刘飞飞
摘 要: 计算机网络安全课程对于实验环境的要求较为复杂,其网络实验环境搭建较为困难。针对这个问题,提出了基于vmware workstation虚拟机构建网络安全虚拟实验平台的方法,完善和提升了现有的实践教学能力,满足了教学需求,进而可为同行提供参考。
关键词: 网络安全; 虚拟机技术; vmware workstation; 虚拟实验平台
中图分类号:G642.0 文献标志码:A 文章编号:1006-8228(2015)08-23-03
Building of virtual experiment platform for computer network security course
Liu Feifei
(Department of Information, Business College of Shanxi University, Taiyuan, Shanxi 030031, China)
Abstract: The experimental environment for the computer network security courses is more complex, and it is difficult to construct a network experiment environment. Aiming at this problem, this paper proposes a method of building the virtual experiment platform based on vmware workstation. The platform improves the existing practical teaching ability to meet the teaching needs, which can also provide a reference for the peer.
Key words: network security; virtual machine technology; vmware workstation; virtual experiment platform
0 引言
网络安全是当前互联网极为突出的问题之一,许多高校都开设了信息安全专业,高校中的不少相关专业也都开设了网络安全、信息安全技术、计算机安全、网络安全对抗等课程,教学内容一般包括数据加密技术、PKI技术、信息隐藏技术、消息认证技术、网络攻击与防范技术、入侵检测技术、防火墙技术、操作系统安全等[1]。计算机网络安全的教学通常是理论与实践并重,更加注重实践能力的培养。一个独立完善的实践教学体系对于网络安全类教学是至关重要的,它可以更好地促进理论教学的进行,同时加深学生对教学内容的理解,提高学生相关知识的实际应用能力。
网络安全教学中存在两个问题,一是其课程涉及的教学内容比较广泛;二是网络攻防类的实验具有复杂性、特殊性和破坏性。所以,很难根据需求来搭建真实的实验环境。本文主要探讨基于虚拟机技术及吉林中软网络安全平台的虚拟实验环境的构建。
1 虚拟机技术
1.1 虚拟机概述
虚拟机是通过软件模拟产生的具有完整软硬件功能的独立的计算机系统。虚拟机可以模拟出其他类型的操作系统,同时,也可以在一台物理宿主机上模拟出多个相同或不同的操作系统[2]。这些系统互不影响,可以对每个虚拟的系统进行分区、配置而不影响物理宿主机硬盘的数据,也可以通过网卡将几台虚拟机连接为一个网络。通常很多虚拟机系统出现问题以后,可以通过“恢复快照”迅速方便地还原到以前的系统。所以通过虚拟机来构建网络安全实验环境不仅可以降低购买软硬件设备的成本,降低维护的费用成本,而且可以较好地提升系统及网络的安全性。VMware、Virtual Box以及Virtual PC等都是常见的虚拟机软件,它们都能在Windows系统上虚拟出多台计算机,每个虚拟机系统可以独立运行,并可以根据需要安装相应的软件和应用。相对而言,VMware在操作系统的支持以及执行效率上都表现地更为突出,应用也更加广泛[3]。
1.2 VMware虚拟机
VMware是一个“虚拟PC”软件公司,目前,VMware公司主要有数据中心和云计算基础架构产品、数据中心和云计算管理产品、基础架构产品、桌面和应用虚拟化产品等。其中,桌面虚拟化产品主要包括VMware Fusion(针对Mac)、VMware Workstation、VMware View等产品,而VMware Workstation则是个人虚拟化桌面的最常见的选择,也是计算机网络安全虚拟实验环境构建的首选工具。
VMware Workstation软件包含一个用于Intel x86相容计算机的虚拟机套装,其允许用户在一个物理宿主机上同时创建和运行多个x86虚拟机系统(例如DOS、Windows、Linux等),并且可以在这些虚拟机系统中进行新的应用程序的开发、测试以及相关部署。在物理宿主机中,可以通过VMware Workstation软件在一个窗口中加载一个虚拟机系统,并通过窗口切换来进行多个不同的虚拟机系统之间的切换;同时,VMware Workstation提供了实时快照、挂起、恢复以及退出虚拟机等操作,为进入退出虚拟机系统提供了更大的灵活性。另外,VMware Workstation软件还可以在一台物理宿主机上模拟出较为完整的网络环境,所以可以方便地利用物理宿主机及其上运行的虚拟机系统构建不同结构的局域网。鉴于以上特点,使得VMware Workstation成为现今各种网络应用开发及部署的必不可少的工具。
2 虚拟网络安全实验环境的构建
2.1 虚拟机的搭建
本文利用VMware Workstation 7.1软件来构建网络安全的虚拟实验环境。VMware Workstation 7.1对计算机的软硬件配置的要求不高,可以在大多数计算机上使用。虚拟网络环境的构建要在网络安全实验室的计算机上(统一使用Windows XP操作系统)安装并启动VMware Workstation软件,建立虚拟机;将与已购置的网络安全平台相对应的Windows Server 2003和Linux操作系统的虚拟机文件拷贝到计算机的指定目录下。同时,需要将网络安全实验室的一台主机作为网络安全平台的服务器来使用,并在该计算机上复制拷贝服务器版的虚拟机文件,每次实验,需要先在服务器计算机上,打开并运行服务器虚拟机,才能够正常进行实验。
2.2 虚拟机网络连接的设置
虚拟机安装创建过程中,必须将虚拟机连入网络才可以正常进行实验。VMware Workstation提供了10种(VMnet0-VMnet9)可作为虚拟交换机使用的虚拟网络设备,同时为虚拟机接入网络提供了三种网络连接方式:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-only(主机模式)[4]。
⑴ Bridged(桥接模式)。在该模式下,物理宿主计算机与虚拟系统计算机通过VMnet0虚拟交换机连接,两者处于同一网段中。只需对虚拟机系统进行与物理宿主机同网段的TCP/IP参数配置,二者之间就可以相互访问;同时,虚拟机系统也可以作为一台完全独立的计算机访问网络中的其他计算机,并进行资源共享。如果网络中存在DHCP服务器,虚拟机系统也可以直接从服务器获取TCP/IP配置。桥接模式是虚拟机系统连网最简单的方式,也是虚拟机安装创建过程中的默认设置。
⑵ NAT(网络地址转换模式)。在该模式下,物理宿主机使用VMware Network Adapter VMnet8虚拟网卡与虚拟机系统通过VMnet8虚拟交换机进行连接,双方在VMnet8网段进行相互通信;同时,通过虚拟机虚拟的NAT服务器使虚拟机系统的虚拟网卡连入Internet。在NAT模式下,虚拟机系统由VMnet8虚拟网络中的DHCP服务器自动完成TCP/IP配置,不能手工进行修改,因此,不能与网络中的其他物理宿主机互访通信。
⑶ host-only(主机模式)。在该模式下,物理宿主机与虚拟机系统通过VMnet1虚拟交换机进行连接,虚拟机系统只能访问局域网中的其他虚拟机,而不能访问局域网中的其他物理宿主机。
根据以上描述,在构建网络安全虚拟实验环境的过程中,本文选择默认的Bridge(桥接)模式,使得虚拟机系统与物理宿主机系统同处于一个网络,并通过网络安全平台的DHCP服务器来自动进行TCP/IP配置。
2.3 虚拟网络的拓扑结构
本文构建的虚拟网络安全实验环境主要依附于三种网络结构:交换网络结构、企业网络结构及无线网络结构。所有实验分层次、有选择地在三种网络环境下进行。
在交换网络结构中,如图1所示,实验室中每两台(根据实验需求,可自行确定数量)计算机被划分为一个实验组,并在实验平台上拥有相对应的资源共享模块。在该网络结构中,各实验组间的计算机可以互访,各个共享模块之间也可以互访,并且各个计算机也可以访问应用服务器上的所有资源。
图1 交换网络结构
如图2所示,在企业网络结构中,实验室中的计算机依然以实验组的形式连接到相应的共享模块上,然后连接到实验平台的交换模块。不同的是,各实验组中的计算机以及各共享模块之间不可以直接访问。另外,通过对防火墙的配置,可以对各实验组中的主机进行相关区域的划分,如划定实验组一中的主机A、B为企业内网主机,实验组二中的主机C、D为企业DMZ区主机,同时实验组三中的主机E、F为外网主机。所以在企业网络结构中,可以进行更加复杂及全面的实验实践,更有利于学生实际应用能力的培养与提高。