宣乐飞
摘 要: 云计算技术具有部署灵活、可扩展性强、利用率高等特点。利用开源云计算技术Openstack,完成网络攻防实训平台的搭建。通过综合云管理平台,对教学实验、综合实战、仿真实战、攻防对抗等功能进行集中监控与管理。通过管理模块,对课件、题库、模板、靶机等资源进行统一制作、管理与维护。使用SDN技术,对各种设备和环境以图形化方式进行自由拖拽与组合,可快速生成各种目标场景和仿真环境,为信息安全类专业開展实训教学提供实战训练环境。
关键词: 云计算; Openstack; SDN; 实训平台
中图分类号:TP393.08 文献标志码:A 文章编号:1006-8228(2018)06-26-03
Design and implementation of cloud technology based platform
for network attack and defense training
Xuan Lefei
(Information Engineering Institute, Hangzhou Vocational & Technical College, Hangzhou, Zhejiang 310018, China)
Abstract: The cloud computing technology has the characteristics of flexible deployment, strong extensibility and high utilization. The open source cloud computing technology Openstack is used to complete the construction of the network attack and defense training platform. Through the integrated cloud management platform, the centralized monitoring and management of the functions of teaching experiment, integrated actual combat, simulation actual combat, attack and defense confrontation and so on. Through the management module, the courseware, the question bank, the template, the target machine and other resources are unified produced, managed and maintained. The use of SDN technology, the free drag and combination of various devices and environments in a graphical manner, can quickly generate various target scenes and simulation environment, which provides an effective practical training environment for the practical teaching of the cyber security specialty.
Key words: cloud computing; Openstack; SDN; training platform
0 引言
“没有网络安全,就没有国家”,网络安全受到国家层面的高度重视。而“网络空间的竞争,归根结底是人才竞争”。因此,培养信息安全人才已成为信息安全类专业的当务之急。为了培养和提高信息安全类专业学生的职业技能,本文研究设计一种开放架构、可扩展、可自定义的网络攻防实训平台,以满足专业教学、实训和科研的需要。
1 传统网络攻防实训平台存在的问题
传统的网络攻防实训平台,一般使用物理环境和真实设备来搭建攻防平台,设施设备投入高,部署难度大,管理困难。部分厂商使用专用设备通过虚拟化技术搭建实训环境,但平台对实训人数有较大限制,同时后续升级成本较高,无法满足专业教学的需求[1]。随着云计算技术的发展,使用开放云架构的方式构建网络攻防实训平台,能够低成本、快速灵活的部署与实施,能快速提供对教学实训的支持,具有较好的发展前景。
2 平台关键技术研究
2.1 云计算技术
云计算是一个具备高度扩展性和管理性,并能胜任终端用户应用软件计算基础架构的系统池[2]。使用云计算技术,可以提高资源的统一管理与利用效率。OpenStack作为开源的云计算管理平台项目,提供了标准统一、实施简单、可大规模扩展的云计算管理平台,便于用户进行二次开发。其核心功能由5部分组成,包括计算服务nova、对象存储swift、镜像服务glance、认证服务keystone和控制台horizon[3]。因此,本平台使用OpenStack技术进行云平台服务器控制节点与计算节点的设计与实施,满足不同应用场景的需求。
2.2 SDN技术
SDN即软件定义网络,是网络虚拟化的一种实现方式。通过openflow技术,将网络设备控制面与数据面分离,实现网络流量的灵活控制[4]。在网络攻防实训平台中,采用SDN技术,各种设备和环境可以通过图形化的界面方式进行自由拖拽与组合,即可生成各类真实的网络靶场环境,也可以模拟各种真实的目标场景,仿真各类网络拓扑。
3 网络攻防实训平台的设计
3.1 网络攻防实训平台逻辑拓扑设计
针对信息安全类攻防实训的特点,同时为了满足内网用户(学生)和外网用户(社会学习者)的学习与使用,本平台在设计中通过VPN服务进行接入,保证实验环境与物理网络的逻辑隔离,提高网络安全性,具体拓扑如图1所示。
利用Openstack提供的相关技术,本平台实现模块化的功能设计[5]。其中,使用nova技术完成实例运行、网络管理与用户访问控制等云服务的部署,最终实现实训平台(网络靶场)和综合管理平台的构建。通过swift这一可扩展的对象存储系统,完成相应环境的分布式存储。通过glance服务,实现对虚拟机镜像注册,发现和读取服务,完成攻防场景的快速切换。
3.2 网络攻防实训平台功能设计
网络攻防实训平台基于虚拟化的综合管理云平台,包括攻防实战和综合管理两大主要模块。其中,综合管理平台包括课件管理、靶机管理、模板管理、题库管理和工具管理。攻防实战平台包括教学实验、综合实战、仿真实战、攻防(对抗)实战、工具库组成,具体平台功能如图2所示。
综合管理平台作为统一的管理平台,主要对课件、靶机、模板、题库的进行统一集中管理。同时对学生账户的访问控制粒度进行管理、认证和授权。
教学实验功能中内置了9大类600多个课程。覆盖总类多、范围广、专业性强、注重理论及实践应用相结合。通过预制相应的实验环境进行实验,学习者可掌握安全技术知识攻击与防御方法。在学习过程中,系统会自动记录学时,让教师及时的掌握当前热门课程、学习进度、实验进度、学生掌握能力等。
综合实战功能是基于互联网重大安全漏洞的实战化平台,提供网络安全、主机安全、应用安全、数据库安全四大层面的重大安全漏洞实战项目,所有实战化项目划分了初级、中级、高级不同难度。
仿真实战平台基于SDN(软件定义网络)技术,可通过图形化的界面方式自由拖拽,生成各类真实的网络靶场环境。通过模拟各种真实的目标场景,仿真各类网络拓扑。学习者可在模拟目标网络环境中进行渗透测试练习。
攻防实战平台是信息安全人员技术竞技比赛的平台。通过模拟真实的企业内部业务系统、外部互联网业务系统场景等形式,进行仿真实战的安全竞赛模式。平台可对数据以可视化方式實时展现,通过此类竞赛模式,有助于学生了解与发现不同企业的业务系统中存在的真实问题。
4 网络攻防实训平台的应用
以完成Web安全实训为例,学习者可以通过选择课程,进入实训界面,如图3所示。在实训界面中包含有完成的实验介绍和实验步骤。通过创建实验环境,系统根据模板自动生成靶机资源,方便开展相关的实训。同时,为保证资源有效利用,系统会自动进行计时,到时间后自动释放相关靶机资源。
图4是靶机管理界面。在学生实训过程中,平台自动调配资源以保证实训环境正常运行。利用云计算技术,攻防平台提高了靶机生成的效率。根据测试,平台中单个靶机的平均生成时间只需要8秒钟,完成100个靶机的批量生成时间平均只需要30秒钟,可以满足整班学生的实训需求。
5 结束语
网络攻防实训平台对于培养信息安全类人才具有十分重要的作用。通过使用云计算技术,改变了传统平台对于网络技术的依赖。同时其易于扩展、部署灵活的特点,提高了实训平台的承载能力,降低了使用成本。该方法提供了网络攻防实训的新思路,也促进了学生网络安全攻防水平的提高。
参考文献(References):
[1] 俞立峰,杨琼.信息安全虚拟实践教学平台的构建[J].计算机
时代,2014.2:18-19
[2] 康辰,朱志祥.基于云计算平台的网络攻防实验平台[J].西安
邮电大学学报,2013.18(3):87-91
[3] 叶建锋,张平安,高月芳.基于Openstack的网络攻防实训平
台设计与构建[J].实验技术与管理,2016.33(3):86-89
[4] 张朝昆,崔勇,唐翯翯,吴建平.软件定义网络(SDN) 研究进展[J].
软件学报,2015.1:62-81
[5] 张力,周汉清.基于云计算技术的网络安全攻防实验平台设
计[J].软件导刊,2015.14(9):188-191