基于云技術(shù)的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

宣樂(lè)飛

摘 要： 云計(jì)算技術(shù)具有部署靈活、可擴(kuò)展性強(qiáng)、利用率高等特點(diǎn)。利用開(kāi)源云計(jì)算技術(shù)Openstack，完成網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)的搭建。通過(guò)綜合云管理平臺(tái)，對(duì)教學(xué)實(shí)驗(yàn)、綜合實(shí)戰(zhàn)、仿真實(shí)戰(zhàn)、攻防對(duì)抗等功能進(jìn)行集中監(jiān)控與管理。通過(guò)管理模塊，對(duì)課件、題庫(kù)、模板、靶機(jī)等資源進(jìn)行統(tǒng)一制作、管理與維護(hù)。使用SDN技術(shù)，對(duì)各種設(shè)備和環(huán)境以圖形化方式進(jìn)行自由拖拽與組合，可快速生成各種目標(biāo)場(chǎng)景和仿真環(huán)境，為信息安全類(lèi)專(zhuān)業(yè)開(kāi)展實(shí)訓(xùn)教學(xué)提供實(shí)戰(zhàn)訓(xùn)練環(huán)境。

關(guān)鍵詞： 云計(jì)算； Openstack； SDN； 實(shí)訓(xùn)平臺(tái)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2018）06-26-03

Design and implementation of cloud technology based platform

for network attack and defense training

Xuan Lefei

（Information Engineering Institute， Hangzhou Vocational & Technical College， Hangzhou， Zhejiang 310018， China）

Abstract： The cloud computing technology has the characteristics of flexible deployment， strong extensibility and high utilization. The open source cloud computing technology Openstack is used to complete the construction of the network attack and defense training platform. Through the integrated cloud management platform， the centralized monitoring and management of the functions of teaching experiment， integrated actual combat， simulation actual combat， attack and defense confrontation and so on. Through the management module， the courseware， the question bank， the template， the target machine and other resources are unified produced， managed and maintained. The use of SDN technology， the free drag and combination of various devices and environments in a graphical manner， can quickly generate various target scenes and simulation environment， which provides an effective practical training environment for the practical teaching of the cyber security specialty.

Key words： cloud computing； Openstack； SDN； training platform

0 引言

“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家”，網(wǎng)絡(luò)安全受到國(guó)家層面的高度重視。而“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)”。因此，培養(yǎng)信息安全人才已成為信息安全類(lèi)專(zhuān)業(yè)的當(dāng)務(wù)之急。為了培養(yǎng)和提高信息安全類(lèi)專(zhuān)業(yè)學(xué)生的職業(yè)技能，本文研究設(shè)計(jì)一種開(kāi)放架構(gòu)、可擴(kuò)展、可自定義的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)，以滿足專(zhuān)業(yè)教學(xué)、實(shí)訓(xùn)和科研的需要。

1 傳統(tǒng)網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)存在的問(wèn)題

傳統(tǒng)的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)，一般使用物理環(huán)境和真實(shí)設(shè)備來(lái)搭建攻防平臺(tái)，設(shè)施設(shè)備投入高，部署難度大，管理困難。部分廠商使用專(zhuān)用設(shè)備通過(guò)虛擬化技術(shù)搭建實(shí)訓(xùn)環(huán)境，但平臺(tái)對(duì)實(shí)訓(xùn)人數(shù)有較大限制，同時(shí)后續(xù)升級(jí)成本較高，無(wú)法滿足專(zhuān)業(yè)教學(xué)的需求[1]。隨著云計(jì)算技術(shù)的發(fā)展，使用開(kāi)放云架構(gòu)的方式構(gòu)建網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)，能夠低成本、快速靈活的部署與實(shí)施，能快速提供對(duì)教學(xué)實(shí)訓(xùn)的支持，具有較好的發(fā)展前景。

2 平臺(tái)關(guān)鍵技術(shù)研究

2.1 云計(jì)算技術(shù)

云計(jì)算是一個(gè)具備高度擴(kuò)展性和管理性，并能勝任終端用戶應(yīng)用軟件計(jì)算基礎(chǔ)架構(gòu)的系統(tǒng)池[2]。使用云計(jì)算技術(shù)，可以提高資源的統(tǒng)一管理與利用效率。OpenStack作為開(kāi)源的云計(jì)算管理平臺(tái)項(xiàng)目，提供了標(biāo)準(zhǔn)統(tǒng)一、實(shí)施簡(jiǎn)單、可大規(guī)模擴(kuò)展的云計(jì)算管理平臺(tái)，便于用戶進(jìn)行二次開(kāi)發(fā)。其核心功能由5部分組成，包括計(jì)算服務(wù)nova、對(duì)象存儲(chǔ)swift、鏡像服務(wù)glance、認(rèn)證服務(wù)keystone和控制臺(tái)horizon[3]。因此，本平臺(tái)使用OpenStack技術(shù)進(jìn)行云平臺(tái)服務(wù)器控制節(jié)點(diǎn)與計(jì)算節(jié)點(diǎn)的設(shè)計(jì)與實(shí)施，滿足不同應(yīng)用場(chǎng)景的需求。

2.2 SDN技術(shù)

SDN即軟件定義網(wǎng)絡(luò)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式。通過(guò)openflow技術(shù)，將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制[4]。在網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)中，采用SDN技術(shù)，各種設(shè)備和環(huán)境可以通過(guò)圖形化的界面方式進(jìn)行自由拖拽與組合，即可生成各類(lèi)真實(shí)的網(wǎng)絡(luò)靶場(chǎng)環(huán)境，也可以模擬各種真實(shí)的目標(biāo)場(chǎng)景，仿真各類(lèi)網(wǎng)絡(luò)拓?fù)洹?/p>

3 網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)的設(shè)計(jì)

3.1 網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)邏輯拓?fù)湓O(shè)計(jì)

針對(duì)信息安全類(lèi)攻防實(shí)訓(xùn)的特點(diǎn)，同時(shí)為了滿足內(nèi)網(wǎng)用戶（學(xué)生）和外網(wǎng)用戶（社會(huì)學(xué)習(xí)者）的學(xué)習(xí)與使用，本平臺(tái)在設(shè)計(jì)中通過(guò)VPN服務(wù)進(jìn)行接入，保證實(shí)驗(yàn)環(huán)境與物理網(wǎng)絡(luò)的邏輯隔離，提高網(wǎng)絡(luò)安全性，具體拓?fù)淙鐖D1所示。

利用Openstack提供的相關(guān)技術(shù)，本平臺(tái)實(shí)現(xiàn)模塊化的功能設(shè)計(jì)[5]。其中，使用nova技術(shù)完成實(shí)例運(yùn)行、網(wǎng)絡(luò)管理與用戶訪問(wèn)控制等云服務(wù)的部署，最終實(shí)現(xiàn)實(shí)訓(xùn)平臺(tái)（網(wǎng)絡(luò)靶場(chǎng)）和綜合管理平臺(tái)的構(gòu)建。通過(guò)swift這一可擴(kuò)展的對(duì)象存儲(chǔ)系統(tǒng)，完成相應(yīng)環(huán)境的分布式存儲(chǔ)。通過(guò)glance服務(wù)，實(shí)現(xiàn)對(duì)虛擬機(jī)鏡像注冊(cè)，發(fā)現(xiàn)和讀取服務(wù)，完成攻防場(chǎng)景的快速切換。

3.2 網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)功能設(shè)計(jì)

網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)基于虛擬化的綜合管理云平臺(tái)，包括攻防實(shí)戰(zhàn)和綜合管理兩大主要模塊。其中，綜合管理平臺(tái)包括課件管理、靶機(jī)管理、模板管理、題庫(kù)管理和工具管理。攻防實(shí)戰(zhàn)平臺(tái)包括教學(xué)實(shí)驗(yàn)、綜合實(shí)戰(zhàn)、仿真實(shí)戰(zhàn)、攻防（對(duì)抗）實(shí)戰(zhàn)、工具庫(kù)組成，具體平臺(tái)功能如圖2所示。

綜合管理平臺(tái)作為統(tǒng)一的管理平臺(tái)，主要對(duì)課件、靶機(jī)、模板、題庫(kù)的進(jìn)行統(tǒng)一集中管理。同時(shí)對(duì)學(xué)生賬戶的訪問(wèn)控制粒度進(jìn)行管理、認(rèn)證和授權(quán)。

教學(xué)實(shí)驗(yàn)功能中內(nèi)置了9大類(lèi)600多個(gè)課程。覆蓋總類(lèi)多、范圍廣、專(zhuān)業(yè)性強(qiáng)、注重理論及實(shí)踐應(yīng)用相結(jié)合。通過(guò)預(yù)制相應(yīng)的實(shí)驗(yàn)環(huán)境進(jìn)行實(shí)驗(yàn)，學(xué)習(xí)者可掌握安全技術(shù)知識(shí)攻擊與防御方法。在學(xué)習(xí)過(guò)程中，系統(tǒng)會(huì)自動(dòng)記錄學(xué)時(shí)，讓教師及時(shí)的掌握當(dāng)前熱門(mén)課程、學(xué)習(xí)進(jìn)度、實(shí)驗(yàn)進(jìn)度、學(xué)生掌握能力等。

綜合實(shí)戰(zhàn)功能是基于互聯(lián)網(wǎng)重大安全漏洞的實(shí)戰(zhàn)化平臺(tái)，提供網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)庫(kù)安全四大層面的重大安全漏洞實(shí)戰(zhàn)項(xiàng)目，所有實(shí)戰(zhàn)化項(xiàng)目劃分了初級(jí)、中級(jí)、高級(jí)不同難度。

仿真實(shí)戰(zhàn)平臺(tái)基于SDN（軟件定義網(wǎng)絡(luò)）技術(shù)，可通過(guò)圖形化的界面方式自由拖拽，生成各類(lèi)真實(shí)的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。通過(guò)模擬各種真實(shí)的目標(biāo)場(chǎng)景，仿真各類(lèi)網(wǎng)絡(luò)拓?fù)?。學(xué)習(xí)者可在模擬目標(biāo)網(wǎng)絡(luò)環(huán)境中進(jìn)行滲透測(cè)試練習(xí)。

攻防實(shí)戰(zhàn)平臺(tái)是信息安全人員技術(shù)競(jìng)技比賽的平臺(tái)。通過(guò)模擬真實(shí)的企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)、外部互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)場(chǎng)景等形式，進(jìn)行仿真實(shí)戰(zhàn)的安全競(jìng)賽模式。平臺(tái)可對(duì)數(shù)據(jù)以可視化方式實(shí)時(shí)展現(xiàn)，通過(guò)此類(lèi)競(jìng)賽模式，有助于學(xué)生了解與發(fā)現(xiàn)不同企業(yè)的業(yè)務(wù)系統(tǒng)中存在的真實(shí)問(wèn)題。

4 網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)的應(yīng)用

以完成Web安全實(shí)訓(xùn)為例，學(xué)習(xí)者可以通過(guò)選擇課程，進(jìn)入實(shí)訓(xùn)界面，如圖3所示。在實(shí)訓(xùn)界面中包含有完成的實(shí)驗(yàn)介紹和實(shí)驗(yàn)步驟。通過(guò)創(chuàng)建實(shí)驗(yàn)環(huán)境，系統(tǒng)根據(jù)模板自動(dòng)生成靶機(jī)資源，方便開(kāi)展相關(guān)的實(shí)訓(xùn)。同時(shí)，為保證資源有效利用，系統(tǒng)會(huì)自動(dòng)進(jìn)行計(jì)時(shí)，到時(shí)間后自動(dòng)釋放相關(guān)靶機(jī)資源。

圖4是靶機(jī)管理界面。在學(xué)生實(shí)訓(xùn)過(guò)程中，平臺(tái)自動(dòng)調(diào)配資源以保證實(shí)訓(xùn)環(huán)境正常運(yùn)行。利用云計(jì)算技術(shù)，攻防平臺(tái)提高了靶機(jī)生成的效率。根據(jù)測(cè)試，平臺(tái)中單個(gè)靶機(jī)的平均生成時(shí)間只需要8秒鐘，完成100個(gè)靶機(jī)的批量生成時(shí)間平均只需要30秒鐘，可以滿足整班學(xué)生的實(shí)訓(xùn)需求。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)對(duì)于培養(yǎng)信息安全類(lèi)人才具有十分重要的作用。通過(guò)使用云計(jì)算技術(shù)，改變了傳統(tǒng)平臺(tái)對(duì)于網(wǎng)絡(luò)技術(shù)的依賴(lài)。同時(shí)其易于擴(kuò)展、部署靈活的特點(diǎn)，提高了實(shí)訓(xùn)平臺(tái)的承載能力，降低了使用成本。該方法提供了網(wǎng)絡(luò)攻防實(shí)訓(xùn)的新思路，也促進(jìn)了學(xué)生網(wǎng)絡(luò)安全攻防水平的提高。

參考文獻(xiàn)（References）：

[1] 俞立峰，楊瓊.信息安全虛擬實(shí)踐教學(xué)平臺(tái)的構(gòu)建[J].計(jì)算機(jī)

時(shí)代，2014.2：18-19

[2] 康辰，朱志祥.基于云計(jì)算平臺(tái)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)[J].西安

郵電大學(xué)學(xué)報(bào)，2013.18（3）：87-91

[3] 葉建鋒，張平安，高月芳.基于Openstack的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平

臺(tái)設(shè)計(jì)與構(gòu)建[J].實(shí)驗(yàn)技術(shù)與管理，2016.33（3）：86-89

[4] 張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡(luò)（SDN） 研究進(jìn)展[J].

軟件學(xué)報(bào)，2015.1：62-81

[5] 張力，周漢清.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)設(shè)

計(jì)[J].軟件導(dǎo)刊，2015.14（9）：188-191