周曉芬 鄭孜 舒強(qiáng) 周寧羚 王凱睿 李杰

?

基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺探索

周曉芬 鄭孜 舒強(qiáng) 周寧羚 王凱睿 李杰

國網(wǎng)江西省電力有限公司南昌供電分公司，江西 南昌 330069

網(wǎng)絡(luò)安全教育是十分必要的，但安全類實(shí)驗(yàn)有一定風(fēng)險。如果在真實(shí)網(wǎng)絡(luò)中開展破壞性實(shí)驗(yàn)，會嚴(yán)重威脅實(shí)驗(yàn)設(shè)備的軟硬件安全，且操作過程繁雜。因此，如何為學(xué)生提供便利可共享的實(shí)驗(yàn)環(huán)境成為學(xué)者們重點(diǎn)關(guān)注的課題。在此背景下，虛擬化技術(shù)應(yīng)運(yùn)而生。簡要分析了網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展的現(xiàn)狀，針對其管理難度大、擴(kuò)展性不強(qiáng)等問題，提出了基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展建議，以期為相關(guān)工作提供參考。

超融合架構(gòu)；網(wǎng)絡(luò)安全；虛擬仿真；實(shí)驗(yàn)平臺

引言

虛擬化技術(shù)的出現(xiàn)，為網(wǎng)絡(luò)安全的實(shí)驗(yàn)教學(xué)提供了方案。采用超融合架構(gòu)搭建的仿真實(shí)驗(yàn)教學(xué)平臺，一方面省去了網(wǎng)絡(luò)儲存購置成本，保證實(shí)驗(yàn)設(shè)備安全，另一方面可以為學(xué)生提供多種實(shí)驗(yàn)操作環(huán)境，減少繁雜的操作程序。隨著“互聯(lián)網(wǎng)+教育”不斷發(fā)展，學(xué)生能夠自主學(xué)習(xí)，并能夠?qū)?yōu)質(zhì)教學(xué)資源向社會共享，但當(dāng)前面臨的發(fā)展問題不容忽視，還需深入研究以期有效解決。

1 虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展中的不足

利用云計算技術(shù)建立的虛擬仿真網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)，對網(wǎng)絡(luò)安全的教學(xué)和研究起到了良好的推動作用，但仍存在一些不足[1]。一是擴(kuò)展性不強(qiáng)。目前，大多實(shí)驗(yàn)平臺中的云計算只能統(tǒng)一管理計算資源，而對于網(wǎng)絡(luò)資源與儲存資源卻無能為力，這就使得實(shí)驗(yàn)平臺的升級與擴(kuò)容受限于正在應(yīng)用的體系結(jié)構(gòu)。二是效費(fèi)比偏低。通過分析大量調(diào)查數(shù)據(jù)，不難發(fā)現(xiàn)搭建虛擬仿真實(shí)驗(yàn)平臺時，儲存設(shè)備的投資額占比為20%～40%，甚至更高，這就使得投資效費(fèi)比在無形中降低。三是管理難度大。一臺儲存設(shè)備為多臺計算機(jī)提供儲存服務(wù)。一旦發(fā)生故障隱患，就將影響整個平臺的運(yùn)行，引發(fā)多米諾骨牌效應(yīng)。

2 網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)平臺現(xiàn)狀

網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺的發(fā)展既面臨著機(jī)遇，又面臨著挑戰(zhàn)。

2.1 利用單機(jī)上的虛擬機(jī)開展實(shí)驗(yàn)

虛擬機(jī)技術(shù)是通過軟件模擬硬件設(shè)備，在大型主機(jī)上為用戶虛擬搭建出一套獨(dú)立于實(shí)際硬件的操作環(huán)境[2]。虛擬機(jī)監(jiān)視器的作用是管理上層運(yùn)行，集中控制訪問硬件設(shè)備。對于主機(jī)而言，虛擬機(jī)操作系統(tǒng)就是一個文件，因此在教學(xué)時可以確保為學(xué)生提供相同的實(shí)驗(yàn)操作環(huán)境，且不會影響PC的安全。雖然這項(xiàng)技術(shù)解決了學(xué)生多種系統(tǒng)安全操作的難題，但由于使用到還原卡，無法保存中間實(shí)驗(yàn)結(jié)果，退出后只能重新進(jìn)行實(shí)驗(yàn)，更無法支持學(xué)生開展遠(yuǎn)程實(shí)驗(yàn)。

2.2 利用云計算技術(shù)建立網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)平臺

將虛擬化技術(shù)與云計算技術(shù)相結(jié)合搭建起來的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)平臺，支持學(xué)生網(wǎng)絡(luò)遠(yuǎn)程開展實(shí)驗(yàn)，實(shí)現(xiàn)了優(yōu)質(zhì)教學(xué)的資源共享。云計算虛擬化可以為相同模板的虛擬機(jī)建立統(tǒng)一快照，之后迅速回復(fù)初始狀態(tài)，保留中間實(shí)驗(yàn)結(jié)果，大大提高了實(shí)驗(yàn)效率，有利于實(shí)驗(yàn)平臺的管理與維護(hù)。但云計算擴(kuò)展性不強(qiáng)，無法形成計算資源、網(wǎng)絡(luò)資源與儲存資源的統(tǒng)一資源池，這就為基于云計算和虛擬化技術(shù)建立的實(shí)驗(yàn)平臺的后續(xù)升級帶來了挑戰(zhàn)[3]。云計算環(huán)境主要涉及服務(wù)器、存儲設(shè)備以及網(wǎng)絡(luò)安全設(shè)備等，其中服務(wù)器存儲設(shè)備一般采用NAS或SAN。NAS是將存儲設(shè)備通過網(wǎng)絡(luò)連接到服務(wù)器，多適用于文件類，靈活性高且成本低，但受限于網(wǎng)速；SAN通過光纖連接，性能好，但成本較高，受限于網(wǎng)絡(luò)交換機(jī)的性能。

2.3 超融合架構(gòu)

傳統(tǒng)的虛擬化技術(shù)主要應(yīng)用在大型機(jī)上，IO技術(shù)出現(xiàn)后推動了虛擬技術(shù)的快速發(fā)展。超融合架構(gòu)思想正來源于大型互聯(lián)網(wǎng)公司，在云計算環(huán)境中，它支持在同一套單元設(shè)備中同時提供計算、網(wǎng)絡(luò)與儲存資源的池化管理[4]。分布式儲存與共享的設(shè)計理念使得單元設(shè)備之間避免了服務(wù)器與存儲設(shè)備的重度耦合，省去了部分網(wǎng)絡(luò)儲存購置成本。因此，采用超融合架構(gòu)可以有效解決虛擬仿真實(shí)驗(yàn)教學(xué)平臺擴(kuò)展性不強(qiáng)、管理難度大以及效費(fèi)比高的問題，符合時代背景與平臺發(fā)展要求。

3 基于超融合架構(gòu)的實(shí)驗(yàn)平臺建設(shè)方案

在虛擬化技術(shù)與云計算技術(shù)不能適應(yīng)網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展的當(dāng)下，超融合架構(gòu)應(yīng)運(yùn)而生。為使其真正應(yīng)用于實(shí)踐中解決平臺發(fā)展難題，現(xiàn)提出以下幾點(diǎn)建議。

3.1 教學(xué)平臺硬件結(jié)構(gòu)

基于超融合架構(gòu)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺是光纖交換機(jī)或萬兆交換機(jī)與超融合架構(gòu)服務(wù)器連接。防火墻支持用戶連接到教學(xué)平臺，且作為防護(hù)設(shè)備的防火墻可替代。在具體運(yùn)作過程中，服務(wù)器既保存了操作系統(tǒng)與漏洞防護(hù)操作系統(tǒng)的鏡像文件，又儲存了攻擊軟件的鏡像，利用這些數(shù)據(jù)可以創(chuàng)建出虛擬教學(xué)場景。

3.2 實(shí)驗(yàn)平臺系統(tǒng)架構(gòu)

超融合架構(gòu)實(shí)驗(yàn)教學(xué)平臺的體系結(jié)構(gòu)是利用KVM與Open stack 軟件搭建的。一是KVM和分布式儲存系統(tǒng)。在虛擬環(huán)境下通過KVM擴(kuò)展模塊實(shí)現(xiàn)分布式儲存，這是實(shí)現(xiàn)超融合架構(gòu)的基礎(chǔ)。二是Open Switch。它是一個虛擬交換機(jī)，用于虛擬攻擊機(jī)與靶機(jī)的通信；三是QEMU。它是一種快速指令集層虛擬機(jī)，支持整個系統(tǒng)的模擬工作，為學(xué)生提供虛擬攻擊機(jī)與靶機(jī)，有利于提高系統(tǒng)性能。四是SPICE，它支持遠(yuǎn)程訪問虛擬化桌面，能夠?qū)崿F(xiàn)服務(wù)器與瀏覽器的雙向通信。五是Nova與Glance，用來提供實(shí)時所需鏡像。六是利用PHP開發(fā)，學(xué)生訪問Web平臺進(jìn)行實(shí)驗(yàn)的同時利用MySQL儲存學(xué)生與實(shí)驗(yàn)基本信息，例如學(xué)生信息、成績管理、虛擬化管理及靶場管理等模塊。

3.3 實(shí)驗(yàn)平臺維護(hù)與實(shí)驗(yàn)過程

管理員維護(hù)需要用的鏡像會在儲存池中存儲多份。管理員添加實(shí)驗(yàn)內(nèi)容，關(guān)聯(lián)相關(guān)鏡像與資料信息，實(shí)時監(jiān)控學(xué)生的學(xué)習(xí)情況，在靶機(jī)鏡像文件中設(shè)置Flag，Web平臺根據(jù)學(xué)生所提交的內(nèi)容評判是否得分。

4 結(jié)語

本文簡要分析了網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展的現(xiàn)狀，針對其管理難度大、擴(kuò)展性不強(qiáng)等問題，提出了基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺發(fā)展建議。上述策略可以有效降低存儲設(shè)備購置成本，提高平臺運(yùn)行與維護(hù)效率，方便教學(xué)資源共享，具有良好的應(yīng)用前景，期望能為相關(guān)工作提供參考。

[1]底曉強(qiáng)，張宇昕，趙建平. 基于云計算和虛擬化的計算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺建設(shè)探索[J]. 實(shí)驗(yàn)技術(shù)與管理，2015，32（4）：147-151.

[2]賀惠萍，榮彥，張?zhí)m. 虛擬機(jī)軟件在網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J]. 實(shí)驗(yàn)技術(shù)與管理，2011，28（12）：112-115.

[3]李賀華. 基于云計算機(jī)系統(tǒng)的實(shí)訓(xùn)平臺研究與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)技術(shù)與管理，2015，32（3）：157-160.

[4]底曉強(qiáng)，韓登，趙建平，等. 基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺探索[J]. 實(shí)驗(yàn)室研究與探索，2017，36（10）：195-198.

Exploration of Virtual Simulation Experiment Teaching Platform for Network Security Based on Super Fusion Architecture

Zhou Xiaofen Zheng Zi Shu Qiang Zhou Ningling Wang Kairui Li Jie

State Grid Jiangxi Electric Power Co., Ltd., Nanchang Power Supply Branch, Jiangxi Nanchang 330069

The network security education is very necessary, but the security class experiment has some risks. If the destructive experiment is carried out in the real network, it will seriously threaten the security of the hardware and software of the experimental equipment, and the operation process is complicated. Therefore, how to provide convenient and shared experimental environment for students has become a hot topic for scholars. In this context, the virtualization technology came into being. In the paper, the development of virtual simulation experiment teaching platform for network security is briefly analyzed. In view of the problems of difficult management and poor expansibility, the development proposal of virtual simulation experiment teaching platform for network security based on hyper fusion architecture is proposed in order to provide reference for the related work.

super fusion architecture; network security; virtual simulation; experimental platform

G434；TP393.0

A