薛俊凯 袭雅 李蒙
摘要:本文研究一种基于OpenStack的网络安全实验平台。通过结合KVM虚拟化技术,构建一套可满足多种网络安全实验要求的综合性网络安全实验平台,满足网络安全相关实验教学要求。此方案可有效解决网络安全实验室建设中所面临的设备投资大、实验环境构建困难等问题。
关键词:OpenStack;网络安全;实验平台
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2018)19-0040-02
本文研究一种基于OpenStack的网络安全实验平台。该方案有效地提高了平台的可扩展性、容错性,降低了开发平台的成本,有效地解决了网络安全实验室建设中设备投入大、实验环境建设困难等问题。同时,基于开源平台可以有效整合系统资源及硬件资源,通过定制化的资源分配为用户设置不同的实验环境,满足网络安全、木马攻击等多种课程需求。
1 开源私有云平台技术选型
目前,云计算平台的种类很多,其中开源的云计算平台主要有Eucalyptus、CloudStack和OpenStack。Eucalyptus是由加利福尼亚大学研究所出版的,其开发、运用相对较早,无需修改Eucalyptus服务组件即可使用;CloudStack通过现存基础架构创建云应用服务,虽然功能较完善,但不支持VLAN间互访;OpenStack是美国国家航空航天局(NASA)和RACSCORE开发的高灵活性和高可用性的开源云计算平台。具有虚拟化产品服务器和相关资源利用率高,具有比例限制和身份认证,它可以设置非法访问限制的自动化和安全性。[1]
这3个主流开源云计算项目各有特点。鉴于OpenStack云平台活跃度相对较高,架构开放,方便定制开发,易实施、支持大规模的弹性扩展,本平台选择OpenStack构造私有云平台来构建网络安全实验平台。
2 网络安全实验平台架构设计
考虑未来实验平台二次扩展开发需要,本文采用了模块化的抽象分层设计模式。通过整合网络安全实验项目,创建实验环境所需要的虚拟环境的虚拟机母版,可根据不同的实验项目设计可满足实验需求的网络拓扑,使用SDN网络虚拟化技术完成实验拓扑的搭建。
本实验平台按照管控、资源、应用三个方面,遵循下层为上层提供服务、上层对下层进行控制的思想,采用抽象分层的设计模式,从上到下的实验平台分层体系结构设计是面向用户的实验应用层、OpenStack私有云网络虚拟化层和面向底层硬件虚拟化的资源管理层。[2]
实验应用层设定了多种用户角色,管理员用户具有实验平台的最高级别权限,可控制并分配实验平台资源;开发者用户主要负责创建实验场景资源,搭建与实验场景对应的网络拓扑。教师用户负责课程任务创建,可根据开设课程的教学大纲,制定相应的实验课程并发布给学员;学员用户为实验的主要操作者。
网络虚拟化层通过OpenStack网络服务组件来实现,通过SDN可以对其进行操作,以提供网络、子网和路由功能,效仿物理设备的功能,在整个实验平台的网络中划分多个子网,路由器在不同的子网间进行数据包的传递。路由器通过网关连接网络,虚拟机实例上的网络端口连接到子网中,不同子网中的虚拟机实例通过同一路由器相互连接。
基于OpenStack的网络安全实验平台所含系统采用基于KVM虚拟化技术作为底层,虚拟仿真系统中核心为自主研发虚拟化管理平台。由虚拟仿真系统中的管理引擎向计算资源发送控制指令,存储中的信息按需调入计算资源的内存中运算。计算资源被看作统一的虚拟资源池,随着使用用户数的提升,只需增加计算资源便可满足更高人数和要求的攻防演练。KVM实现主要基于Intel-V、AMD-V提供的虚拟化平台,利用普通Linux进程运行于虚拟态的指令集,模拟虚拟机监视器、CPU。KVM不提供硬件虚拟化操作,其IO操作等都借助QEMU完成,所有虚拟化使用者均采用Guest身份访问目标系统。[3]
3 实验平台实现
本实验平台主要使用了OpenStack项目中的Keystone、Nova、Glance和Neutron等组件搭建OpenStack私有云。在私有云基础上创建虚机实例,进行虚拟机网络部署,隔离不同实验场景的网络,从而实现学员实验环境与KVM技术的结合。
部署Keystone服务组件,使其提供可认证、授权和目录的服务;安装Nova计算服务组件作为OpenStack私有云中的核心计算、组织控制器,主要管理OpenStack云平台中虚机实例的所有生命周期活动;部署Glance组件,OpenStack的最终目标是为用户创建具有一定配置要求的虚机。OpenStack用image组件创建、重建虚机。为了方便起见,OpenStack允许用户上传一定量的image来创建虚机,image数量受租户的用户相关配额限制。image由OpenStack的Glance组件管理。任何用户都可以上传、注册image到OpenStack私有云平台,并且还可以设置image是否被公开地用于其他租户用户。[4]
OpenStack的Neutron组件其实就是一种SDN架构,使用SDN网络虚拟化技术来创建和配置虚拟网络,根据实验需求对虚拟节点进行配置和管理,在物理网络上,存在许多相互隔离的虚拟网络,使得不同用户之间使用独立的网络资源片,从而提高了网络资源的利用率,实现了弹性网络。
使用KVM虚拟化管理工具Libvirt来接收系统和用户的指令,调用底层相应的虛拟化技术接口实现虚拟机的创建、修改、监控、控制、迁移和停止等功能。
4 实验平台特点
1) 真实性:本实验平台建立在私有云平台的基础上,使用OpenStack的Neutron网络服务组件来搭建虚拟网络环境,能够实时监控虚拟网络运行状态,营建真实的物理网络环境,实验资源可以无缝的热迁移到真实硬件环境中,提高了实验平台的真实性。
2) 可扩展性:抽象分层的设计模式提供标准化的管理接口APIs,方便实验平台的二次开发、升级以及软硬件的移植和扩展,提高了实验平台的可扩展性。
3) 隔离性:实验平台基于OpenStack私有云运行,通过增量克隆技术,使得不同的实验场景共享虚拟网络资源,支持多个实验并行开展,保证不同实验场景的网络流量互不影响,实现了网络的有效隔离。
4) 可编程性:本实验平台采OpenStack开源管理项目平台构建,提高了实验平台的可编程性。在实验中,支持学员用户以只读的权限自定义各种虚拟机网络安全配置,当实验室结束时恢复初始状态。在结构上,支持科研员用户根据学员的实验课程需求自定义网络拓扑结构,管理员用户可以根据实验教学的扩展增加虚拟机母版。[2]
5 结束语
虚拟化技术的发展可以降低硬件成本带来的困难,本论文通过对比目前主流云计算虚拟化管理平台,提出了一套基于OpenStack的网络安全实验教学平台部署方案。平台的设计摆脱了物理硬件资源成本的局限性、拔插网线的烦恼,能够使学员们把网络安全当作一种学习兴趣,只要网络可达,即可进行网络安全实验。
针对此系统,下一步的开发工作将聚集在以下两个方面:(1)提供实验平台的运行效率,对实验中的关键节点进行优化并实时数据分析、流量检测和负载状态监测。(2)增强实验环境构建性能,即能够快速地部署网络拓扑;未来将在各高校施展该网络安全实验平台的应用范围,加强网络安全相关课程的理论知识和实践,培养学生的实践能力和创新意识,使得该实验平台能够被广大的网络安全爱好者所认同。最后,希望我国的网络安全行业能够蒸蒸日上。
参考文献:
[1] 刘晶.基于Openstack的网络安全实验平台的设计与实現[D].山西大学,2017.
[2] 廉龙颖,王希斌,刘文强,陈荣丽.基于OpenStack的网络安全实验平台[J].教学研究,2015, 38(2): 95-99.
[3] 李蒙,张蕾妮,张德民.基于虚拟化技术的信息安全实验平台构建[J].电子技术与软件工程, 2017(1):207.
[4] 李小宁,李磊,金连文,黎德生.基于OpenStack构建私有云计算平台[J].电信科学, 2012, 28(9):1-8.