曹雪峰, 尚宇輝, 傅冬穎

(河北民族師范學(xué)院 數(shù)學(xué)與計(jì)算機(jī)系, 河北 承德 067000)

基于虛擬網(wǎng)絡(luò)的入侵防御系統(tǒng)實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

曹雪峰, 尚宇輝, 傅冬穎

(河北民族師范學(xué)院 數(shù)學(xué)與計(jì)算機(jī)系, 河北 承德 067000)

利用模擬軟件GNS3中的IPS模擬器、VirtualBox虛擬機(jī)以及Nmap軟件的掃描功能,設(shè)計(jì)了虛擬網(wǎng)絡(luò)入侵防御系統(tǒng)的實(shí)驗(yàn)內(nèi)容和實(shí)驗(yàn)方案,實(shí)現(xiàn)了對(duì)利用Nmap發(fā)起的多種端口掃描方式入侵的防御仿真實(shí)驗(yàn)。驗(yàn)證了在虛擬網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)安全實(shí)驗(yàn)的可行性,提高了學(xué)生綜合運(yùn)用網(wǎng)絡(luò)安全技術(shù)的能力,同時(shí)也加深了學(xué)生對(duì)相關(guān)理論知識(shí)的理解,為網(wǎng)絡(luò)安全實(shí)踐教學(xué)提供了切實(shí)可行的解決方案。

入侵防御系統(tǒng)； 網(wǎng)絡(luò)安全； 虛擬網(wǎng)路

隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)服務(wù)越來(lái)越多地融入各行各業(yè)以及人們的日常生活中,計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。計(jì)算機(jī)網(wǎng)絡(luò)安全課程是高校網(wǎng)絡(luò)工程、通信工程和信息安全等專業(yè)的重要基礎(chǔ)課程,網(wǎng)絡(luò)安全實(shí)踐教學(xué)在加深學(xué)生理解計(jì)算機(jī)網(wǎng)絡(luò)安全理論、培養(yǎng)學(xué)生實(shí)踐動(dòng)手能力方面有重要作用。但在現(xiàn)實(shí)中,由于防火墻和入侵防御系統(tǒng)等實(shí)驗(yàn)教學(xué)設(shè)備價(jià)格昂貴,高校在實(shí)驗(yàn)室搭建網(wǎng)絡(luò)安全實(shí)踐環(huán)境存在一定困難[1-2]。筆者利用開(kāi)源的網(wǎng)絡(luò)模擬軟件GNS3上的IPS模擬器和VirtualBox虛擬機(jī),開(kāi)發(fā)了防御利用Nmap發(fā)起的端口掃描入侵的仿真實(shí)驗(yàn)[3-5],達(dá)到與真實(shí)設(shè)備同樣的實(shí)驗(yàn)效果,彌補(bǔ)了由于實(shí)驗(yàn)設(shè)備缺乏而影響網(wǎng)絡(luò)安全實(shí)踐教學(xué)的缺憾。

1 入侵防御系統(tǒng)工作原理

入侵防御系統(tǒng)(intrusion prevention system,IPS)是指主動(dòng)檢測(cè)企圖入侵或者正在入侵的行為,并且能夠根據(jù)安全策略和通過(guò)一定的響應(yīng)方式(如報(bào)警、丟棄、阻斷等),實(shí)時(shí)監(jiān)測(cè)和中斷入侵行為的發(fā)生和發(fā)展,保護(hù)系統(tǒng)和網(wǎng)絡(luò)不受攻擊的安全體系[6-7]。IPS不僅具有防火墻攔截攻擊和阻斷攻擊的能力,而且具有檢測(cè)攻擊行為的能力,是防火墻與入侵檢測(cè)系統(tǒng)結(jié)合的產(chǎn)物。

入侵防御系統(tǒng)采用串聯(lián)方式接入網(wǎng)絡(luò),側(cè)重于主動(dòng)防御,其目的是預(yù)先對(duì)入侵網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行攔截,避免網(wǎng)絡(luò)遭到破壞。當(dāng)數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)接口到達(dá)入侵防御系統(tǒng)后,按照包首部的信息進(jìn)行分類,根據(jù)分類結(jié)果將數(shù)據(jù)包送往相應(yīng)的過(guò)濾器中。過(guò)濾器利用協(xié)議分析、特征匹配、流量分析等技術(shù)對(duì)數(shù)據(jù)包進(jìn)行深層檢測(cè)分析。分析結(jié)果按安全策略進(jìn)行具體的防御響應(yīng),決定讓數(shù)據(jù)包通過(guò)或丟棄。如果數(shù)據(jù)包符合過(guò)濾規(guī)則,則將數(shù)據(jù)包發(fā)送到的另一個(gè)網(wǎng)絡(luò)接口,傳送到網(wǎng)絡(luò)中；如果數(shù)據(jù)包不符合過(guò)濾規(guī)則,含有入侵或攻擊特征,則將該數(shù)據(jù)包丟棄,并將其相關(guān)的數(shù)據(jù)流狀態(tài)更新,刪除該數(shù)據(jù)流的信息,將同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包丟棄。

IPS將策略和采取的防御措施提交給日志系統(tǒng),將工作狀態(tài)信息提交給管理控制臺(tái)。管理員可以通過(guò)它了解系統(tǒng)的狀態(tài)以及可能存在的入侵行為。

2 入侵防御系統(tǒng)實(shí)驗(yàn)設(shè)計(jì)

2.1 軟件介紹

GNS3是一款開(kāi)源、免費(fèi)的思科網(wǎng)絡(luò)模擬軟件[8],適用于多種操作系統(tǒng),能夠仿真路由器、交換機(jī)、入侵防御、入侵檢測(cè)和防火墻等設(shè)備,集成了VirtualBox和VMware虛擬機(jī)接口,配合虛擬機(jī)能夠完成一些復(fù)雜網(wǎng)絡(luò)環(huán)境的仿真配置,還可以利用Wireshark來(lái)捕獲虛擬網(wǎng)絡(luò)中通過(guò)的報(bào)文[9],分析網(wǎng)絡(luò)協(xié)議原理或者網(wǎng)絡(luò)入侵、攻擊過(guò)程。

Nmap是一款開(kāi)源、免費(fèi)的網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計(jì)工具[10],它包含4項(xiàng)基本功能:主機(jī)發(fā)現(xiàn)、端口掃描、應(yīng)用與版本偵測(cè)和操作系統(tǒng)偵測(cè)。端口掃描是其核心的功能,提供了多種探測(cè)方式,包括TCP SYN scanning、TCP connect和TCP FIN/Xmas/NULL scanning等。另外Nmap還提供了多種規(guī)避防火墻與IDS的技巧,如分片、IP誘騙和掃描延時(shí)等。

2.2 實(shí)驗(yàn)場(chǎng)景設(shè)計(jì)

思科IPS設(shè)備支持在線和雜合兩種工作模式[11-12]。

采用在線模式時(shí)，有2種流量轉(zhuǎn)發(fā)方式——VLAN對(duì)模式和接口對(duì)模式。在接口對(duì)模式中,數(shù)據(jù)包從接口對(duì)中的第一個(gè)接口進(jìn)入,從接口對(duì)中的第二個(gè)接口出去。如果沒(méi)有特征要拒絕或修改此數(shù)據(jù)包,它就會(huì)被發(fā)送到接口對(duì)中的第二個(gè)接口。需要注意的是,在線模式需要二層網(wǎng)絡(luò)分段,也就是說(shuō)第一個(gè)接口和第二個(gè)接口在兩個(gè)不同的VLAN中,而三層網(wǎng)絡(luò)保持不變。

本實(shí)驗(yàn)把IPS配置成在線接口對(duì)模式,網(wǎng)絡(luò)流量從e1端口進(jìn)入,從e2端口流出,在主機(jī)PC2上運(yùn)行Nmap對(duì)服務(wù)器Server所在網(wǎng)絡(luò)中主機(jī)進(jìn)行端口掃描,當(dāng)IPS檢測(cè)到進(jìn)行TCP SYN端口掃描的流量時(shí),就觸發(fā)告警并阻塞攻擊源的網(wǎng)絡(luò)流量。實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 入侵防御系統(tǒng)實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

R1、R2是2臺(tái)C3640路由器,再用1臺(tái)C3640路由器添加NM-16ESW模塊后模擬交換機(jī)SW,f0/3和f0/6劃分到vlan10,f0/4和f0/8劃分到vlan20。SW1和SW2是接入交換機(jī)。PC1和PC2是安裝了Windows XP操作系統(tǒng)的VirtualBox虛擬機(jī),其中PC1安裝JAVA運(yùn)行環(huán)境,用IDM圖形化配置IPS,PC2安裝Nmap用來(lái)進(jìn)行端口掃描。PC3和PC4是VPCS虛擬機(jī)。Server是安裝了Windows 2003 server操作系統(tǒng)的VirtualBox虛擬機(jī),安裝并配置了WWW服務(wù)器。各設(shè)備端口IP地址分配見(jiàn)表1。

表1 虛擬機(jī)及路由器端口IP地址分配表

3 實(shí)驗(yàn)環(huán)境配置

3.1 配置路由器

R1路由器主要配置如下[13-14]:

R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface fastEthernet 1/0 R1(config-if)#ip address 192.168.3.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface lookback 0 R1(config-if)#ip address 172.16.0.1 255.255.255.0 R1(config)#interface lookback 1 R1(config-if)#ip address 172.16.1.1 255.255.255.0 R1(config)#interface lookback 2 R1(config-if)#ip address 172.16.2.1 255.255.255.0 R1(config)#interface lookback 3 R1(config-if)#ip address 172.16.3.1 255.255.255.0 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2

R2路由器主要配置如下:

R2(config)#interface fastEthernet 0/0R2(config-if)#ip address 192.168.0.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#interface fastEthernet 1/0 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

3.2 配置交換機(jī)

SW交換機(jī)主要配置如下:

SW#vlan database SW(vlan)#vlan 10 SW(vlan)#vlan 20 SW#configure terminal SW(config)#interface range f0/3 ,f0/6 SW(config-if-range)#switchport access vlan 10 SW(config-if-range)#no shutdown SW(config-if-range)#exit SW(config)#interface range f0/4 ,f0/8 SW(config-if-range)#switchport access vlan 20 SW(config-if-range)#no shutdown SW(config-if-range)#exit

3.3 初始化配置IPS

IPS主要初始化配置如下:

IPS# setup Current Configuration: host-ip 192.168.1.8/24,192.168.1.1 !配置管理接口地址和網(wǎng)關(guān) host-name IPS access-list 192.168.1.0/24 !允許192.168.1.0/24網(wǎng)絡(luò)內(nèi)主機(jī)訪問(wèn)IPS time-zone-settings offset 480 standard-time-zone-name GMT+08:00 service web-server port 443 !安全web訪問(wèn)的默認(rèn)端口 ? IPS#

4 實(shí)驗(yàn)內(nèi)容

4.1 基本端口掃描防御

在PC2上運(yùn)行Nmap,執(zhí)行命令“nmap -sS -v -F 192.168.3.10,40,60”。此命令采用快速模式對(duì)IP地址為192.168.3.10、192.168.3.40和192.168.3.60的目標(biāo)主機(jī)進(jìn)行主機(jī)發(fā)現(xiàn)掃描和TCP SYN掃描，并輸出詳細(xì)信息,運(yùn)行結(jié)果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 09:36 ? Initiating Ping Scan at 09:36 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 09:36, 1.76s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Initiating SYN Stealth Scan at 09:36 Scanning 2 hosts [100 ports/host] Discovered open port 445/tcp on 192.168.3.10 Discovered open port 139/tcp on 192.168.3.10 Discovered open port 80/tcp on 192.168.3.10 Discovered open port 1025/tcp on 192.168.3.10 Discovered open port 135/tcp on 192.168.3.10 Completed SYN Stealth Scan against 192.168.3.10 in 0.52s (1 host left) Completed SYN Stealth Scan at 09:36, 3.02s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.10s latency). Not shown: 95 closed ports PORT STATE SERVICE 80/tcp open http 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS Nmap scan report for 192.168.3.40 Host is up (0.040s latency). All 100 scanned ports on 192.168.3.40 are filtered Read data files from: C:Program FilesNmap Nmap done: 3 IP addresses (2 hosts up) scanned in 5.35 seconds Raw packets sent: 314 (13.728KB) | Rcvd: 106 (4.236KB)

從以上內(nèi)容可以看到正在運(yùn)行的主機(jī)Server和PC4。在Server上開(kāi)放了80、135、139、445和1025號(hào)端口,其他端口被過(guò)濾；而PC4上所有端口都被過(guò)濾。

在執(zhí)行掃描命令的同時(shí),在R1-SW鏈路上運(yùn)行Wireshark捕獲報(bào)文。從捕獲的報(bào)文中可以看到:所有打開(kāi)的端口都返回了SYN和ACK比特置1的TCP報(bào)文,如圖2所示。

圖2 R1-SW鏈路上捕獲的TCP報(bào)文

這說(shuō)明在TCP SYN掃描中判斷端口是否打開(kāi)的依據(jù)，是看對(duì)應(yīng)端口是否返回了SYN和ACK比特置1的TCP報(bào)文。如果收到SYN/ACK回復(fù),可以判斷端口是開(kāi)放的。接下來(lái),在PC1上調(diào)整IPS特征集中Sig ID為3002的行為,增加“Deny Attacker Inline”,如圖3所示。

圖3 調(diào)整特征的行為參數(shù)

應(yīng)用3002特征對(duì)流量進(jìn)行監(jiān)控,當(dāng)檢測(cè)到在相同的攻擊源和被攻擊目標(biāo)之間每秒有5個(gè)以上的SYN比特置1而ACK和FIN比特置0的TCP報(bào)文時(shí),就發(fā)出警告信息并拒絕所有攻擊源的網(wǎng)絡(luò)流量。然后在PC2上再次執(zhí)行命令“nmap -sS -v -F 192.168.3.10,40,60”,結(jié)果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 10:27 ? Initiating Ping Scan at 10:27 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 10:27, 1.70s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Initiating SYN Stealth Scan at 10:27 Scanning 2 hosts [100 ports/host] Completed SYN Stealth Scan against 192.168.3.40 in 7.03s (1 host left) Increasing send delay for 192.168.3.10 from 0 to 5 due to 11 out of 15 dropped probes since last increase. Completed SYN Stealth Scan at 10:29, 106.35s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.13s latency). Not shown: 96 filtered ports PORT STATE SERVICE 53/tcp closed domain 111/tcp closed rpcbind 143/tcpclosed imap 993/tcp closedimaps Nmap scan report for 192.168.3.40 Host is up (0.040s latency). All 100 scanned ports on 192.168.3.40 are filtered Read data files from: C:Program FilesNmap Nmap done: 3 IP addresses (2 hosts up) scanned in 109.41 seconds Raw packets sent: 429 (18.780KB) | Rcvd: 9 (336B)

可以看到:發(fā)現(xiàn)主機(jī)Server和PC4(因?yàn)闆](méi)有限制ICMP掃描),但是在Server上53、111、143和993號(hào)端口被關(guān)閉,其他端口被過(guò)濾,而PC4上所有端口都被過(guò)濾。

在IPS上收到了2個(gè)警告信息,其中一個(gè)警告信息的內(nèi)容如下:

evIdsAlert: eventId=1299876074698385058 vendor=Cisco severity=low originator: hostId: IPS appName: sensorApp appInstanceId: 399 time: 2016年11月15日上午02時(shí)24分34秒 offset=480 timeZone=GMT+08:00 signature: description=TCP SYN Port Sweep id=3002 version=S2 type=anomaly created=20010202 subsigId: 0 marsCategory: Probe/PortSweep/Non-stealth interfaceGroup: vs0 vlan: 0 participants: attacker: addr: 192.168.2.20 locality=OUT port: 42815 target: addr: 192.168.3.10 locality=OUT port: 443 port: 113 port: 22 port: 80 port: 23 port: 139 os: idSource=unknown type=unknown relevance=relevant actions: deniedAttacker: true riskRatingValue: 52 targetValueRating=medium attackRelevanceRating=relevant threatRatingValue: 7 interface: ge0_0 protocol: tcp

同時(shí)在IPS的被拒絕的攻擊源主機(jī)列表中增加了PC2。這說(shuō)明IPS不但可以檢測(cè)到Nmap的TCP SYN掃描,還執(zhí)行了拒絕攻擊源為192.168.2.20的主機(jī)的所有流量。而此時(shí)正常的WWW訪問(wèn)服務(wù)并沒(méi)有受到影響,在PC2上能夠訪問(wèn)Server的WWW服務(wù)器。

4.2 高級(jí)端口掃描防御

在PC2的Nmap上執(zhí)行命令“nmap-sS-v-F-D 172.16.2.1,172.16.3.1,RND:2,ME,192.168.2.30,192.168.2.100 192.168.3.10,40,60”,此命令采用IP誘騙方式對(duì)IP地址為192.168.3.10、192.168.3.40和192.168.3.60的目標(biāo)主機(jī)進(jìn)行主機(jī)發(fā)現(xiàn)掃描和TCP SYN快速掃描并輸出詳細(xì)信息,結(jié)果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 10:51 ? Initiating Ping Scan at 10:51 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 10:51, 2.30s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] ? Completed SYN Stealth Scan at 10:55, 240.26s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.29s latency). Not shown: 95 filtered ports PORT STATE SERVICE 23/tcp closed telnet 587/tcp closed submission 993/tcp closed imaps 995/tcp closed pop3s 8080/tcp closed http-proxy Nmap scan report for 192.168.3.40 Host is up (0.12s latency). All 100 scanned ports on 192.168.3.40 are filtered ?

可以看到:主機(jī)Server和PC4,在Server上5個(gè)端口被關(guān)閉,其他端口被過(guò)濾,而PC4上還是所有端口都被過(guò)濾。在IPS上看到了多個(gè)警告信息,并在IPS的被拒絕的攻擊源主機(jī)列表中增加了多個(gè)主機(jī),如圖4所示

圖4 多個(gè)攻擊源主機(jī)被加入列表

這說(shuō)明IPS不但可以檢測(cè)到Nmap的IP誘騙TCP SYN掃描,還可以及時(shí)作出相應(yīng)的反應(yīng)。

繼續(xù)在PC2上運(yùn)行Nmap,執(zhí)行命令“nmap -sS -v -F --scan-delay 300ms -D 172.16.2.1,172.16.3.1, RND:2,ME,192.168.2.30,192.168.2.100 192.168.3.10, 40,60”,此命令功能只是針對(duì)每一個(gè)目標(biāo)主機(jī)發(fā)送探測(cè)報(bào)文的時(shí)間間隔設(shè)置為300 ms,其他不變。

可以看到：Nmap通過(guò)掃描延時(shí)發(fā)現(xiàn)了主機(jī)Server的部分開(kāi)放端口,但是在IPS上還是看到了多個(gè)警告信息,并拒絕了所有攻擊源主機(jī)的網(wǎng)絡(luò)流量,起到了入侵防御的作用,同時(shí)也說(shuō)明要真正拒絕所有的端口掃描是很困難的。

5 結(jié)語(yǔ)

利用GNS3模擬軟件中的IPS模擬器和VirtualBox虛擬機(jī)搭建的虛擬網(wǎng)絡(luò)入侵防御系統(tǒng),實(shí)現(xiàn)了對(duì)利用Nmap發(fā)起的多種端口掃描方式的入侵防御仿真實(shí)驗(yàn),達(dá)到與真實(shí)設(shè)備同樣的實(shí)驗(yàn)效果,驗(yàn)證了在虛擬網(wǎng)絡(luò)環(huán)境下進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)的可行性。該系統(tǒng)的使用,提高了學(xué)生動(dòng)手能力,同時(shí)也加深了學(xué)生對(duì)相關(guān)理論知識(shí)的理解。

References)

[1] 周敏.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)改革[J].實(shí)驗(yàn)技術(shù)與管理,2013,30(6):113-117.

[2] 張旭珍,黃成玉,張志波.基于Snort的入侵檢測(cè)系統(tǒng)教學(xué)實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室研究與探索,2014,33(4):159-163.

[3] 唐燈平,朱艷琴,楊哲,等.計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)防火墻實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)技術(shù)與管理,2015,32(4):156-160.

[4] 張玲麗.基于GNS3虛擬機(jī)的PIX防火墻配置實(shí)例[J].數(shù)字通信,2014,41(5):78-80.

[5] 曾剛.GNS3在網(wǎng)絡(luò)安全實(shí)踐教學(xué)中的應(yīng)用[J].網(wǎng)絡(luò)安全,2014(4):11-12.

[6] 薛靜鋒,祝烈煌.入侵檢測(cè)技術(shù)[M].2版.北京:人民郵電出版社,2016.

[7] 李劍.入侵檢測(cè)技術(shù)[M].北京:高等教育出版社,2008.

[8] Welsh C. GNS3 Network Simulation Guide[M]. Birmingham:Packt Publishing Ltd,2013.

[9] Orebaugh A, Ramirez G, Burke J, et al. Wireshark & Ethereal Network Protocol Analyzer Toolkit[M].Rockland:Syngress Publishing Inc,2007.

[10] Lyon G F. Nmap Network Scanning[M]. Sunnyvale: Insecure. Com LLC, 2008.

[11] Cisco Systems Inc. Cisco Intrusion Prevention System Device Manager Configuration Guide for IPS 6.0 [EB/OL]. http://www.cisco.com/c/en/us/td/docs/security/ips/6-0/configuration/guide/idm/idmguide/dmIntro.html.2016.

[12] Frahim J, Santos O, Ossipov A. Cisco ASA All-in-One Next-Generation Firewall, IPS, and VPN Services[M]. 3rd ed. Indianapolis:Cisco Press,2014.

[13] Lammle T. CCNA學(xué)習(xí)指南(第7卷)[M].袁國(guó)忠,徐宏,譯.北京:人民郵電出版社,2012.

[14] Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].修訂版.田果,劉丹寧,譯.北京:人民郵電出版社,2009.

Design and realization of intrusion prevention system based on virtual network

Cao Xuefeng, Shang Yuhui, Fu Dongying

(Department of Mathematics and Computer, Hebei Normal University for Nationalities, Chengde 067000, China)

By using IPS simulator and and VirtualBox virtual machine in the GNS3 and Nmap software scanning function, the experimental contents and experimental scheme were designed, the devices such as IPS, router, switch and virtual machine were configured. This paper realizes the intrusion prevention simulation experiment by using multiple port scanning methods initiated by Nmap. It proves the feasibility of network security experiment under the virtual network environment, improves the students’ ability of using the network security technology synthetically, at the same time, it also deepens the understanding of theory knowledge and provides practical solution for network security practice teaching.

intrusion prevention system; network security; virtual network

10.16791/j.cnki.sjg.2017.05.027

2016-11-20

國(guó)家民委高等教育教學(xué)改革研究項(xiàng)目(15114)；河北省高等學(xué)校科學(xué)技術(shù)研究項(xiàng)目(ZC2016116)；河北民族師范學(xué)院科研項(xiàng)目(201406)

曹雪峰(1967—),男,河北隆化,碩士,副教授,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù).

E-mail：cxf_cd@163.com

TP393.08；TP391.9

A

1002-4956(2017)5-0109-06