基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

顧理軍

摘 要：高職信息安全與管理專業(yè)是我國培養(yǎng)信息安全專業(yè)人才的重要搖籃，而實(shí)訓(xùn)教學(xué)是開展高職教育的一個(gè)重要手段。文章研究了基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)，該平臺(tái)能提供一個(gè)理想的實(shí)訓(xùn)平臺(tái)，讓學(xué)生自主構(gòu)建網(wǎng)絡(luò)環(huán)境，搭建網(wǎng)絡(luò)靶場(chǎng)，實(shí)施網(wǎng)絡(luò)攻防，熟悉和掌握先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，提升其職業(yè)技能。

關(guān)鍵詞：信息安全與管理；VMware技術(shù)；網(wǎng)絡(luò)攻防平臺(tái)

2014年2月27日，中共中央成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，習(xí)近平總書記親自擔(dān)任組長。2015年10月，教育部修訂的《普通高等學(xué)校高等職業(yè)教育（?？疲I(yè)目錄》中將信息安全與管理作為計(jì)算機(jī)類的一個(gè)單獨(dú)專業(yè)招生。隨著計(jì)算機(jī)病毒和黑客攻擊技術(shù)的不斷發(fā)展，國家對(duì)信息安全專業(yè)越來越重視，如何提升信息安全與管理專業(yè)人才的培養(yǎng)質(zhì)量，已成為當(dāng)前高職信息安全與管理專業(yè)教育的當(dāng)務(wù)之急。

常州機(jī)電職業(yè)技術(shù)學(xué)院自開設(shè)了信息安全與管理專業(yè)以來，通過走訪兄弟院校、企業(yè)調(diào)研、參加行業(yè)協(xié)會(huì)、技能大賽等多種途徑研究發(fā)現(xiàn)：實(shí)踐教學(xué)是提升高職院校信息安全與管理專業(yè)學(xué)生技術(shù)技能的核心與關(guān)鍵，只有建設(shè)好符合高職院校信息安全與管理專業(yè)人才培養(yǎng)方案的信息安全實(shí)訓(xùn)室，通過實(shí)踐教學(xué)，讓學(xué)生在實(shí)踐中學(xué)習(xí)、總結(jié)、提煉，才能更好地提升其信息安全水平。

1 網(wǎng)絡(luò)安全實(shí)訓(xùn)室建設(shè)現(xiàn)狀及存在問題

2016年，常州機(jī)電職業(yè)技術(shù)學(xué)院與神州數(shù)碼云科信息技術(shù)有限公司合作建成網(wǎng)絡(luò)安全實(shí)訓(xùn)室，實(shí)訓(xùn)室配有計(jì)算機(jī)、3層網(wǎng)管交換機(jī)、上網(wǎng)行為日志系統(tǒng)、流量控制網(wǎng)關(guān)、企業(yè)安全防火墻、Web防火墻、神州數(shù)碼安全沙盒教學(xué)平臺(tái)、神州數(shù)碼網(wǎng)絡(luò)攻防平臺(tái)等網(wǎng)絡(luò)安全設(shè)備，可進(jìn)行網(wǎng)絡(luò)安全設(shè)備配置與管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻防等課程的實(shí)訓(xùn)教學(xué)。通過近3年的教學(xué)使用，發(fā)現(xiàn)神州數(shù)碼網(wǎng)絡(luò)安全實(shí)訓(xùn)室在教學(xué)中主要存在以下3個(gè)方面的問題[1]。

（1）防火墻、上網(wǎng)日志系統(tǒng)及流量控制網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備價(jià)格昂貴，操作系統(tǒng)更新較快，且在實(shí)際配置過程中只允許單用戶操作，只能采取虛擬教學(xué)加分組操作的方式，學(xué)生的掌握情況良莠不齊。

（2）神州數(shù)碼安全沙盒教學(xué)平臺(tái)雖然集成了許多網(wǎng)絡(luò)安全課程，但是硬件性能有限，課程內(nèi)容陳舊，且課程之間相互獨(dú)立，沒有形成高校所特有的課程體系，不能滿足高校學(xué)生遞進(jìn)式的學(xué)習(xí)需求。

（3）神州數(shù)碼安全沙盒教學(xué)平臺(tái)只能讓學(xué)生在預(yù)設(shè)的固定網(wǎng)絡(luò)環(huán)境中演練，不能讓用戶自主創(chuàng)建網(wǎng)絡(luò)環(huán)境，缺乏對(duì)實(shí)際網(wǎng)絡(luò)拓?fù)涞恼J(rèn)識(shí)，而且神州數(shù)碼安全沙盒教學(xué)平臺(tái)缺乏對(duì)戰(zhàn)環(huán)境，不能讓學(xué)生將所學(xué)的知識(shí)學(xué)以致用。

2 基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)攻防平臺(tái)的功能設(shè)定

為提高信息安全與管理專業(yè)的教學(xué)質(zhì)量，常州機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全教學(xué)團(tuán)隊(duì)成員與易霖博信息安全技術(shù)有限公司合作開發(fā)了基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)，利用虛擬技術(shù)，自主安裝和配置網(wǎng)絡(luò)對(duì)戰(zhàn)的靶機(jī)和攻擊機(jī)，編寫網(wǎng)絡(luò)安全實(shí)訓(xùn)手冊(cè)，并克隆安裝在網(wǎng)絡(luò)安全實(shí)訓(xùn)室的每一臺(tái)計(jì)算機(jī)上，讓學(xué)生在掌握了一定的網(wǎng)絡(luò)安全知識(shí)后，通過網(wǎng)絡(luò)對(duì)戰(zhàn)的方式提升其網(wǎng)絡(luò)攻防能力?；赩Mware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)其功能定位主要包含以下3個(gè)方面[2]。

（1）單機(jī)系統(tǒng)，可以讓學(xué)生通過虛擬技術(shù)自主創(chuàng)建靶機(jī)、搭建網(wǎng)絡(luò)環(huán)境，熟悉網(wǎng)絡(luò)攻防平臺(tái)的拓?fù)浣Y(jié)構(gòu)，適應(yīng)網(wǎng)絡(luò)環(huán)境變化，學(xué)會(huì)網(wǎng)絡(luò)掃描、滲透技術(shù)。

（2）混戰(zhàn)模式，讓學(xué)生利用虛擬機(jī)快照技術(shù)同時(shí)部署靶機(jī)和攻擊機(jī)，并配置好3層交換設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)混戰(zhàn)，使得每位同學(xué)在維護(hù)好自己靶機(jī)的情況下，利用攻擊機(jī)奪取局域網(wǎng)中其他同學(xué)靶機(jī)的FLAG，提升其網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力。

（3）混戰(zhàn)成績管理系統(tǒng)，可以查看學(xué)生靶機(jī)和攻擊機(jī)的狀態(tài)，可以讓學(xué)生提交在混戰(zhàn)模式下所取得的FLAG，實(shí)時(shí)評(píng)分，并公布名次。

2.2 網(wǎng)絡(luò)攻防平臺(tái)的軟件組成

基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)主要由4個(gè)部件組成（見圖1），分別是用來配置網(wǎng)絡(luò)環(huán)境的3層網(wǎng)管型交換機(jī)，用來配置虛擬網(wǎng)絡(luò)環(huán)境的虛擬機(jī)軟件VMware Workstation、學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)和實(shí)施網(wǎng)絡(luò)混戰(zhàn)的兩臺(tái)服務(wù)器靶機(jī)和兩臺(tái)攻擊機(jī)的虛擬機(jī)對(duì)應(yīng)快照、管理混戰(zhàn)模式的成績管理系統(tǒng)。

虛擬機(jī)軟件中安裝的服務(wù)器用來配置成靶機(jī)，分別安裝Windows Server操作系統(tǒng)和Linux操作系統(tǒng)，靶場(chǎng)使用的是DVWA和Metasploitable。DVWA（Dema Vulnerable Web Application）是randomstorm的一個(gè)開源項(xiàng)目，是一套基于PHP+MySQL環(huán)境的用于常規(guī)Web漏洞教學(xué)和檢測(cè)的程序，包含了SQL注入、Xss、盲注等常用的一些安全漏洞。基于Linux的Metasploitable漏洞演練系統(tǒng)，是一個(gè)具有無數(shù)未打補(bǔ)丁漏洞與開放了無數(shù)高危端口的滲透演練系統(tǒng)，本身設(shè)計(jì)為安全工具測(cè)試和常見漏洞攻擊的靶機(jī)。

攻擊機(jī)分別為Kali Linux操作系統(tǒng)和裝有攻擊工具的Windows操作系統(tǒng)，Kali Linux是基于Debian的發(fā)行版本，預(yù)裝了超過300個(gè)滲透測(cè)試工具，包括nmap、Wireshark、burpsuite等[3]。

混戰(zhàn)管理系統(tǒng)，使用ASP.NET開發(fā)，主要功能包括用戶管理系統(tǒng)、靶機(jī)狀態(tài)顯示系統(tǒng)、成績提交系統(tǒng)、成績排名系統(tǒng)。

2.3 網(wǎng)絡(luò)攻防平臺(tái)的實(shí)現(xiàn)流程

網(wǎng)絡(luò)攻防平臺(tái)實(shí)訓(xùn)環(huán)境分為單機(jī)環(huán)境和局域網(wǎng)混戰(zhàn)環(huán)境。

在單機(jī)環(huán)境下，學(xué)生根據(jù)實(shí)訓(xùn)手冊(cè)要求啟動(dòng)對(duì)應(yīng)虛擬機(jī)的快照，將虛擬機(jī)的網(wǎng)絡(luò)連接方式設(shè)置為僅主機(jī)模式，配置好IP地址，即可實(shí)現(xiàn)網(wǎng)絡(luò)滲透、漏洞掃描、Web應(yīng)用滲透、操作系統(tǒng)加固、Web安全防護(hù)等網(wǎng)絡(luò)攻防實(shí)訓(xùn)。

在局域網(wǎng)混戰(zhàn)環(huán)境下，啟動(dòng)混戰(zhàn)管理系統(tǒng)，通過3層交換機(jī)的虛擬局域網(wǎng)技術(shù)將每臺(tái)計(jì)算機(jī)劃分到不同的虛擬局域網(wǎng)中再進(jìn)行系統(tǒng)加固，此時(shí)學(xué)生需要首先啟動(dòng)計(jì)算機(jī)上的虛擬靶機(jī)，將虛擬靶機(jī)的網(wǎng)絡(luò)連接方式設(shè)置為橋接模式，配置好IP地址及網(wǎng)關(guān)，連接混戰(zhàn)管理系統(tǒng)，構(gòu)建局域網(wǎng)下的混戰(zhàn)環(huán)境。加固結(jié)束后，通過混戰(zhàn)管理系統(tǒng)開啟混戰(zhàn)模式，監(jiān)控靶機(jī)的運(yùn)行狀態(tài)，學(xué)生此時(shí)可以通過實(shí)體機(jī)上的虛擬攻擊機(jī)實(shí)施網(wǎng)絡(luò)攻擊，并將取得的FLAG值通過混戰(zhàn)管理系統(tǒng)提交，獲得成績并查看名次。

2.4 網(wǎng)絡(luò)攻防平臺(tái)的使用效果

基于VMware技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)跟傳統(tǒng)的網(wǎng)絡(luò)攻防平臺(tái)相比，采用分布式的方式將靶機(jī)和攻擊機(jī)均安裝在實(shí)訓(xùn)室的電腦客戶端，主要具有以下3方面的優(yōu)勢(shì)[4]。

（1）由于采用分布式環(huán)境實(shí)現(xiàn)網(wǎng)絡(luò)攻防，只需要運(yùn)行虛擬機(jī)軟件的客戶端電腦內(nèi)存大于8 G即可，而不需要購買高端的服務(wù)器，節(jié)約了硬件成本。

（2）通過虛擬機(jī)快照的方式構(gòu)建網(wǎng)絡(luò)攻防環(huán)境，可以實(shí)現(xiàn)一鍵還原，減去了重新安裝操作系統(tǒng)的工作量，安全可靠高效。

（3）使用開源靶場(chǎng)作為網(wǎng)絡(luò)攻防環(huán)境，可以及時(shí)更新維護(hù)，讓學(xué)生使用最新的操作系統(tǒng)，認(rèn)識(shí)最新的漏洞，學(xué)習(xí)最新的網(wǎng)絡(luò)安全技術(shù)。

（4）讓學(xué)生自主構(gòu)建網(wǎng)絡(luò)環(huán)境，搭建網(wǎng)絡(luò)靶機(jī)并實(shí)施網(wǎng)絡(luò)攻擊，能提升學(xué)生的學(xué)習(xí)興趣，綜合提高其網(wǎng)絡(luò)組建、網(wǎng)絡(luò)管理及安全維護(hù)能力。

3 結(jié)語

網(wǎng)絡(luò)攻防平臺(tái)的使用降低了網(wǎng)絡(luò)攻防實(shí)驗(yàn)對(duì)實(shí)際網(wǎng)絡(luò)環(huán)境和物理設(shè)備的破壞，減少實(shí)訓(xùn)成本的投入，并且能提升學(xué)生的網(wǎng)絡(luò)組建和安全防護(hù)能力，具有很大的實(shí)用價(jià)值。

[參考文獻(xiàn)]

[1]張力，周漢清.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J].軟件導(dǎo)刊，2015（9）：188-191.

[2]馬麗.網(wǎng)絡(luò)安全攻防訓(xùn)練平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)科技，2017（11）：75-76.

[3]黃曉芳.網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)開發(fā)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2017（5）：73-76.

[4]姚煒.網(wǎng)絡(luò)攻防模擬平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].科研，2016（10）：33-35.