基于VM ware的网络安全虚拟实验平台搭建

韩起云，冉维，李静

（重庆教育学院计算机科学系，重庆400067）

0 引言

计算机网络安全技术课程是各大高校正在开设的一门集理论与实践相结合的课程。本课程内容涉及系统安全设置、系统漏洞分析与攻击、系统病毒防范及黑客技术等，不仅要求学生掌握最基本的网络安全方面的基础知识，另外还要进行大量的各种类型的真实网络数据的捕获分析、攻击与反攻击及病毒的实验，这样才能学以致用，解决网络安全维护管理等方面的问题和挑战，以适应当今时代对计算机专业人才的需求。

然而，我院计算机实验室采用硬盘保护还原系统，虽然可以有效防止由于学生误操作或计算机病毒引起的系统崩溃，但是正因为此，网络安全的实践教学无法在计算机实验室来完成。学生只能进行简单的系统配置实验，有些配置需要重启系统才能使用，而重启后系统将还原，学生根本看不到预期的实验结果，这样很难确保教学质量。另外，网络安全实验对系统具有破坏性，一旦破坏了系统，将会带来更大的损失。为此本文提出在机房安装虚拟机软件，搭建一个虚拟的实验环境。该实验环境可以在学校的公共计算机机房平台上无损开展网络安全实验。这样既节省了资金投入，挖掘了设备潜力，又可以缓解实验设备不足的问题，也为学生课内外的自主学习提供可能。

1 VMware概述

虚拟机技术最早是由IBM公司为实现其大型计算机系统的安全共享而提出的，随后，这种技术被成功移植到PC领域。典型的虚拟机系统有IBM公司的基于IBM360／67的VM／370、VMware公司的VMware系列以及Microsoft公司的Virtual PC系列。Microsoft公司的Virtual PC系列功能强大，但其仅支持Microsoft系列操作系统。VMware不但操作方便，而且能够方便的架构异构的操作环境，更能满足教学和实验的要求，所以，这里选用VMware作为我们的虚拟机软件。

VMware是一个虚拟机软件，就是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整的计算机系统。每个虚拟机都具有模拟出来的同物理计算机相同的运行环境，包括硬件层，驱动接口。通过虚拟机软件，可以在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如可以安装操作系统、安装应用程序、访问网络资源等等。运行VMware的平台称为主系统或宿主机，在VMware上运行的系统称为子系统或客户机。从子系统的角度来看，它是一个完整的系统；从主系统的角度来看，每个子系统分别是一个软件应用进程，每个子系统的硬盘就是一个大的文件或者分区。各个子系统都有一个虚拟网卡和相应的网卡驱动。各子系统之间通过虚拟网卡相互通信，如果把子系统的虚拟网卡设置成Bridge方式，各子系统还可通过主系统所在的网络与其他网络上的机器通信，如访问互联网等。由此可见，利用VMware可以让一台机器实现一个局域网的功能，可大大节省硬件设备和物理空间，且管理方便，安全性也高。同时利用VMware还可以虚拟出多种类型的操作系统，如Windows 98／NT／2O00／XP，Solaris，Linux，FreeBSD等，特别适合做网络安全实验。

2 基于VMware的网络安全虚拟实验环境搭建

VMware目前的最新版本是（以下简称VMware7.1），VMware7.1对PC机的配置要求不高，目前的PC机都能安装使用。但是建议采用性能较高的PC机作为宿主机。要完成虚拟实验环境的搭建，需要经过几个步骤来完成，启动VMwareWorkstation软件，建立虚拟机，而后在虚拟机上安装Windows 2003 Server操作系统和Windows XP操作系统，也即是虚拟服务器和虚拟客户机的建立。

2.1 虚拟机的搭建

这里，我们以Windows XP专业版作为虚拟机运行平台，实验用的计算机（以下称为宿主机）配置为：CPU为Pentium4 2.8GHz，内存为512MB，硬盘可用空间20GB。准备VMwareWorkstation 7.1.3的虚拟机软件，然后双击软件包进行安装。然后就可以创建虚拟机了，创建虚拟机的方法主要有两种，一种是利用向导创建虚拟机，另一种是利用已有的虚拟机进行克隆创建。下面简要介绍两种方式的创建步骤。

2.1.1 利用向导创建虚拟机

启动VMwareWorkstation软件。得到如图1所示的界面，然后选择界面的“新建虚拟机”或者“文件”菜单下的“新建”都可以进行虚拟机的创建。然后我们按照提示向导来进行虚拟机的创建即可。在创建的过程中有几个选择项需要大家选择，分别是客户操作系统类型、网络连接类型、虚拟磁盘空间大小等，根据自己的实际情况进行选择，然后就会得到图2所示的界面。

图1 VMware Workstation界面

图2 Windows操作系统的虚拟机

2.1.2 利用克隆方式创建虚拟机

（1）启动VMwareWorkstation软件。

（2）右击侧边栏中已经创建的虚拟机，选择“Clone”命令，启动克隆虚拟机向导。

（3）选择克隆的状态，有“The current state in the virtualmachine”和“An existing snapshot（powered of only）”两种状态选择，单击“Next”按钮。

（4）选择克隆方式，有“Create a linked clone”和“Create a full clone”两种方式。选择后单击“Next”按钮。

（5）单击“Finish”按钮，开始进行虚拟机克隆。

当安装完虚拟机后，接下来就可以进行操作的系统安装了，在虚拟机环境下，通过系统的镜像文件来进行安装，这样的安装方式带来极大的方便，不仅可以省掉大量的光盘，而且可以在没有物理光驱的计算机一样进行安装。安装完成后一般应立即安装“VMware Tools”，这样可以提高虚拟机的显示和网络等性能，并允许用鼠标拖放来实现物理主机操作系统和虚拟操作系统之间或虚拟操作系统与另一虚拟操作系统之间的复制和粘贴操作。

2.2 虚拟网络实验环境的搭建

2.2.1 虚拟机网络设备

虚拟网卡：创建好虚拟机后，虚拟机会默认安装AMD PCNET family PCIEthemet Adapter网卡。一般虚拟机可以安装三块网卡。每块网卡有四种可选网络方式：桥接、仅主机、网络地址转换和自定义。

虚拟交换机：VMware提供了10个虚拟网络设备：Vmnet0－9，这些设备可以充当交换机。VM-net0是对当前默认可用的宿主机物理网卡进行桥接的，VMnet1是在“host－only”模式下使用的，VM-net8是在“NAT”模式下使用的。2.2.2虚拟机的网络连接设置

（1）Bridged（桥接）方式

选择这种方式后，虚拟机自动会加入到Vmnet0交换机中，只要将虚拟机设置为和主机同样网段的IP地址，在真实的网络中，虚拟机就和主机拥有同样的地位虚拟机可以访问真实网络中其他共享资源。因此选择该模式后，应该给虚拟机做好安全措施，并向管理员申请有效的IP地址。

（2）HOST－ONLY（仅主机）方式

选择该方式后，会自动与Vmnet1交换机进行连接，创建与其他网络隔离的独立网络。如果只需要主机和虚拟网络内的虚拟机进行通信而不需要上外网时，可考虑采用这种方式。

（3）NAT（网络地址翻译）方式

如果主机可以连接到外网，但是我们在外网上无法为虚拟机获得一个IP地址。我们可以采用该种模式。

2.2.3 两个虚拟主机的网络设置

两个虚拟主机的网络设置较简单，只要正确配置双方的IP地址和子网掩码即可，即Windows Server 2003虚拟主机的网络设置步骤为：单击“开始”｜“控制面板”命令，双击“网络连接”图标后，双击“本地连接”图标，弹出“本地连接状态”对话框，在此对话框中单击“属性”按钮，弹出“本地连接属性”对话框，然后选择“Internet协议（TCP／IP）”复选框，单击“属性”按钮，然后按照物理主机的方法来设置其IP地址、子网掩码等网络参数。具体如图3、图4所示。

同样的方法，配置Windows XP虚拟主机的IP地址为10.10.10.2，子网掩码为255.255.255.0。

IP地址和子网掩码设置完成后，需验证两个主机是否能够通信。如在命令提示符下Ping对方主机有返回信息，则表示网络设置成功，然后就可以进行网络安全方面的相关实验了。

3 虚拟实验环境的应用

图3 “本地连接属性”对话框图图

图4 “Internet协议（TCP／IP）属性”对话框

本人经过对本院2008级计算机应用专业的网络安全课程的授课，切身体会了虚拟实验环境对网络安全课程教学的重要性，几乎所有的实训课都是在虚拟机的网络环境中实现的，同学们对虚拟技术也有了较深刻的认识，下面就以上课过程中所做的两个实训来加以说明虚拟实验环境的使用情况。

实例1：Web和FTP服务器的设置实验

实验目的：（1）熟悉IIS的安装；（2）掌握Web服务器和FTP服务器的配置方法。

实验步骤：

（1）启动虚拟机；

（2）设置客户机的IP地址；

（3）在Windows Server 2003虚拟机上安装IIS，注意在IIS中选择FTP服务一起安装；

（4）在管理工具中启动IIS管理器，配置默认Web服务器及默认FTP服务器；

（5）在物理主机上访问上一步配置好的Web服务器和默认FTP服务器。

实例2：远程访问服务器及VPN的架设

有关VPN的实验，在没有硬件设备的支持下，如果没有虚拟的实验环境学生是无法完成这个实验的，而且这个实验对同学们来说又是比较重要而且实用的一个实验，因此这里虚拟实验环境的功能得到了最好的应用。

实验目的：（1）掌握在客户端配置远程访问服务器的方法；（2）掌握在服务器端配置允许用户远程访问的方法；（3）掌握在客户端尽量VPN拨号连接的方法。

实验步骤：

（1）启动虚拟机；

（2）架设远程访问服务器，也即是对Windows Server 2003虚拟机的配置。

（3）在Windows Server 2003虚拟机上给予用户远程访问的权限；

（4）客户端的设置，也即是在Windows XP虚拟机上建立Internet连接，方法同物理机；

（5）在Windows Server 2003虚拟机上架设VPN服务器，并给予用户远程访问权限；

（6）在VPN客户端建立VPN的拨号连接即可。

4 总结

综上所述，通过虚拟机VMware搭建网络安全的虚拟实验教学平台，不仅能够保证所有的实验操作在虚拟环境下无损害地重复进行，而且能够完成一些以前不能实现的教学要求，极大地丰富了相关课程的实验内容。同时也有利于发展学生的创新能力，因为学生不必担心损坏仪器，可放心大胆地模拟实验过程，激发了学生对实验的学习兴趣，利于学生进行自主探究和协作学习，学生由被动的知识受体转变为知识的主动探索者和学习的主体，学生可以按照自己的想法大胆尝试，而不必担心操作不当会损坏仪器，甚至事故。实际上，将虚拟机技术应用到相关课程的实践教学中既保证了教学质量，减少了实验室的管理难度，又能充分利用设备、节省经费，使实验教学更有的放矢，受到了广大师生的好评。

［1］刘武，吴建平，段海新，李星，任萍.用VMware构建高效的网络安全实验床.计算机应用研究［J］，2005，212－214

［2］张文东，张艳.利用虚拟机技术构建计算机实践课教学实验平台［J］.实践教学.134－135

［3］张超.VMware虚拟化服务器的构建方法与展望［J］.通信技术，2010，（9）.

［4］何坤.在VMwareWorkstation中搭建、评测VPN技术［J］.北京工商大学学报（自然科学版），2008，（9）.

［5］王炜.VMware在计算机网络教学中的应用［J］.广西轻工业，2010，（7）.

［6］周翔鹰.基于VMware构建虚拟计算机网络实验［J］.实验室研究与探索，2006，25（7）：809－212

［7］陈春梅，杨世恩.网络虚拟实验室构建方案［J］.实验室科学，2010，（4）.

［8］谭方勇，周莉，张燕.网络安全技术实用教程［M］.北京：中国电力出版社，2008.