計(jì)算機(jī)網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)平臺(tái)的構(gòu)建

劉飛飛

摘 要： 計(jì)算機(jī)網(wǎng)絡(luò)安全課程對(duì)于實(shí)驗(yàn)環(huán)境的要求較為復(fù)雜，其網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境搭建較為困難。針對(duì)這個(gè)問(wèn)題，提出了基于vmware workstation虛擬機(jī)構(gòu)建網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)平臺(tái)的方法，完善和提升了現(xiàn)有的實(shí)踐教學(xué)能力，滿足了教學(xué)需求，進(jìn)而可為同行提供參考。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 虛擬機(jī)技術(shù)； vmware workstation； 虛擬實(shí)驗(yàn)平臺(tái)

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2015）08-23-03

Building of virtual experiment platform for computer network security course

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： The experimental environment for the computer network security courses is more complex， and it is difficult to construct a network experiment environment. Aiming at this problem， this paper proposes a method of building the virtual experiment platform based on vmware workstation. The platform improves the existing practical teaching ability to meet the teaching needs， which can also provide a reference for the peer.

Key words： network security； virtual machine technology； vmware workstation； virtual experiment platform

0 引言

網(wǎng)絡(luò)安全是當(dāng)前互聯(lián)網(wǎng)極為突出的問(wèn)題之一，許多高校都開設(shè)了信息安全專業(yè)，高校中的不少相關(guān)專業(yè)也都開設(shè)了網(wǎng)絡(luò)安全、信息安全技術(shù)、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全對(duì)抗等課程，教學(xué)內(nèi)容一般包括數(shù)據(jù)加密技術(shù)、PKI技術(shù)、信息隱藏技術(shù)、消息認(rèn)證技術(shù)、網(wǎng)絡(luò)攻擊與防范技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)、操作系統(tǒng)安全等[1]。計(jì)算機(jī)網(wǎng)絡(luò)安全的教學(xué)通常是理論與實(shí)踐并重，更加注重實(shí)踐能力的培養(yǎng)。一個(gè)獨(dú)立完善的實(shí)踐教學(xué)體系對(duì)于網(wǎng)絡(luò)安全類教學(xué)是至關(guān)重要的，它可以更好地促進(jìn)理論教學(xué)的進(jìn)行，同時(shí)加深學(xué)生對(duì)教學(xué)內(nèi)容的理解，提高學(xué)生相關(guān)知識(shí)的實(shí)際應(yīng)用能力。

網(wǎng)絡(luò)安全教學(xué)中存在兩個(gè)問(wèn)題，一是其課程涉及的教學(xué)內(nèi)容比較廣泛；二是網(wǎng)絡(luò)攻防類的實(shí)驗(yàn)具有復(fù)雜性、特殊性和破壞性。所以，很難根據(jù)需求來(lái)搭建真實(shí)的實(shí)驗(yàn)環(huán)境。本文主要探討基于虛擬機(jī)技術(shù)及吉林中軟網(wǎng)絡(luò)安全平臺(tái)的虛擬實(shí)驗(yàn)環(huán)境的構(gòu)建。

1 虛擬機(jī)技術(shù)

1.1 虛擬機(jī)概述

虛擬機(jī)是通過(guò)軟件模擬產(chǎn)生的具有完整軟硬件功能的獨(dú)立的計(jì)算機(jī)系統(tǒng)。虛擬機(jī)可以模擬出其他類型的操作系統(tǒng)，同時(shí)，也可以在一臺(tái)物理宿主機(jī)上模擬出多個(gè)相同或不同的操作系統(tǒng)[2]。這些系統(tǒng)互不影響，可以對(duì)每個(gè)虛擬的系統(tǒng)進(jìn)行分區(qū)、配置而不影響物理宿主機(jī)硬盤的數(shù)據(jù)，也可以通過(guò)網(wǎng)卡將幾臺(tái)虛擬機(jī)連接為一個(gè)網(wǎng)絡(luò)。通常很多虛擬機(jī)系統(tǒng)出現(xiàn)問(wèn)題以后，可以通過(guò)“恢復(fù)快照”迅速方便地還原到以前的系統(tǒng)。所以通過(guò)虛擬機(jī)來(lái)構(gòu)建網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境不僅可以降低購(gòu)買軟硬件設(shè)備的成本，降低維護(hù)的費(fèi)用成本，而且可以較好地提升系統(tǒng)及網(wǎng)絡(luò)的安全性。VMware、Virtual Box以及Virtual PC等都是常見的虛擬機(jī)軟件，它們都能在Windows系統(tǒng)上虛擬出多臺(tái)計(jì)算機(jī)，每個(gè)虛擬機(jī)系統(tǒng)可以獨(dú)立運(yùn)行，并可以根據(jù)需要安裝相應(yīng)的軟件和應(yīng)用。相對(duì)而言，VMware在操作系統(tǒng)的支持以及執(zhí)行效率上都表現(xiàn)地更為突出，應(yīng)用也更加廣泛[3]。

1.2 VMware虛擬機(jī)

VMware是一個(gè)“虛擬PC”軟件公司，目前，VMware公司主要有數(shù)據(jù)中心和云計(jì)算基礎(chǔ)架構(gòu)產(chǎn)品、數(shù)據(jù)中心和云計(jì)算管理產(chǎn)品、基礎(chǔ)架構(gòu)產(chǎn)品、桌面和應(yīng)用虛擬化產(chǎn)品等。其中，桌面虛擬化產(chǎn)品主要包括VMware Fusion（針對(duì)Mac）、VMware Workstation、VMware View等產(chǎn)品，而VMware Workstation則是個(gè)人虛擬化桌面的最常見的選擇，也是計(jì)算機(jī)網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)環(huán)境構(gòu)建的首選工具。

VMware Workstation軟件包含一個(gè)用于Intel x86相容計(jì)算機(jī)的虛擬機(jī)套裝，其允許用戶在一個(gè)物理宿主機(jī)上同時(shí)創(chuàng)建和運(yùn)行多個(gè)x86虛擬機(jī)系統(tǒng)（例如DOS、Windows、Linux等），并且可以在這些虛擬機(jī)系統(tǒng)中進(jìn)行新的應(yīng)用程序的開發(fā)、測(cè)試以及相關(guān)部署。在物理宿主機(jī)中，可以通過(guò)VMware Workstation軟件在一個(gè)窗口中加載一個(gè)虛擬機(jī)系統(tǒng)，并通過(guò)窗口切換來(lái)進(jìn)行多個(gè)不同的虛擬機(jī)系統(tǒng)之間的切換；同時(shí)，VMware Workstation提供了實(shí)時(shí)快照、掛起、恢復(fù)以及退出虛擬機(jī)等操作，為進(jìn)入退出虛擬機(jī)系統(tǒng)提供了更大的靈活性。另外，VMware Workstation軟件還可以在一臺(tái)物理宿主機(jī)上模擬出較為完整的網(wǎng)絡(luò)環(huán)境，所以可以方便地利用物理宿主機(jī)及其上運(yùn)行的虛擬機(jī)系統(tǒng)構(gòu)建不同結(jié)構(gòu)的局域網(wǎng)。鑒于以上特點(diǎn)，使得VMware Workstation成為現(xiàn)今各種網(wǎng)絡(luò)應(yīng)用開發(fā)及部署的必不可少的工具。

2 虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境的構(gòu)建

2.1 虛擬機(jī)的搭建

本文利用VMware Workstation 7.1軟件來(lái)構(gòu)建網(wǎng)絡(luò)安全的虛擬實(shí)驗(yàn)環(huán)境。VMware Workstation 7.1對(duì)計(jì)算機(jī)的軟硬件配置的要求不高，可以在大多數(shù)計(jì)算機(jī)上使用。虛擬網(wǎng)絡(luò)環(huán)境的構(gòu)建要在網(wǎng)絡(luò)安全實(shí)驗(yàn)室的計(jì)算機(jī)上（統(tǒng)一使用Windows XP操作系統(tǒng)）安裝并啟動(dòng)VMware Workstation軟件，建立虛擬機(jī)；將與已購(gòu)置的網(wǎng)絡(luò)安全平臺(tái)相對(duì)應(yīng)的Windows Server 2003和Linux操作系統(tǒng)的虛擬機(jī)文件拷貝到計(jì)算機(jī)的指定目錄下。同時(shí)，需要將網(wǎng)絡(luò)安全實(shí)驗(yàn)室的一臺(tái)主機(jī)作為網(wǎng)絡(luò)安全平臺(tái)的服務(wù)器來(lái)使用，并在該計(jì)算機(jī)上復(fù)制拷貝服務(wù)器版的虛擬機(jī)文件，每次實(shí)驗(yàn)，需要先在服務(wù)器計(jì)算機(jī)上，打開并運(yùn)行服務(wù)器虛擬機(jī)，才能夠正常進(jìn)行實(shí)驗(yàn)。

2.2 虛擬機(jī)網(wǎng)絡(luò)連接的設(shè)置

虛擬機(jī)安裝創(chuàng)建過(guò)程中，必須將虛擬機(jī)連入網(wǎng)絡(luò)才可以正常進(jìn)行實(shí)驗(yàn)。VMware Workstation提供了10種（VMnet0-VMnet9）可作為虛擬交換機(jī)使用的虛擬網(wǎng)絡(luò)設(shè)備，同時(shí)為虛擬機(jī)接入網(wǎng)絡(luò)提供了三種網(wǎng)絡(luò)連接方式：Bridged（橋接模式）、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換模式）、Host-only（主機(jī)模式）[4]。

⑴ Bridged（橋接模式）。在該模式下，物理宿主計(jì)算機(jī)與虛擬系統(tǒng)計(jì)算機(jī)通過(guò)VMnet0虛擬交換機(jī)連接，兩者處于同一網(wǎng)段中。只需對(duì)虛擬機(jī)系統(tǒng)進(jìn)行與物理宿主機(jī)同網(wǎng)段的TCP/IP參數(shù)配置，二者之間就可以相互訪問(wèn)；同時(shí)，虛擬機(jī)系統(tǒng)也可以作為一臺(tái)完全獨(dú)立的計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)中的其他計(jì)算機(jī)，并進(jìn)行資源共享。如果網(wǎng)絡(luò)中存在DHCP服務(wù)器，虛擬機(jī)系統(tǒng)也可以直接從服務(wù)器獲取TCP/IP配置。橋接模式是虛擬機(jī)系統(tǒng)連網(wǎng)最簡(jiǎn)單的方式，也是虛擬機(jī)安裝創(chuàng)建過(guò)程中的默認(rèn)設(shè)置。

⑵ NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換模式）。在該模式下，物理宿主機(jī)使用VMware Network Adapter VMnet8虛擬網(wǎng)卡與虛擬機(jī)系統(tǒng)通過(guò)VMnet8虛擬交換機(jī)進(jìn)行連接，雙方在VMnet8網(wǎng)段進(jìn)行相互通信；同時(shí)，通過(guò)虛擬機(jī)虛擬的NAT服務(wù)器使虛擬機(jī)系統(tǒng)的虛擬網(wǎng)卡連入Internet。在NAT模式下，虛擬機(jī)系統(tǒng)由VMnet8虛擬網(wǎng)絡(luò)中的DHCP服務(wù)器自動(dòng)完成TCP/IP配置，不能手工進(jìn)行修改，因此，不能與網(wǎng)絡(luò)中的其他物理宿主機(jī)互訪通信。

⑶ host-only（主機(jī)模式）。在該模式下，物理宿主機(jī)與虛擬機(jī)系統(tǒng)通過(guò)VMnet1虛擬交換機(jī)進(jìn)行連接，虛擬機(jī)系統(tǒng)只能訪問(wèn)局域網(wǎng)中的其他虛擬機(jī)，而不能訪問(wèn)局域網(wǎng)中的其他物理宿主機(jī)。

根據(jù)以上描述，在構(gòu)建網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)環(huán)境的過(guò)程中，本文選擇默認(rèn)的Bridge（橋接）模式，使得虛擬機(jī)系統(tǒng)與物理宿主機(jī)系統(tǒng)同處于一個(gè)網(wǎng)絡(luò)，并通過(guò)網(wǎng)絡(luò)安全平臺(tái)的DHCP服務(wù)器來(lái)自動(dòng)進(jìn)行TCP/IP配置。

2.3 虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

本文構(gòu)建的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境主要依附于三種網(wǎng)絡(luò)結(jié)構(gòu)：交換網(wǎng)絡(luò)結(jié)構(gòu)、企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)及無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)。所有實(shí)驗(yàn)分層次、有選擇地在三種網(wǎng)絡(luò)環(huán)境下進(jìn)行。

在交換網(wǎng)絡(luò)結(jié)構(gòu)中，如圖1所示，實(shí)驗(yàn)室中每?jī)膳_(tái)（根據(jù)實(shí)驗(yàn)需求，可自行確定數(shù)量）計(jì)算機(jī)被劃分為一個(gè)實(shí)驗(yàn)組，并在實(shí)驗(yàn)平臺(tái)上擁有相對(duì)應(yīng)的資源共享模塊。在該網(wǎng)絡(luò)結(jié)構(gòu)中，各實(shí)驗(yàn)組間的計(jì)算機(jī)可以互訪，各個(gè)共享模塊之間也可以互訪，并且各個(gè)計(jì)算機(jī)也可以訪問(wèn)應(yīng)用服務(wù)器上的所有資源。

圖1 交換網(wǎng)絡(luò)結(jié)構(gòu)

如圖2所示，在企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中，實(shí)驗(yàn)室中的計(jì)算機(jī)依然以實(shí)驗(yàn)組的形式連接到相應(yīng)的共享模塊上，然后連接到實(shí)驗(yàn)平臺(tái)的交換模塊。不同的是，各實(shí)驗(yàn)組中的計(jì)算機(jī)以及各共享模塊之間不可以直接訪問(wèn)。另外，通過(guò)對(duì)防火墻的配置，可以對(duì)各實(shí)驗(yàn)組中的主機(jī)進(jìn)行相關(guān)區(qū)域的劃分，如劃定實(shí)驗(yàn)組一中的主機(jī)A、B為企業(yè)內(nèi)網(wǎng)主機(jī)，實(shí)驗(yàn)組二中的主機(jī)C、D為企業(yè)DMZ區(qū)主機(jī)，同時(shí)實(shí)驗(yàn)組三中的主機(jī)E、F為外網(wǎng)主機(jī)。所以在企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中，可以進(jìn)行更加復(fù)雜及全面的實(shí)驗(yàn)實(shí)踐，更有利于學(xué)生實(shí)際應(yīng)用能力的培養(yǎng)與提高。