劉飛飛

摘 要： 計算機網(wǎng)絡安全課程對于實驗環(huán)境的要求較為復雜，其網(wǎng)絡實驗環(huán)境搭建較為困難。針對這個問題，提出了基于vmware workstation虛擬機構建網(wǎng)絡安全虛擬實驗平臺的方法，完善和提升了現(xiàn)有的實踐教學能力，滿足了教學需求，進而可為同行提供參考。

關鍵詞： 網(wǎng)絡安全； 虛擬機技術； vmware workstation； 虛擬實驗平臺

中圖分類號：G642.0 文獻標志碼：A 文章編號：1006-8228（2015）08-23-03

Building of virtual experiment platform for computer network security course

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： The experimental environment for the computer network security courses is more complex， and it is difficult to construct a network experiment environment. Aiming at this problem， this paper proposes a method of building the virtual experiment platform based on vmware workstation. The platform improves the existing practical teaching ability to meet the teaching needs， which can also provide a reference for the peer.

Key words： network security； virtual machine technology； vmware workstation； virtual experiment platform

0 引言

網(wǎng)絡安全是當前互聯(lián)網(wǎng)極為突出的問題之一，許多高校都開設了信息安全專業(yè)，高校中的不少相關專業(yè)也都開設了網(wǎng)絡安全、信息安全技術、計算機安全、網(wǎng)絡安全對抗等課程，教學內(nèi)容一般包括數(shù)據(jù)加密技術、PKI技術、信息隱藏技術、消息認證技術、網(wǎng)絡攻擊與防范技術、入侵檢測技術、防火墻技術、操作系統(tǒng)安全等[1]。計算機網(wǎng)絡安全的教學通常是理論與實踐并重，更加注重實踐能力的培養(yǎng)。一個獨立完善的實踐教學體系對于網(wǎng)絡安全類教學是至關重要的，它可以更好地促進理論教學的進行，同時加深學生對教學內(nèi)容的理解，提高學生相關知識的實際應用能力。

網(wǎng)絡安全教學中存在兩個問題，一是其課程涉及的教學內(nèi)容比較廣泛；二是網(wǎng)絡攻防類的實驗具有復雜性、特殊性和破壞性。所以，很難根據(jù)需求來搭建真實的實驗環(huán)境。本文主要探討基于虛擬機技術及吉林中軟網(wǎng)絡安全平臺的虛擬實驗環(huán)境的構建。

1 虛擬機技術

1.1 虛擬機概述

虛擬機是通過軟件模擬產(chǎn)生的具有完整軟硬件功能的獨立的計算機系統(tǒng)。虛擬機可以模擬出其他類型的操作系統(tǒng)，同時，也可以在一臺物理宿主機上模擬出多個相同或不同的操作系統(tǒng)[2]。這些系統(tǒng)互不影響，可以對每個虛擬的系統(tǒng)進行分區(qū)、配置而不影響物理宿主機硬盤的數(shù)據(jù)，也可以通過網(wǎng)卡將幾臺虛擬機連接為一個網(wǎng)絡。通常很多虛擬機系統(tǒng)出現(xiàn)問題以后，可以通過“恢復快照”迅速方便地還原到以前的系統(tǒng)。所以通過虛擬機來構建網(wǎng)絡安全實驗環(huán)境不僅可以降低購買軟硬件設備的成本，降低維護的費用成本，而且可以較好地提升系統(tǒng)及網(wǎng)絡的安全性。VMware、Virtual Box以及Virtual PC等都是常見的虛擬機軟件，它們都能在Windows系統(tǒng)上虛擬出多臺計算機，每個虛擬機系統(tǒng)可以獨立運行，并可以根據(jù)需要安裝相應的軟件和應用。相對而言，VMware在操作系統(tǒng)的支持以及執(zhí)行效率上都表現(xiàn)地更為突出，應用也更加廣泛[3]。

1.2 VMware虛擬機

VMware是一個“虛擬PC”軟件公司，目前，VMware公司主要有數(shù)據(jù)中心和云計算基礎架構產(chǎn)品、數(shù)據(jù)中心和云計算管理產(chǎn)品、基礎架構產(chǎn)品、桌面和應用虛擬化產(chǎn)品等。其中，桌面虛擬化產(chǎn)品主要包括VMware Fusion（針對Mac）、VMware Workstation、VMware View等產(chǎn)品，而VMware Workstation則是個人虛擬化桌面的最常見的選擇，也是計算機網(wǎng)絡安全虛擬實驗環(huán)境構建的首選工具。

VMware Workstation軟件包含一個用于Intel x86相容計算機的虛擬機套裝，其允許用戶在一個物理宿主機上同時創(chuàng)建和運行多個x86虛擬機系統(tǒng)（例如DOS、Windows、Linux等），并且可以在這些虛擬機系統(tǒng)中進行新的應用程序的開發(fā)、測試以及相關部署。在物理宿主機中，可以通過VMware Workstation軟件在一個窗口中加載一個虛擬機系統(tǒng)，并通過窗口切換來進行多個不同的虛擬機系統(tǒng)之間的切換；同時，VMware Workstation提供了實時快照、掛起、恢復以及退出虛擬機等操作，為進入退出虛擬機系統(tǒng)提供了更大的靈活性。另外，VMware Workstation軟件還可以在一臺物理宿主機上模擬出較為完整的網(wǎng)絡環(huán)境，所以可以方便地利用物理宿主機及其上運行的虛擬機系統(tǒng)構建不同結構的局域網(wǎng)。鑒于以上特點，使得VMware Workstation成為現(xiàn)今各種網(wǎng)絡應用開發(fā)及部署的必不可少的工具。

2 虛擬網(wǎng)絡安全實驗環(huán)境的構建

2.1 虛擬機的搭建

本文利用VMware Workstation 7.1軟件來構建網(wǎng)絡安全的虛擬實驗環(huán)境。VMware Workstation 7.1對計算機的軟硬件配置的要求不高，可以在大多數(shù)計算機上使用。虛擬網(wǎng)絡環(huán)境的構建要在網(wǎng)絡安全實驗室的計算機上（統(tǒng)一使用Windows XP操作系統(tǒng)）安裝并啟動VMware Workstation軟件，建立虛擬機；將與已購置的網(wǎng)絡安全平臺相對應的Windows Server 2003和Linux操作系統(tǒng)的虛擬機文件拷貝到計算機的指定目錄下。同時，需要將網(wǎng)絡安全實驗室的一臺主機作為網(wǎng)絡安全平臺的服務器來使用，并在該計算機上復制拷貝服務器版的虛擬機文件，每次實驗，需要先在服務器計算機上，打開并運行服務器虛擬機，才能夠正常進行實驗。

2.2 虛擬機網(wǎng)絡連接的設置

虛擬機安裝創(chuàng)建過程中，必須將虛擬機連入網(wǎng)絡才可以正常進行實驗。VMware Workstation提供了10種（VMnet0-VMnet9）可作為虛擬交換機使用的虛擬網(wǎng)絡設備，同時為虛擬機接入網(wǎng)絡提供了三種網(wǎng)絡連接方式：Bridged（橋接模式）、NAT（網(wǎng)絡地址轉(zhuǎn)換模式）、Host-only（主機模式）[4]。

⑴ Bridged（橋接模式）。在該模式下，物理宿主計算機與虛擬系統(tǒng)計算機通過VMnet0虛擬交換機連接，兩者處于同一網(wǎng)段中。只需對虛擬機系統(tǒng)進行與物理宿主機同網(wǎng)段的TCP/IP參數(shù)配置，二者之間就可以相互訪問；同時，虛擬機系統(tǒng)也可以作為一臺完全獨立的計算機訪問網(wǎng)絡中的其他計算機，并進行資源共享。如果網(wǎng)絡中存在DHCP服務器，虛擬機系統(tǒng)也可以直接從服務器獲取TCP/IP配置。橋接模式是虛擬機系統(tǒng)連網(wǎng)最簡單的方式，也是虛擬機安裝創(chuàng)建過程中的默認設置。

⑵ NAT（網(wǎng)絡地址轉(zhuǎn)換模式）。在該模式下，物理宿主機使用VMware Network Adapter VMnet8虛擬網(wǎng)卡與虛擬機系統(tǒng)通過VMnet8虛擬交換機進行連接，雙方在VMnet8網(wǎng)段進行相互通信；同時，通過虛擬機虛擬的NAT服務器使虛擬機系統(tǒng)的虛擬網(wǎng)卡連入Internet。在NAT模式下，虛擬機系統(tǒng)由VMnet8虛擬網(wǎng)絡中的DHCP服務器自動完成TCP/IP配置，不能手工進行修改，因此，不能與網(wǎng)絡中的其他物理宿主機互訪通信。

⑶ host-only（主機模式）。在該模式下，物理宿主機與虛擬機系統(tǒng)通過VMnet1虛擬交換機進行連接，虛擬機系統(tǒng)只能訪問局域網(wǎng)中的其他虛擬機，而不能訪問局域網(wǎng)中的其他物理宿主機。

根據(jù)以上描述，在構建網(wǎng)絡安全虛擬實驗環(huán)境的過程中，本文選擇默認的Bridge（橋接）模式，使得虛擬機系統(tǒng)與物理宿主機系統(tǒng)同處于一個網(wǎng)絡，并通過網(wǎng)絡安全平臺的DHCP服務器來自動進行TCP/IP配置。

2.3 虛擬網(wǎng)絡的拓撲結構

本文構建的虛擬網(wǎng)絡安全實驗環(huán)境主要依附于三種網(wǎng)絡結構：交換網(wǎng)絡結構、企業(yè)網(wǎng)絡結構及無線網(wǎng)絡結構。所有實驗分層次、有選擇地在三種網(wǎng)絡環(huán)境下進行。

在交換網(wǎng)絡結構中，如圖1所示，實驗室中每兩臺（根據(jù)實驗需求，可自行確定數(shù)量）計算機被劃分為一個實驗組，并在實驗平臺上擁有相對應的資源共享模塊。在該網(wǎng)絡結構中，各實驗組間的計算機可以互訪，各個共享模塊之間也可以互訪，并且各個計算機也可以訪問應用服務器上的所有資源。

圖1 交換網(wǎng)絡結構

如圖2所示，在企業(yè)網(wǎng)絡結構中，實驗室中的計算機依然以實驗組的形式連接到相應的共享模塊上，然后連接到實驗平臺的交換模塊。不同的是，各實驗組中的計算機以及各共享模塊之間不可以直接訪問。另外，通過對防火墻的配置，可以對各實驗組中的主機進行相關區(qū)域的劃分，如劃定實驗組一中的主機A、B為企業(yè)內(nèi)網(wǎng)主機，實驗組二中的主機C、D為企業(yè)DMZ區(qū)主機，同時實驗組三中的主機E、F為外網(wǎng)主機。所以在企業(yè)網(wǎng)絡結構中，可以進行更加復雜及全面的實驗實踐，更有利于學生實際應用能力的培養(yǎng)與提高。