周曉芬 鄭孜 舒強 周寧羚 王凱睿 李杰
?
基于超融合架構(gòu)的網(wǎng)絡安全虛擬仿真實驗教學平臺探索
周曉芬 鄭孜 舒強 周寧羚 王凱睿 李杰
國網(wǎng)江西省電力有限公司南昌供電分公司,江西 南昌 330069
網(wǎng)絡安全教育是十分必要的,但安全類實驗有一定風險。如果在真實網(wǎng)絡中開展破壞性實驗,會嚴重威脅實驗設備的軟硬件安全,且操作過程繁雜。因此,如何為學生提供便利可共享的實驗環(huán)境成為學者們重點關注的課題。在此背景下,虛擬化技術應運而生。簡要分析了網(wǎng)絡安全虛擬仿真實驗教學平臺發(fā)展的現(xiàn)狀,針對其管理難度大、擴展性不強等問題,提出了基于超融合架構(gòu)的網(wǎng)絡安全虛擬仿真實驗教學平臺發(fā)展建議,以期為相關工作提供參考。
超融合架構(gòu);網(wǎng)絡安全;虛擬仿真;實驗平臺
虛擬化技術的出現(xiàn),為網(wǎng)絡安全的實驗教學提供了方案。采用超融合架構(gòu)搭建的仿真實驗教學平臺,一方面省去了網(wǎng)絡儲存購置成本,保證實驗設備安全,另一方面可以為學生提供多種實驗操作環(huán)境,減少繁雜的操作程序。隨著“互聯(lián)網(wǎng)+教育”不斷發(fā)展,學生能夠自主學習,并能夠?qū)?yōu)質(zhì)教學資源向社會共享,但當前面臨的發(fā)展問題不容忽視,還需深入研究以期有效解決。
利用云計算技術建立的虛擬仿真網(wǎng)絡安全實驗系統(tǒng),對網(wǎng)絡安全的教學和研究起到了良好的推動作用,但仍存在一些不足[1]。一是擴展性不強。目前,大多實驗平臺中的云計算只能統(tǒng)一管理計算資源,而對于網(wǎng)絡資源與儲存資源卻無能為力,這就使得實驗平臺的升級與擴容受限于正在應用的體系結(jié)構(gòu)。二是效費比偏低。通過分析大量調(diào)查數(shù)據(jù),不難發(fā)現(xiàn)搭建虛擬仿真實驗平臺時,儲存設備的投資額占比為20%~40%,甚至更高,這就使得投資效費比在無形中降低。三是管理難度大。一臺儲存設備為多臺計算機提供儲存服務。一旦發(fā)生故障隱患,就將影響整個平臺的運行,引發(fā)多米諾骨牌效應。
網(wǎng)絡安全虛擬仿真實驗教學平臺的發(fā)展既面臨著機遇,又面臨著挑戰(zhàn)。
虛擬機技術是通過軟件模擬硬件設備,在大型主機上為用戶虛擬搭建出一套獨立于實際硬件的操作環(huán)境[2]。虛擬機監(jiān)視器的作用是管理上層運行,集中控制訪問硬件設備。對于主機而言,虛擬機操作系統(tǒng)就是一個文件,因此在教學時可以確保為學生提供相同的實驗操作環(huán)境,且不會影響PC的安全。雖然這項技術解決了學生多種系統(tǒng)安全操作的難題,但由于使用到還原卡,無法保存中間實驗結(jié)果,退出后只能重新進行實驗,更無法支持學生開展遠程實驗。
將虛擬化技術與云計算技術相結(jié)合搭建起來的網(wǎng)絡安全虛擬仿真實驗平臺,支持學生網(wǎng)絡遠程開展實驗,實現(xiàn)了優(yōu)質(zhì)教學的資源共享。云計算虛擬化可以為相同模板的虛擬機建立統(tǒng)一快照,之后迅速回復初始狀態(tài),保留中間實驗結(jié)果,大大提高了實驗效率,有利于實驗平臺的管理與維護。但云計算擴展性不強,無法形成計算資源、網(wǎng)絡資源與儲存資源的統(tǒng)一資源池,這就為基于云計算和虛擬化技術建立的實驗平臺的后續(xù)升級帶來了挑戰(zhàn)[3]。云計算環(huán)境主要涉及服務器、存儲設備以及網(wǎng)絡安全設備等,其中服務器存儲設備一般采用NAS或SAN。NAS是將存儲設備通過網(wǎng)絡連接到服務器,多適用于文件類,靈活性高且成本低,但受限于網(wǎng)速;SAN通過光纖連接,性能好,但成本較高,受限于網(wǎng)絡交換機的性能。
傳統(tǒng)的虛擬化技術主要應用在大型機上,IO技術出現(xiàn)后推動了虛擬技術的快速發(fā)展。超融合架構(gòu)思想正來源于大型互聯(lián)網(wǎng)公司,在云計算環(huán)境中,它支持在同一套單元設備中同時提供計算、網(wǎng)絡與儲存資源的池化管理[4]。分布式儲存與共享的設計理念使得單元設備之間避免了服務器與存儲設備的重度耦合,省去了部分網(wǎng)絡儲存購置成本。因此,采用超融合架構(gòu)可以有效解決虛擬仿真實驗教學平臺擴展性不強、管理難度大以及效費比高的問題,符合時代背景與平臺發(fā)展要求。
在虛擬化技術與云計算技術不能適應網(wǎng)絡安全虛擬仿真實驗教學平臺發(fā)展的當下,超融合架構(gòu)應運而生。為使其真正應用于實踐中解決平臺發(fā)展難題,現(xiàn)提出以下幾點建議。
基于超融合架構(gòu)的網(wǎng)絡攻防實驗教學平臺是光纖交換機或萬兆交換機與超融合架構(gòu)服務器連接。防火墻支持用戶連接到教學平臺,且作為防護設備的防火墻可替代。在具體運作過程中,服務器既保存了操作系統(tǒng)與漏洞防護操作系統(tǒng)的鏡像文件,又儲存了攻擊軟件的鏡像,利用這些數(shù)據(jù)可以創(chuàng)建出虛擬教學場景。
超融合架構(gòu)實驗教學平臺的體系結(jié)構(gòu)是利用KVM與Open stack 軟件搭建的。一是KVM和分布式儲存系統(tǒng)。在虛擬環(huán)境下通過KVM擴展模塊實現(xiàn)分布式儲存,這是實現(xiàn)超融合架構(gòu)的基礎。二是Open Switch。它是一個虛擬交換機,用于虛擬攻擊機與靶機的通信;三是QEMU。它是一種快速指令集層虛擬機,支持整個系統(tǒng)的模擬工作,為學生提供虛擬攻擊機與靶機,有利于提高系統(tǒng)性能。四是SPICE,它支持遠程訪問虛擬化桌面,能夠?qū)崿F(xiàn)服務器與瀏覽器的雙向通信。五是Nova與Glance,用來提供實時所需鏡像。六是利用PHP開發(fā),學生訪問Web平臺進行實驗的同時利用MySQL儲存學生與實驗基本信息,例如學生信息、成績管理、虛擬化管理及靶場管理等模塊。
管理員維護需要用的鏡像會在儲存池中存儲多份。管理員添加實驗內(nèi)容,關聯(lián)相關鏡像與資料信息,實時監(jiān)控學生的學習情況,在靶機鏡像文件中設置Flag,Web平臺根據(jù)學生所提交的內(nèi)容評判是否得分。
本文簡要分析了網(wǎng)絡安全虛擬仿真實驗教學平臺發(fā)展的現(xiàn)狀,針對其管理難度大、擴展性不強等問題,提出了基于超融合架構(gòu)的網(wǎng)絡安全虛擬仿真實驗教學平臺發(fā)展建議。上述策略可以有效降低存儲設備購置成本,提高平臺運行與維護效率,方便教學資源共享,具有良好的應用前景,期望能為相關工作提供參考。
[1]底曉強,張宇昕,趙建平. 基于云計算和虛擬化的計算機網(wǎng)絡攻防實驗教學平臺建設探索[J]. 實驗技術與管理,2015,32(4):147-151.
[2]賀惠萍,榮彥,張?zhí)m. 虛擬機軟件在網(wǎng)絡安全教學中的應用[J]. 實驗技術與管理,2011,28(12):112-115.
[3]李賀華. 基于云計算機系統(tǒng)的實訓平臺研究與實現(xiàn)[J]. 實驗技術與管理,2015,32(3):157-160.
[4]底曉強,韓登,趙建平,等. 基于超融合架構(gòu)的網(wǎng)絡安全虛擬仿真實驗教學平臺探索[J]. 實驗室研究與探索,2017,36(10):195-198.
Exploration of Virtual Simulation Experiment Teaching Platform for Network Security Based on Super Fusion Architecture
Zhou Xiaofen Zheng Zi Shu Qiang Zhou Ningling Wang Kairui Li Jie
State Grid Jiangxi Electric Power Co., Ltd., Nanchang Power Supply Branch, Jiangxi Nanchang 330069
The network security education is very necessary, but the security class experiment has some risks. If the destructive experiment is carried out in the real network, it will seriously threaten the security of the hardware and software of the experimental equipment, and the operation process is complicated. Therefore, how to provide convenient and shared experimental environment for students has become a hot topic for scholars. In this context, the virtualization technology came into being. In the paper, the development of virtual simulation experiment teaching platform for network security is briefly analyzed. In view of the problems of difficult management and poor expansibility, the development proposal of virtual simulation experiment teaching platform for network security based on hyper fusion architecture is proposed in order to provide reference for the related work.
super fusion architecture; network security; virtual simulation; experimental platform
G434;TP393.0
A