機。

7 結語

綜上所述，基于OpenStack技術的網絡攻防平臺的建設主要是針對現階段網絡環境中一些安全問題。此平臺的設計課順利完成端口接入、數據輸入及儲存、操作系統入侵等攻擊方式的實驗測試。因此，在OpenStack技術視角下的網絡攻防平臺的搭建主要目的就是降低網絡攻防實驗過程中附加成本，最大程度上降低網絡安全問題的出現。同時，本平臺的設計還能滿足不同網絡安全實驗多元化需求，具有安全及真實的特點。