馬 麗

(31682部隊,甘肅 蘭州 730000)

網(wǎng)絡(luò)安全攻防訓(xùn)練平臺設(shè)計與實現(xiàn)

馬 麗

(31682部隊,甘肅 蘭州 730000)

隨著因特網(wǎng)的廣泛應(yīng)用,信息網(wǎng)絡(luò)安全問題日益突出,如何培養(yǎng)計算機(jī)網(wǎng)絡(luò)安全人才已成為當(dāng)務(wù)之急.針對目前構(gòu)建計算機(jī)網(wǎng)絡(luò)攻防訓(xùn)練環(huán)境成本高、管理難、對實際網(wǎng)絡(luò)設(shè)備影響大以及使用仿真軟件訓(xùn)練缺乏系統(tǒng)性等問題,文章借助虛擬化技術(shù),采用B/S架構(gòu)設(shè)計并實現(xiàn)一種集攻擊、防護(hù)訓(xùn)練及學(xué)習(xí)功能于一體的網(wǎng)絡(luò)安全攻防訓(xùn)練平臺.

網(wǎng)絡(luò)安全;攻防訓(xùn)練;平臺設(shè)計

近年來,隨著計算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)用加速,各類信息安全和網(wǎng)絡(luò)攻擊事件時有發(fā)生,防不勝防,并且逐步滲透到國家安全、經(jīng)濟(jì)發(fā)展、人民生活的各個領(lǐng)域,使得當(dāng)今社會對信息安全人才的需求日益緊迫和突出.目前開展網(wǎng)絡(luò)攻防訓(xùn)練存在以下幾個制約因素:(1)構(gòu)建真實的物理平臺需要優(yōu)質(zhì)的物理設(shè)備和復(fù)雜的實現(xiàn)環(huán)境,費用昂貴、模擬規(guī)模有限且設(shè)備更新?lián)Q代較慢,不利于對最新網(wǎng)絡(luò)安全技術(shù)的學(xué)習(xí)和掌握.(2)網(wǎng)絡(luò)攻防實驗一般對網(wǎng)絡(luò)設(shè)備具有破壞性,在真實的網(wǎng)絡(luò)中開展攻防實驗管理難度大,訓(xùn)練風(fēng)險高[1].(3)采用OPNET和NS2等網(wǎng)絡(luò)安全仿真軟件存在仿真對象單一、平臺制約多、缺乏系統(tǒng)性等問題.

本文借助虛擬化技術(shù),采用B/S架構(gòu)設(shè)計并實現(xiàn)一種集攻擊、防護(hù)訓(xùn)練及學(xué)習(xí)功能于一體的網(wǎng)絡(luò)安全攻防訓(xùn)練平臺.該平臺充分利用現(xiàn)有的設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境,設(shè)備資源利用率高、組建靈活,可擴(kuò)展性強(qiáng),利于系統(tǒng)地開展網(wǎng)絡(luò)攻防訓(xùn)練.

1 平臺架構(gòu)及功能設(shè)計

1.1 平臺系統(tǒng)架構(gòu)

平臺分為物理資源層、虛擬化層和用戶管理層3個層次:(1)物理資源層主要包括物理計算機(jī)、服務(wù)器、存儲設(shè)備及網(wǎng)絡(luò)等.(2)虛擬化層是攻防訓(xùn)練平臺的底層核心,將互聯(lián)的物理計算機(jī)和存儲設(shè)備虛擬化為由內(nèi)存、顯卡、磁盤和CPU組成的網(wǎng)絡(luò)資源池,通過虛擬化可在資源池上運行多個共享資源虛擬機(jī),以實現(xiàn)不同應(yīng)用.(3)用戶管理層是攻防訓(xùn)練平臺的應(yīng)用核心,主要包括靶場中心、工具臺、實訓(xùn)中心、管理控制中心4個功能模塊,用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓(xùn)練平臺進(jìn)行攻防訓(xùn)練.

1.2 平臺功能設(shè)計

(1)實訓(xùn)中心以課程為向?qū)?分為攻擊和防護(hù)兩大方面,區(qū)分具體類別提供配套電子實驗指導(dǎo)書、知識庫、漏洞庫等,供參訓(xùn)人員自主選擇學(xué)習(xí).(2)工具臺集合了訓(xùn)練中所用到的各種攻擊防御工具,按不同的類別進(jìn)行分類,用戶訓(xùn)練時可通過Web網(wǎng)頁下載工具臺當(dāng)中的工具供訓(xùn)練使用.(3)靶場中心是靶機(jī)的集合,為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境.靶機(jī)(Targets Hosts)上預(yù)置了存在安全漏洞的網(wǎng)站、應(yīng)用程序或是操作系統(tǒng)等,攻擊者可以通過查找漏洞進(jìn)行相應(yīng)的攻擊訓(xùn)練,防護(hù)者通過修復(fù)漏洞練習(xí)網(wǎng)絡(luò)防護(hù)技巧.(4)管理控制臺主要包括監(jiān)控管理和系統(tǒng)維護(hù)兩個方面的功能.

監(jiān)控管理可根據(jù)定義好的規(guī)則過濾網(wǎng)卡的流量,從而通過抓取正在訓(xùn)練的虛擬機(jī)的流量包,對整個平臺正在訓(xùn)練的虛擬機(jī)進(jìn)行監(jiān)控,并采集大量真實的數(shù)據(jù)信息用于后續(xù)分析.

對網(wǎng)絡(luò)攻防訓(xùn)練平臺的系統(tǒng)維護(hù)可以分為基本維護(hù)管理和高級維護(hù)管理兩類.基本維護(hù)管理主要是對平臺門戶網(wǎng)站的維護(hù),包括網(wǎng)站內(nèi)容更新、欄目管理、工具臺列表更新等日常維護(hù).高級維護(hù)管理主要是指對攻防訓(xùn)練平臺基礎(chǔ)結(jié)構(gòu)進(jìn)行調(diào)整,包括添加新服務(wù)器對虛擬資源池進(jìn)行擴(kuò)展,部署新的工具臺虛擬主機(jī)(Tools Hosts),在工具臺中添加新的攻擊工具,根據(jù)新發(fā)現(xiàn)的漏洞建立相應(yīng)的靶機(jī)環(huán)境,以及為現(xiàn)有工具臺、靶機(jī)調(diào)整虛擬硬件資源等.

2 系統(tǒng)實現(xiàn)

2.1 虛擬化解決方案

虛擬化是一個簡化管理、優(yōu)化資源的解決方案,通過虛擬化可以把有限的固定資源根據(jù)不同需求重新規(guī)劃,以達(dá)到最大利用率.綜合考慮適用性及軟件成本,筆者采用VMware公司的基于vSphere的服務(wù)器虛擬化解決方案[2].vSphere可提供包括計算、存儲、網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)服務(wù)以及包括可用性、安全性、可擴(kuò)展性的應(yīng)用程序服務(wù)[3].在本平臺中使用了vSphere的VMware ESXi,VMware vSphere Client和VMware vCenter Server功能組件,如圖1所示.

VMware ESXi是VMware vSphere的核心組件,安裝好ESXi的服務(wù)器稱之為ESXi主機(jī).ESXi從內(nèi)核級支持硬件虛擬化,提供強(qiáng)健的、高性能虛擬化層,允許在ESXi主機(jī)上創(chuàng)建的多個虛擬機(jī)共享硬件資源.VMware vCenter Server是VMware vSphere的ESXi主機(jī)和虛擬機(jī)集中管理組件[4],能使用標(biāo)準(zhǔn)化模板在ESXi主機(jī)上快速部署虛擬機(jī),并對其提供集中化管理、配置和性能監(jiān)控.VMware VSphere Client是VMware vSphere的管理端,可以用來遠(yuǎn)程登錄并管理VMware vCenter Server服務(wù)器.本平臺中可以通過vSphere Client遠(yuǎn)程連接控制單臺ESXi主機(jī),也可以通過vSphere Client 登錄VMware vCenter Server,集中管理多臺ESXi主機(jī)及其上的虛擬機(jī).

圖1 網(wǎng)絡(luò)攻防訓(xùn)練平臺vSphere虛擬化解決方案示意

為了保證網(wǎng)絡(luò)安全攻防訓(xùn)練平臺的性能,我們使用vSphere HA(高可用)技術(shù),當(dāng)服務(wù)器集群中硬件失效時,實現(xiàn)虛擬服務(wù)器自動在集群中另一個主機(jī)上重啟.使用VSphere DRS(分布式資源管理)技術(shù),在不同ESXi主機(jī)間進(jìn)行虛擬機(jī)的遷移,從而自動平衡ESXi集群的負(fù)載,并且可根據(jù)資源分配策略,設(shè)置虛擬機(jī)優(yōu)先級和限制虛擬機(jī)資源使用等,對集群范圍內(nèi)的資源進(jìn)行分配,從而提升平臺的整體性能[5].

2.2 工具臺

工具臺用于存放攻防訓(xùn)練平臺的常用攻防工具,創(chuàng)建工具臺的過程如圖2所示,共分4步.(1)通過VMware vCenter Server新建虛擬機(jī);(2)在虛擬機(jī)中,安裝攻防工具包,并對其可用性、穩(wěn)定性等基本情況進(jìn)行測試;(3)在完成攻防工具的安裝部署后,更新平臺網(wǎng)站的攻防工具列表使其可以通過網(wǎng)頁被調(diào)用,攻防工具列表以csv格式存儲,使用DMcsvEditor工具進(jìn)行編輯;(4)在平臺網(wǎng)站中添加新的頁面鏈接,使用戶可以調(diào)用攻防工具.

2.3 靶場中心

靶場中心為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境,首先通過VMware vCenter Server新建虛擬機(jī)作為靶機(jī),然后在靶機(jī)中安裝存在漏洞的操作系統(tǒng)、應(yīng)用程序或是部署存在漏洞的網(wǎng)站等,在部署完成后更新平臺網(wǎng)站的靶機(jī)鏈接,使用戶可以通過平臺網(wǎng)站直接獲取靶機(jī)的信息進(jìn)行攻擊和防護(hù),也可以通過平臺提供的工具間接對靶機(jī)進(jìn)行攻擊和防護(hù).

圖2 工具臺創(chuàng)建過程示意

2.4 實訓(xùn)中心

實訓(xùn)中心以課程為向?qū)?分為攻擊和防護(hù)兩大方面.攻擊方面從"按攻擊方法"和"按攻擊對象"兩個維度將全部課程分類,課程按照攻擊方法可分為"信息收集""木馬病毒""密碼破解""網(wǎng)絡(luò)欺騙""溢出攻擊""DOS攻擊""逆向工程"等類別;按照攻擊對象可分為"操作系統(tǒng)""應(yīng)用平臺""交換機(jī)""防火墻""VPN"等類別,并提供配套電子實驗指導(dǎo)書.防護(hù)方面包括防火墻、入侵檢測系統(tǒng)、路由器、交換機(jī)的配置應(yīng)用訓(xùn)練,以及網(wǎng)絡(luò)安全知識庫,共享漏洞庫.網(wǎng)絡(luò)安全知識庫主要是以文字的形式提供網(wǎng)絡(luò)安全防護(hù)基本概念和常用的防護(hù)手段等.共享漏洞庫主要是用于實時更新、發(fā)布各類已知的共享漏洞,并提供各類漏洞的解決方案,以便用戶了解最新漏洞并盡快對其修補(bǔ).

2.5 部署方式

平臺采用B/S架構(gòu),創(chuàng)建平臺門戶網(wǎng)站,用戶不僅可以在局域網(wǎng)內(nèi)實訓(xùn),也可以通過互聯(lián)網(wǎng)使用瀏覽器對平臺進(jìn)行遠(yuǎn)端訪問和操作.本平臺打破訓(xùn)練模式的局限,可實現(xiàn)用戶隨時隨地參與線上訓(xùn)練.

3 結(jié)語

網(wǎng)絡(luò)安全攻防平臺的實現(xiàn)降低了網(wǎng)絡(luò)攻防實驗對物理設(shè)備和實際網(wǎng)絡(luò)環(huán)境的破壞性,減少訓(xùn)練成本的投入,且能夠通過因特網(wǎng)實現(xiàn)線上訓(xùn)練,滿足不同層次人員對網(wǎng)絡(luò)攻擊、防御過程及細(xì)節(jié)學(xué)習(xí)和訓(xùn)練的需求,具有較大實用價值.

[1]張力,周漢清.基于云計算技術(shù)的網(wǎng)絡(luò)安全攻防實驗平臺設(shè)計[J].軟件導(dǎo)刊,2015(9):188-191.

[2]底曉強(qiáng),張宇昕,趙建平.基于云計算和虛擬化的計算機(jī)網(wǎng)絡(luò)攻防實驗教學(xué)平臺建設(shè)探索[J].2015(4):147-151.

[3]VMware中國網(wǎng)站.vSphere產(chǎn)品[EB/OL].(2014-09-25)[2017-10-15].http://www.vmware.com/cn/products/ vsphere/.

[4]黃曉芳.網(wǎng)絡(luò)攻防實驗平臺開發(fā)與實現(xiàn)[J].實驗技術(shù)與管理,2017(5):73-76.

[5]姚煒.網(wǎng)絡(luò)攻防模擬平臺的設(shè)計與實現(xiàn)[J].科研,2016(10):33-35.

Design and implementation of network security attack and defense training platform

Ma Li
(31682 Force, Lanzhou 730000, China)

With the wide application of the Internet, information network security is becoming increasingly prominent. How to cultivate the talents of computer network security has become a pressing matter of the moment. Aiming at the problems of current construction of computer network attack and defense training environment of high cost, difficult management and great influence on the actual network equipment and lack of systematic the use of simulation software training. With the help of virtualization technology, this paper designs and implements a network security attack and defense training platform which has attack and protection training and learning functions adopting B/S structure.

network security; attack and defense training; platform design

馬麗(1986- ),女,河南焦作人,助理工程師,碩士;研究方向:計算機(jī)網(wǎng)絡(luò)安全.