摘 要:虚拟化技术是以计算机系统的仿真模拟,实现镜像实验操作的技术还原,以便为网络信息安全的教学内容提供实验操作平台。但是在以往所使用的相关产品中,虚拟技术的模拟效果并未完全发挥,对于网络攻击的实质性手段描述并不清晰,对于高职教学的支持作用并不显著。为此,本文设计了基于虚拟化技术的高职网络攻防实验平台,以便为加强教学实验平台的虚拟化设计效果提供理论参考。
关键词:虚拟化技术;高职教育;网络攻防;实验平台
中图分类号:TP393.08 文献标识码:A 文章编号:2096-4706(2018)08-0156-03
Abstract:The virtualization technology is based on the simulation of the computer system to realize the technology reduction of the mirror experiment operation,so as to provide the experimental platform for the teaching content of the network information security. However,in the related products used in the past,the simulation effect of virtual technology has not been fully played. The description of the substantive means of network attacks is not clear,and the support for higher vocational education is not significant. Therefore,this paper designs an experimental platform of network attack and defense based on virtualization technology in order to provide a theoretical reference for strengthening the effectiveness of the virtual design of the teaching experiment platform.
Keywords:virtualization technology;higher vocational education;network attack and defense;experimental platform
1 高职计算机网络攻防实验教学的现状分析
网络安全的实验课程是高职计算机教育的主要部分,需要从主机安全、网络攻防、病毒攻防等方面,引导学生掌握网络攻防技术,增强网络信息安全应用的主观意识。其教学内容的知识体系涵盖量极为丰富,其中涉及到WDX远程溢出、社工欺骗、Serv U 5.0远程溢出、Shell Code编程、MS SQL远程溢出、IDQ提权、手工入侵共享连接主机、网站挂马、Cookies欺骗上传等方面的网络攻防知识点。采取实验教学的方案,是将网络攻击的具体类型在虚拟实验平台为学生展示,同时在讲解相关技术之后,由学生自行练习应用多种技术防范网络攻击的方法及针对措施。目前我国高职院校的计算机信息类课程,在讲解相关知识点时已经逐步开展了虚拟实验教学内容,能够在很大程度上加强教学水平和质量。由于网络安全的实验类课程本身具有一定的破坏性与特殊性,因此在相应的教学工作中通常需要采用独立的网络环境,搭建基于硬件系统的物理实验平台,或者是基于软件系统的仿真模拟实验平台。
虽然现有的仿真技术及其培训产品最大限度地发挥了网络实验教学的优势,提供了诸多服务功能,但在网络攻防实验教学环节中仍然存在部分问题。一方面,由于网络环境本身的复杂性较为突出,如果仅依靠硬件或软件技术很难模拟真实的网络环境,对于网络攻防场景或拓扑结构的呈现都较为片面,无法为学生提供完整网络攻防转换机制的解析。另一方面,网络攻击的形式均以远程操作为主,在实验教學中相对封闭的内部网络结构并不足以描述网络攻击的意图、动机、行为、方式,以及倾向或入侵路径。因此,学生在理解网络攻击模式的过程中很难架构起宏观的网络体系认知。基于以上两点因素,需要进一步研究网络攻击实验教学平台的广域网络架构模式,并通过远程操作的演练,加强高职计算机专业学生对于网络攻击模式的感受和体验效果。
2 基于虚拟化技术的网络攻击实验平台功能设定
本研究所设计的教学实验平台是基于虚拟化技术的构建,结合多种媒体功能融入视频、音频、文字、图像等信息,为学生构建更为符合真实网络环境的虚拟实验项目,从而加强学生对于网络攻击的理解与认知。在借助网络共享资源的基础上,实现对于网络安全的实验内容,并及时收集反馈信息和实验数据,以便为学生提供更为全面的教学引导。该仿真模拟系统的教学平台由8个模块组成,分别为:远程接入控制模块、虚拟仿真攻击数据模块、虚拟靶机云模块、扩展设备兼容模块、监控子系统辅助模块、管理中心执行模块、实验数据配置模块、教学运行管理模块。
2.1 远程接入控制模块
远程接入控制模块是支持客户端并入网络环境的基础条件,需要完成终端系统与仿真虚拟平台的信息对接,从而支持后续网络攻防实验的操作信息备注与实时提取,支持信息安全实验课题的顺利进行。
2.2 虚拟仿真攻击数据模块
虚拟仿真攻击数据模块是利用虚拟化技术,依据常规网络攻击的类型设定实验参数。同时可以为Linux虚拟机或Windows虚拟机自动生成基于不同攻击类型的防护工具,以便为实验教学操作提供相应的技术支持。
2.3 虚拟靶机云模块
虚拟实验操作中,需要模拟网络攻击的真实情况,而虚拟靶机云模块则是在利用虚拟技术后实现攻击方案的必要支持。可以针对不同的系统漏洞模拟出相应的虚拟靶机,从而为学生操作提供参考范式,理解防护软件在应对网络攻击时的运行机制。
2.4 扩展设备兼容模块
设计扩展设备兼容模块是考察硬件系统与软件系统的兼容性,在虚拟设备介入实验环境之后,需要分别配置入侵检测、防火墙、安全审计等功能,从而为实验环境构建更为真实的网络攻击参照。
2.5 监控子系统辅助模块
监控子系统辅助模块是在实验教学中及时获取网络数据的重要功能,从而总结虚拟机在网络数据信息交互过程中的运行机制监控。在完成网络数据信息交换之后,便可以在实验操作中总结网络数据的端口下载数据信息进程,进而模拟网络攻击数据的信息容量或攻击模式。
2.6 管理中心执行模块
管理中心执行模块主要负责统计管理数据的相关内容,包括虚拟操作系统的镜像库、攻击软件工具、虚拟机维护、平台账户管理等方面。
2.7 实验数据配置模块
实验数据配置模块主要用于对接局域网内或者互联网用户信息的配置内容,通过模拟网络数据的动态化虚拟靶机,与虚拟网络的拓扑结构信息进行交互,并在假定的IP地址内完成数据新的发布与呈现,从而加强网络攻击模拟实验的真实性与体验度。
2.8 教学运行管理模块
教学运行管理模块主要负责实时发布和管理教学信息,加强虚拟实验平台与教学内容的互动,通过成绩测评的数据档案完善对于学生学习近况的了解程度,并配置教学成果展示功能,为学生实验操作的相关信息创造共享机制,展现实验操作效果,并加强网络攻击实验教学管理的时效性。
3 基于虚拟化技术的高职网络攻防实验平台设计方案
3.1 虚拟实验平台硬件结构
本研究所设计的网络攻防实验教学平台采用了模拟网络拓扑结构的设计方案,应用服务器主要为Dell R910,同时每一台服务器都需要与交换机相互链接。一方面,互联网端口内链接了网络云存储的相关内容,并借助防火墙与系统内部设置了虚拟防护体系,可以在网络防护设备的保护下完成网络攻击模拟操作。而借助防火墙配置多样性的网络攻击模式,也可以令学生更为真实地体验到网络攻击意图、倾向、运行机制等重要信息,以便加强学生对于网络安全知识的掌握程度。
该虚拟环境中存储了外部网络云新的系统操作漏洞,或者软件程序漏洞,能够镜像还原Linux或Windows的虚拟靶机案例,从而为指导学生了解网络攻击程序与方式提供参考案例。另一方面,在网络云端存储的交互数据,可以保存攻击类型的系统镜像文件,从而利用数据信息的可对比性,加强Linux虚拟系统与Windows虚拟系统的攻击实例真实性。借助局域网络链接VPN网关,从而为虚拟机的仿真操作提供便捷性,支持多种防护技术的合并运用,引导学生了解网络攻击防护手段的针对性与协调性。
3.2 虚拟实验平台软件系统架构
虚拟机实验操作的平台需要完成网络信息的交互,从而为学生提供多种网络攻击数据的可参考信息内容。在设计虚拟实验平台软件系统架构的过程中,本研究结合了S3与Amazon EC2的网络基础架构服务模型。由Nova端口负责调派资源案例的虚拟机执行条件,通过Glance为实验数据提供镜像虚拟化的操作范本对接。然后利用Network所提供的网络连接模型,以及Cinder所提供的外接服务内容,从Ceilometer中完成关键数据收集的虚拟机服务,并应用在数据统计、监控、报警等实用性功能中。最后,借助Swift和Glance所创建的镜像存储服务,完善Cinder所设计的备份服务内容,最终组建完整的虚拟服务场景。通过服务器节点和控制服务器的操作模式,加强服务器控制效果,从节点信息中提取实验操作数据的镜像信息,为虚拟靶机的设定提供网络链接的可操作性,加强多样化网络结构的模拟效果。
3.3 虚拟实验平台的操作流程解析
虚拟实验平台在初始化阶段,需要管理员从信息库中设置相应的操作实验标准、口令,及用户标识,为所有登录账号设置标准一致的磁盘空间,制定学生操作的实验类型。学生可以依据不同的实验类型选择虚拟机镜像文件,并创建自身的磁盘空间虚拟攻击案例。配置模块将默认网关、子网掩码、IP地址、DNS服务,以及虚拟攻击实例录入网络存储空间。学生在登录虚拟空间之后,可以利用网络存储提供的攻击案例,检测虚拟系统中的安全漏洞。在具备攻击条件的虚拟空间内,也可以逐步验证操作流程的正确性,以及是否防范了网络攻击的入侵条件,进而通过实践操作,引导学生掌握网络攻击的特征、参数、性质等重要信息。
学生也可以在受到虚拟网络攻击时,选择虚拟机所提供的防护工具,在虚拟靶机的实例参考之下完成对于虚拟系统的保护操作。为了加强虚拟空间对于网络环境的客观体验效果,学生在虚拟靶机的实例操作中,可以配置防火墙技术,并将虚拟靶机的相关案例歸纳在防火墙技术范畴,从而加强实例教学引导的针对性。利用所配置的网络攻击工具与防护工具,加强虚拟靶机对于实例网络攻击的描述效果与可控性。同时可以借助监控模块捕获流经虚拟攻击机的网络数据包,并保存虚拟攻击案例及其操作日志,为后续教学讲解环节提供支持。在虚拟实验平台中,学生作为网络用户也可随时下载监控模块捕获的网络攻击信息,从而为实验结果的分析提供参考。实验完成后,监控模块可以自动还原网络攻击防护的案例对比,以便为学生实验操作提供对比数据,支持学生理解和掌握网络攻击类型的差异性,以及网络攻击防护措施的针对性。
4 结 论
综上所述,在网络攻击仿真模拟实验中,其实验平台的可操作性、对比性、参考性是加强虚拟化仿真效果的重要支持。为了加强高职实验平台的应用效果,需要完善虚拟实验平台硬件结构,以及虚拟实验平台软件系统架构,最后通过更加契合实际情况的网络攻击数据及参考案例,引导学生加强针对网络安全知识的理解程度,发挥出虚拟网络实验平台的技术优势,以期高职网络安全教育的质量与水平稳步提升。
参考文献:
[1] 王颢瑾.基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索 [J].信息与电脑(理论版),2018(4):79-80.
[2] 杨琼.基于虚拟现实的高职网络攻防实验平台设计 [J].电子世界,2018(4):179-180.
[3] 黎水林,陈广勇.基于虚拟化技术的网络攻防仿真平台的设计与实现 [J].信息网络安全,2016(S1):117-120.
[4] 陈艳雪,赵建平,张楠.基于虚拟化的远程有线网络攻防实验教学平台研究 [J].网络安全技术与应用,2015(11):113-114.
作者简介:许晓燕(1978-),女,汉族,青海西宁人,讲师。研究方向:计算机网络、计算机应用。