基于VMware技术的网络攻防平台设计与实现

顾理军

摘 要：高职信息安全与管理专业是我国培养信息安全专业人才的重要摇篮，而实训教学是开展高职教育的一个重要手段。文章研究了基于VMware技术的网络攻防平台设计与实现，该平台能提供一个理想的实训平台，让学生自主构建网络环境，搭建网络靶场，实施网络攻防，熟悉和掌握先进的网络安全技术，提升其职业技能。

关键词：信息安全与管理；VMware技术；网络攻防平台

2014年2月27日，中共中央成立网络安全与信息化领导小组，习近平总书记亲自担任组长。2015年10月，教育部修订的《普通高等学校高等职业教育（专科）专业目录》中将信息安全与管理作为计算机类的一个单独专业招生。随着计算机病毒和黑客攻击技术的不断发展，国家对信息安全专业越来越重视，如何提升信息安全与管理专业人才的培养质量，已成为当前高职信息安全与管理专业教育的当务之急。

常州机电职业技术学院自开设了信息安全与管理专业以来，通过走访兄弟院校、企业调研、参加行业协会、技能大赛等多种途径研究发现：实践教学是提升高职院校信息安全与管理专业学生技术技能的核心与关键，只有建设好符合高职院校信息安全与管理专业人才培养方案的信息安全实训室，通过实践教学，让学生在实践中学习、总结、提炼，才能更好地提升其信息安全水平。

1 网络安全实训室建设现状及存在问题

2016年，常州机电职业技术学院与神州数码云科信息技术有限公司合作建成网络安全实训室，实训室配有计算机、3层网管交换机、上网行为日志系统、流量控制网关、企业安全防火墙、Web防火墙、神州数码安全沙盒教学平台、神州数码网络攻防平台等网络安全设备，可进行网络安全设备配置与管理、网络安全、网络攻防等课程的实训教学。通过近3年的教学使用，发现神州数码网络安全实训室在教学中主要存在以下3个方面的问题[1]。

（1）防火墙、上网日志系统及流量控制网关等网络安全设备价格昂贵，操作系统更新较快，且在实际配置过程中只允许单用户操作，只能采取虚拟教学加分组操作的方式，学生的掌握情况良莠不齐。

（2）神州数码安全沙盒教学平台虽然集成了许多网络安全课程，但是硬件性能有限，课程内容陈旧，且课程之间相互独立，没有形成高校所特有的课程体系，不能满足高校学生递进式的学习需求。

（3）神州数码安全沙盒教学平台只能让学生在预设的固定网络环境中演练，不能让用户自主创建网络环境，缺乏对实际网络拓扑的认识，而且神州数码安全沙盒教学平台缺乏对战环境，不能让学生将所学的知识学以致用。

2 基于VMware技术的网络攻防平台的设计与实现

2.1 网络攻防平台的功能设定

为提高信息安全与管理专业的教学质量，常州机电职业技术学院网络安全教学团队成员与易霖博信息安全技术有限公司合作开发了基于VMware技术的网络攻防平台，利用虚拟技术，自主安装和配置网络对战的靶机和攻击机，编写网络安全实训手册，并克隆安装在网络安全实训室的每一台计算机上，让学生在掌握了一定的网络安全知识后，通过网络对战的方式提升其网络攻防能力。基于VMware技术的网络攻防平台其功能定位主要包含以下3个方面[2]。

（1）单机系统，可以让学生通过虚拟技术自主创建靶机、搭建网络环境，熟悉网络攻防平台的拓扑结构，适应网络环境变化，学会网络扫描、渗透技术。

（2）混战模式，让学生利用虚拟机快照技术同时部署靶机和攻击机，并配置好3层交换设备，实现网络混战，使得每位同学在维护好自己靶机的情况下，利用攻击机夺取局域网中其他同学靶机的FLAG，提升其网络攻防实战能力。

（3）混战成绩管理系统，可以查看学生靶机和攻击机的状态，可以让学生提交在混战模式下所取得的FLAG，实时评分，并公布名次。

2.2 网络攻防平台的软件组成

基于VMware技术的网络攻防平台主要由4个部件组成（见图1），分别是用来配置网络环境的3层网管型交换机，用来配置虚拟网络环境的虚拟机软件VMware Workstation、学习网络攻防技术和实施网络混战的两台服务器靶机和两台攻击机的虚拟机对应快照、管理混战模式的成绩管理系统。

虚拟机软件中安装的服务器用来配置成靶机，分别安装Windows Server操作系统和Linux操作系统，靶场使用的是DVWA和Metasploitable。DVWA（Dema Vulnerable Web Application）是randomstorm的一个开源项目，是一套基于PHP+MySQL环境的用于常规Web漏洞教學和检测的程序，包含了SQL注入、Xss、盲注等常用的一些安全漏洞。基于Linux的Metasploitable漏洞演练系统，是一个具有无数未打补丁漏洞与开放了无数高危端口的渗透演练系统，本身设计为安全工具测试和常见漏洞攻击的靶机。

攻击机分别为Kali Linux操作系统和装有攻击工具的Windows操作系统，Kali Linux是基于Debian的发行版本，预装了超过300个渗透测试工具，包括nmap、Wireshark、burpsuite等[3]。

混战管理系统，使用ASP.NET开发，主要功能包括用户管理系统、靶机状态显示系统、成绩提交系统、成绩排名系统。

2.3 网络攻防平台的实现流程

网络攻防平台实训环境分为单机环境和局域网混战环境。

在单机环境下，学生根据实训手册要求启动对应虚拟机的快照，将虚拟机的网络连接方式设置为仅主机模式，配置好IP地址，即可实现网络渗透、漏洞扫描、Web应用渗透、操作系统加固、Web安全防护等网络攻防实训。

在局域网混战环境下，启动混战管理系统，通过3层交换机的虚拟局域网技术将每台计算机划分到不同的虚拟局域网中再进行系统加固，此时学生需要首先启动计算机上的虚拟靶机，将虚拟靶机的网络连接方式设置为桥接模式，配置好IP地址及网关，连接混战管理系统，构建局域网下的混战环境。加固结束后，通过混战管理系统开启混战模式，监控靶机的运行状态，学生此时可以通过实体机上的虚拟攻击机实施网络攻击，并将取得的FLAG值通过混战管理系统提交，获得成绩并查看名次。

2.4 网络攻防平台的使用效果

基于VMware技术的网络攻防平台跟传统的网络攻防平台相比，采用分布式的方式将靶机和攻击机均安装在实训室的电脑客户端，主要具有以下3方面的优势[4]。

（1）由于采用分布式环境实现网络攻防，只需要运行虚拟机软件的客户端电脑内存大于8 G即可，而不需要购买高端的服务器，节约了硬件成本。

（2）通过虚拟机快照的方式构建网络攻防环境，可以实现一键还原，减去了重新安装操作系统的工作量，安全可靠高效。

（3）使用开源靶场作为网络攻防环境，可以及时更新维护，让学生使用最新的操作系统，认识最新的漏洞，学习最新的网络安全技术。

（4）让学生自主构建网络环境，搭建网络靶机并实施网络攻击，能提升学生的学习兴趣，综合提高其网络组建、网络管理及安全维护能力。

3 结语

网络攻防平台的使用降低了网络攻防实验对实际网络环境和物理设备的破坏，减少实训成本的投入，并且能提升学生的网络组建和安全防护能力，具有很大的实用价值。

[参考文献]

[1]张力，周汉清.基于云计算技术的网络安全攻防实验平台设计[J].软件导刊，2015（9）：188-191.

[2]马丽.网络安全攻防训练平台设计与实现[J].无线互联科技，2017（11）：75-76.

[3]黄晓芳.网络攻防实验平台开发与实现[J].实验技术与管理，2017（5）：73-76.

[4]姚炜.网络攻防模拟平台的设计与实现[J].科研，2016（10）：33-35.