系統服務器端用戶分為學生�、教師���、教務管理員和系統管理員四種角色���,不同角色擁有不同權限�。
Ø 學生:選課��、選擇實驗��、開展實驗����、接受實驗指導�����、在線提交實驗報告���、保存和提交實驗結果�、查詢實驗成績和批語��。
Ø 教師:典型實驗庫維護����、發布實驗�、安排實驗����、批改實驗報告��、系統指導����、統計并發布學生的實驗成績和批語�����。
Ø 教務管理員:課程計劃�、開課計劃����、選課日期設置���、開課審核�、開課查詢�����。
Ø 系統管理員:用戶管理��、分組管理�、角色管理��、權限管理����、系統維護等�。
1計算機信息安全與網絡攻防實驗教學現狀
由于網絡安全實驗本身具有特殊性和破壞性��,目前開展網絡安全的實驗教學和研究工作一般都是在一個獨立的網絡中�,利用硬件設備搭建物理實驗環境��,或者采用虛擬仿真技術模擬真實網絡環境�����。利用硬件進行網絡安全實驗對實驗室的有很高的要求���,而且當攻防實驗所需的網絡規模龐大和拓撲結構復雜時�����,在實驗室中仍無法進行�。因此����,目前的網絡攻防實驗大多采用虛擬仿真技術來進行����。已有的基于虛擬仿真技術的網絡攻防教學和培訓產品��,對網絡安全的實驗和研究起到了良好的推動作用��,但也存在以下問題:(1)由于真實網絡環境的復雜性和多樣性�,僅依靠虛擬化技術或硬件設備��,難以實現對多樣化的網絡拓撲結構和攻防場景的模擬[3]����;(2)不能通過網絡開展遠程攻防實驗��,實驗設備利用率較低�。因此�,利用虛擬化和云技術�,開發出可以供遠程用戶使用并靈活配置出多種網絡拓撲結構的實驗教學平臺成為目前的研究熱點��。
2基于云技術和虛擬化的實驗平臺功能
本文設計的實驗平臺提供自助式虛擬實驗項目建設體系�,利用虛擬現實技術�����,多種媒體(如音頻��、視頻�����、圖像�、文字等)來輔助學生對虛擬仿真實驗項目內容的認知和理解�。學生根據教學要求����,在線學習虛擬仿真實驗知識���,通過網絡共享平臺的軟硬件資源���,進行網絡安全實驗�。平臺可以將實驗過程和實驗結果數據反饋給學生��,供學生分析和總結�。如圖1所示���,虛擬仿真教學平臺由8個模塊組成�。(1)遠程接入控制模塊����。支持用戶通過局域網接入或互聯網遠程接入到虛擬仿真平臺進行信息安全實驗和攻防實驗����。(2)虛擬攻擊機云模塊���。利用虛擬化技術��,根據實驗的攻擊方法�����,可以生成配置有不同攻擊和防護工具的Windows虛擬機和Linux虛擬機����。(3)虛擬靶機云模塊��。利用虛擬化技術��,根據實驗的攻擊方案�,可以生成具有不同操作系統漏洞的虛擬靶機和具有應用軟件漏洞的虛擬靶機���,根據靶機的防護方案����,為靶機安裝了不同類型的防護軟件���。(4)擴展設備配置模塊����。允許用戶為虛擬攻擊機云平臺配置防火墻���、入侵檢測系統和安全審計系統等硬件設備�����,以構建多樣化的網絡環境開展實驗�����。(5)監控中心模塊�����。在實驗進行時自動捕獲平臺中的虛擬攻擊機和虛擬靶機流入和流出的網絡數據流��,在實驗完成后���,局域網用戶或互聯網用戶可下載這些數據包信息以進行分析��。(6)管理中心模塊�。添加和維護通過網絡使用該平臺的賬號��;維護虛擬攻擊機和虛擬靶機的操作系統鏡像庫和攻擊軟件工具�����。(7)實驗配置模塊��。允許互聯網用戶和局域網用戶配置虛擬攻擊機和虛擬靶機的IP地址和虛擬網絡的拓撲結構等信息���。(8)教學運行管理模塊���。具有信息發布���、互動交流�、實驗預約����、成績評定和成果展示等教學管理功能���。
3基于Openstatck的實驗平臺建設方案
3.1實驗平臺硬件結構本文設計的網絡攻防實驗教學平臺拓撲結構如圖2所示�。其中應用服務器包括8臺DellR910��,分別連接到交換機�、第一網絡云存儲和第二網絡云存儲�����。第一網絡云存儲通過防火墻連接到交換機���。防火墻是可選的網絡防護設備���,可以用其他網絡防護設備替代�����,或者直接連接交換機���。使用防火墻是為了配置多樣化的網絡防護環境�����。第一網絡云存儲中保存著具有操作系統漏洞和應用軟件漏洞的操作系統鏡像文件�,可以用來創建Windows或Linux虛擬靶機實例��。第二網絡云存儲直接連接到交換機����,保存著已安裝攻擊工具的操作系統鏡像文件���,利用這些鏡像文件可以創建出Windows或Linux虛擬攻擊機實例���?��;ヂ摼W用戶通過VPN網關�����、局域網用戶通過交換機連接到該虛擬仿真系統�����。
3.2實驗平臺系統架構實驗平臺是在云計算平臺開源項目OpenStack基礎上構建的�,可以利用OpenStack實現類似于Am-azonEC2和S3的云基礎架構服務(見圖3)�����。構建平臺主要用到OpenStack以下模塊的服務:(1)Nova調派資源實例化虛擬機�;(2)Glance提供虛擬機實例化時需要的鏡像�;(3)Network提供網絡連接����;(4)Cinder提供外接的塊存儲服務��;(5)Ceilometer從以上與虛擬機相關的幾個服務中收集數據��,用于統計�、監控�����、計費���、報警等�����;(6)Swift可以為Glance提供鏡像的存儲服務���,可以為Cinder提供卷的備份服務����?���?刂品掌骱头掌鞴濣c都安裝了Ubuntu操作系統��;其中控制服務器還安裝了Network模塊��,服務器節點安裝了Nova和Swift�����,其他幾個模塊也在平臺中得到了應用����。實驗平臺利用控制服務器管理各個服務器節點�����,根據第一網絡云存儲和第二網絡云存儲中的鏡像�����,建立虛擬靶機和虛擬攻擊機�����。虛擬靶機和虛擬攻擊機之間可以通過虛擬網絡連接���,也可以通過網絡安全設備和網絡連接設備連接��,以此構建出多樣化的網絡環境���。
3.3實驗平臺維護和實驗過程實驗平臺維護和實驗過程如圖4所示�����。實驗平臺初始化時����,管理員維護賬號信息庫�����,包括用戶名���、口令和可以操作的實驗類別�,為賬號在第一和第二網絡云存儲中分配磁盤空間���,指定用戶可以操作的實驗類別�����。管理員維護第一網絡云存儲中的虛擬靶機Win-dows和Linux操作系統鏡像文件庫�,維護第二網絡云存儲中的虛擬攻擊機Windows和Linux操作系統鏡像文件庫����,同時維護在虛擬攻擊機實例上使用的攻擊工具和虛擬靶機實例上使用的漏洞庫資源�。局域網用戶提供正確的用戶名和口令后直接連接到該虛擬仿真系統��;互聯網用戶通過VPN建立與實驗平臺的連接�����。當局域網用戶和互聯網用戶連接到該平臺后���,可以使用管理員預先為其分配好的位于第一網絡云存儲和第二網絡云存儲上的磁盤空間��。用戶根據實驗類別�����,選擇虛擬攻擊機和虛擬靶機的鏡像文件�����,在屬于自己的磁盤空間內創建虛擬攻擊機實例和虛擬靶機實例�,配置虛擬攻擊機實例和虛擬靶機實例的IP地址�、子網掩碼��、默認網關和DNS服務器��,建立虛擬攻擊機實例和虛擬靶機實例之間的網絡連接��,然后登錄到自己創建的虛擬靶機實例內�����,利用第一網絡云存儲上提供的具有安全漏洞的軟件配置虛擬靶機實例�����,使其具備被攻擊的條件���。用戶登錄到自己創建的虛擬攻擊機實例內�,利用第二網絡云存儲上提供的攻擊工具配置虛擬攻擊機實例使其具備攻擊能力�����。用戶可以自行在虛擬攻擊機實例上安裝其他攻擊工具��,在虛擬靶機實例上安裝其他防護工具�。為了真實地模擬復雜的網絡環境��,用戶可以為虛擬靶機實例配置防火墻��,將虛擬靶機實例納入防火墻的安全防護范圍內�����。用戶登錄到虛擬攻擊機防火墻的安全防護范圍內和虛擬攻擊機實例內�����,利用所配置的攻擊工具對虛擬靶機實例發動網絡攻擊�����。監控中心模塊捕獲流經虛擬攻擊機實例和虛擬靶機實例的網絡數據包���,保存虛擬攻擊機實例和虛擬靶機實例的操作系統日志和相關軟件工具的日志����。網絡用戶可隨時下載由監控中心模塊捕獲的網絡數據包����,以分析實驗結果�����。實驗完成后��,監控中心模塊會自動監控長時間內沒有活動的虛擬攻擊機實例和虛擬靶機實例�,將其關閉以釋放資源���。
4實驗教學體系和實驗平臺應用效果
4.1計算機信息安全與網絡攻防實驗教學體系建設一個高水平的信息安全與網絡攻防實驗室�����,使其成為計算機網絡與安全技術實驗基地和人才培養基地��,有利于促進網絡安全的理論和實踐教學����,提升學生的實踐創新能力[7]�。長春理工大學國家級虛擬仿真實驗中心建設了有線網絡攻防模擬��、病毒攻防等10個計算機信息安全與網絡攻防實驗模塊(見圖5)��,近200個實驗題目���,為14門課程開設了實驗�����。
4.2實驗平臺應用效果為了驗證平臺的教學使用效果�����,對計算機科學與技術��、軟件工程和網絡工程等3個專業6門課程的教學效果(使用平臺前后的課程平均分)進行了對比(見圖6)��。結果表明���,使用該平臺的學生的平均成績要高于未使用的學生�。
5結束語
本文提出了基于云計算和虛擬化的計算機信息安全與網絡攻防實驗教學平臺建設方案�����,結合創新人才培養要求�����,設計了滿足基礎性��、探索性和研究性實驗需求的實驗體系����。教學效果分析表明�����,該平臺教學效果良好���。
