基于云計算平臺的網絡安全實驗教學建設

陳澤紅

摘要：實驗教學是計算機網絡安全課程教學的重要組成部分，當前的實驗教學系統和方案，存在方案陳舊、形式單一等問題。文章從教學平臺、教學內容和教學管理方法探索計算機網絡安全課程建設方案。提出基于云計算平臺技術，構建一套高靈活性和高擴展性實驗教學平臺的方案;改進教學管理方法，以實現項目的開放共享，過程的量化考核;建設知識結構合理、模式多樣化的實驗教學內容，培養學生綜合實踐能力、團隊協作和探究精神。

關鍵詞：網絡安全課程;實驗平臺;實踐教學;虛擬仿真

中圖分類號：G642 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）02-0040-02

1 引言

計算機網絡安全作為一門綜合性課程，理論性強，涉及知識面廣，涵蓋通信技術、計算機科學、密碼學等多個學科。計算機網絡安全課程除開展課堂理論教學外，還應結合系統的實驗教學，使學生可以將離散的理論知識靈活地運用到實際網絡安全案例中。當前，云計算和虛擬仿真等技術已廣泛應用于工業生產、科學研究、生活服務等領域中，對于高校來說，實驗教學也必然迎來變革，實驗環境的虛擬化、實驗終端多樣化已成趨勢[1]。本文面向應用型高校人才培養，提出以云計算平臺為基礎建設實驗教學平臺，制定由淺入深漸進式計算機網絡安全課程教學方案。

2 網絡安全實驗教學存在的問題

實驗教學內容與方式不適應當前的教學要求。以廈門理工學院為例，開設的網絡安全實驗項目，仍有相當部分集中在基礎知識、原理的驗證，停留于幫助學生掌握知識點的層面，缺少分析、設計等綜合性實驗。依然有教師習慣于將實驗步驟寫入指導書，學生根據實驗指導書的步驟進行驗證，這種實驗教學方式導致學生在實驗過程中缺乏獨立探究的精神。另外，普遍存在老師只靠學生上交的實驗報告進行評價考核，此方式評價依據來源單一，評價結果主觀性強，無法反映學生實驗過程的表現[2]。

部分實驗設備陳舊、方案過時。以廈門理工學院網絡安全實驗室一期項目為例，建成至今已使用近十年，采用分組機架的方案，每組包含路由器、防火墻、IDS和安全審計系統等網絡安全設備。在建設升級前，不少設備由于年久老化，設備故障頻發，常出現學生開展實驗受影響的情況。實驗室的網絡安全設備種類繁多，不同班級與實驗項目對設備的初始配置有不同的需求，為此每次課前的準備給實驗人員帶來了大量重復且低效的維護工作量。實體的實驗設備，投資大，更新周期慢，面對日新月異的技術，存在一定的滯后。傳統的實驗設備只能在實驗室內開展實驗，不支持遠程訪問。

3 實驗教學平臺的設計

云計算技術具備高效、靈活、高可擴展性、網絡化等優勢，云計算技術構建的實驗平臺具備建設成本低，管理方便，資源利用率高等優點。

KVM是開源的基于Linux內核的虛擬化技術，鑒于其應用廣泛，擁有大量成熟API，開發成本低，本平臺選擇其作為底層的資源虛擬化技術。OpenStack是開源云平臺架構，活躍度高，成功案例多，方便開發定制，支持彈性擴展，因此，選擇OpenStack搭建云平臺。

平臺采用分層結構設計，上層使用下層提供的服務，下層由上層進行控制，從下往上分別抽象為虛擬資源管理層、云計算平臺層和實驗應用層[3-4]。支撐平臺的運行的底層基礎是硬件資源，主要包括管理節點服務器、計算節點服務器和網絡互聯設備等。

虛擬資源管理層基于KVM技術實現資源的虛擬化。KVM作為Linux內核中的虛擬化管理程序模塊，支持硬件輔助虛擬化技術，其虛擬機是以普通進程的方式運行于Linux，接受Linux進程調度策略的統一管理。KVM的內核模塊實現了CPU、內存的底層虛擬化，與I/O 處理相關的設備虛擬化借助QEMU模塊實現。KVM支持X86架構的Intel VT-x與AMD-V硬件虛擬化技術，對硬件適應性強，同時KVM支持的虛擬機操作系統比較全面，能滿足實驗對虛擬主機的要求。

云計算平臺層主要由OpenStack相關服務組件構成，負責虛擬機、存儲和網絡等資源管理，應用層的程序從OpenStack獲取所需的資源。其中，Nova組件管理虛擬機實例及其相關資源的調配，Swift組件負責存儲管理，Neutron組件提供SDN網絡功能。云計算平臺層與虛擬資源管理層間的通信，即KVM Hypervisor 與OpenStack API 連接由Libvirt組件實現，由下向上提供一個屏蔽細節的統一接口。OpenStack的Neutron網絡服務組件，用軟件的方式構建虛擬網絡，網絡環境具備較高的真實性，能全面滿足實驗要求。基于OpenStack云計算架構，可以通過鏡像克隆技術，并行開展多實驗場景，場景間有效隔離，互不干擾。

實驗應用層為Web GUI管理平臺，是用戶操作界面，實現OpenStack資源的使用與管理。實驗應用層在虛擬化管理基礎上，還實現了用戶管理、課程管理和考核管理等功能，主要包括開課管理、實驗庫的編排與維護、實驗過程監控、實驗過程指導、實驗考核管理。

借助虛擬化技術，實驗平臺可以靈活部署虛擬的Web服務器、數據庫服務器、郵件服務器、域名服務器等廣泛應用的系統，構建還原度高、實戰性強的實驗場景。

4 實驗教學內容的建設

為符合新的教學大綱與課程標準，并使實驗教學內容與平臺相適應，本文從實驗類型劃分和實驗內容編排兩方面進行規劃，建設層次合理、邏輯結構有序的網絡安全實驗教學內容。

科學分類，層次遞進，根據時間方式將實驗分為個人在線實驗、團隊協作實驗、項目實訓、競賽對抗等四類。個人在線實驗由個人配合課堂理論教學，在理論課堂或課后進行線上的基礎驗證型實驗，通過實踐操作幫助學生鞏固對課堂教授相關知識點的理解，培養學生的動手能力。團隊協作實驗是在實驗課中或者線上組隊形式協作完成綜合型、設計型實驗，培養學生分析問題、解決問題能力，建立團隊協作精神。項目實訓是集中一到兩周時間完成整個綜合項目的課程設計，或單獨編排教學計劃的工程實訓實驗，學生根據項目提出的任務目標，充分交流協作，最終解決問題，鍛煉工程實踐能力。競賽對抗為選修實驗，利用云計算平臺系統易于擴展、支持遠程訪問的優勢，幫助有興趣或學有余力的學生創新提高[5]。

優化實驗教學內容編排，在虛擬化實驗教學平臺上建設符合教學大綱和課程標準的實驗項目，項目的設置遵循邏輯結構有序的原則，由演示過渡到應用，進而逐步提高到設計的過程。第一階段，主要實驗內容為網絡基礎和加密技術，幫助學生掌握網絡安全的基本概念;第二階段，主要介紹各類安全技術，包括操作網絡安全、系統安全以及Web應用系統安全;第三階段，學習攻擊與防御技術，包括漏洞掃描、滲透測試以及各種防火墻、入侵檢測等防御技術;最后是綜合實踐階段，融合各個專項安全技術，實現網絡安全的整體解決方案，促使學生建立起對網絡安全體系架構的認識;此外，開放研究開發型的實驗，由老師或者學生根據科研項目或實際需求制定有一定難度和復雜度的實驗，形成一定方案，在老師的指導和學生的探索中達到創新的高度。

5 實驗教學管理方法的優化

平臺接入校園網絡，為學生實訓提供強有力的保障，實現全天候、個性定制化、規模化協同實驗。基于云計算平臺開展實驗教學管理，利用平臺強大的數據存儲、處理能力及虛擬化管理方面的優勢，實現實驗過程動態的記錄、實驗結果測評的反饋、實驗報告在線生成以及師生在線交互等功能。另外，通過平臺監測模塊分析優化來驗證實驗教學改革的過程及效果。

網絡安全課程體系中對實驗技能有較高的要求，因此加大課程考核中實驗成績的占比。針對實驗的特點，設計詳細的實驗成果考核表，在分值指標中以量化的形式，體現操作過程規范、實驗工作量和難度。

6 結語

實驗教學是計算機網絡安全課程教學的重要一環， 完善的實驗教學方案，靈活的虛擬仿真實驗平臺，行之有效的教學管理方法是構建完整教學體系的保障。

基于云計算平臺技術構建虛擬化實驗教學平臺，結合了場景逼真、擴展性強、靈活快捷、流程完整等特點，為實驗開展和教學管理提供有力支撐。平臺的靈活性和擴展性為實驗教學內容緊密結合行業發展提供了條件，縮短了實驗教學和工程實踐的距離。實驗教學內容結構合理、邏輯有序，實驗模式多樣化、層次化，有利于學生提高計算機網絡安全的實踐能力，激發學習潛能，培養創新能力和團隊協作能力。

參考文獻：

[1] 李平，毛昌杰，徐進.開展國家級虛擬仿真實驗教學中心建設提高高校實驗教學信息化水平[J].實驗室研究與探索，2013，32（11）：5-8.

[2] 郭慶，海鶯，趙中華，等.基于創新實踐能力培養的實驗教學考核模式改革探索[J].實驗室研究與探索，2017，36（7）：175-177.

[3] 曾小英.基于虛擬化技術的網絡安全實驗平臺設計[J].信息技術與信息化，2020（3）：103-105.

[4] 廉龍穎，王希斌，劉文強，等.基于OpenStack的網絡安全實驗平臺[J].教學研究，2015，38（2）：95-99.

[5] 陳禮青，步山岳.計算機網絡安全課程實驗教學研究與實踐[J].中國電力教育，2014（33）：108-109，115.

【通聯編輯：王力】

2244500511356