游貴榮， 陳 杰， 樂寧莉

（福建商學院信息技術中心，福州350012）

0 引 言

信息安全與國家安全休戚相關，2017 年《中華人民共和國網(wǎng)絡安全法》的施行，國家對網(wǎng)絡空間信息安全的重視達到前所未有的高度。高校作為培養(yǎng)網(wǎng)絡安全人才的主要陣地［1］，為跟上信息安全技術日新月異發(fā)展的步伐，需不斷進行網(wǎng)絡安全人才培養(yǎng)模式改革與機制創(chuàng)新。國家相關教育機構也對改革進行引導，為滿足實踐教學的需要，資助建設虛擬仿真實驗教學平臺，引入各大安全服務廠商承辦各類信息安全競賽。如近幾年來在全國各地如火如荼舉辦的奪旗賽（Capture The Flag，CTF），旨在檢驗信息安全人才培訓模式的成效與發(fā)掘信息安全優(yōu)秀人才。

將CTF引入信息安全專業(yè)教學，可提高學生的學習興趣與實戰(zhàn)性，但廠商所提供的CTF教學平臺普遍價格偏高，對于多數(shù)非“雙一流”建設的應用型高校來說是一項資金負擔，且平臺的復雜度與封閉性不利于維護和擴展，對廠商的售后維護依賴性較強。針對此問題，本文提出利用Docker容器構建輕量級網(wǎng)絡安全攻防服務平臺（Platform as a Service，PaaS）的解決方案，利用高校已有的云平臺資源，通過微服務（microservice）的方式整合師生身份認證、資源調(diào)度與分發(fā)等功能，為學生提供一個貼近實戰(zhàn)的教學實踐平臺。

1 網(wǎng)絡安全攻防平臺現(xiàn)狀

信息安全涉及技術面非常廣，根據(jù)中國信息安全測評中心提供的注冊信息安全專業(yè)人員（Certified Information Security Professional，CISP）知識體系大綱［2］，CISP認證對信息安全技術主要考核的內(nèi)容有：密碼技術、訪問控制技術，網(wǎng)絡、操作系統(tǒng)（OS）、數(shù)據(jù)庫和應用軟件安全，以及安全攻防和軟件安全開發(fā)等。CTF賽的主要內(nèi)容也包括：網(wǎng)絡信息嗅探、欺騙，漏洞的掃描、利用與修補，密碼破解，逆向工程，WEB 攻防，安全加固等［3］。因網(wǎng)絡安全實驗本身具有的復雜性、破壞性和不可逆性等特點，采用真實硬件設備來構建網(wǎng)絡安全攻防教學實踐平臺明顯不現(xiàn)實，故普遍采用虛擬仿真的方式。常見的有：PC 機虛擬機（Virtual Machine，VM）方案、云平臺VM方案和安全廠商專業(yè)方案3 種，各方案實現(xiàn)方式與優(yōu)缺點見表1。

表1 常見網(wǎng)絡安全虛擬仿真實現(xiàn)方式對比

以上3 種方案各具特色，PC機虛擬機方案無須額外投入建設成本；云平臺VM 與安全廠商專業(yè)方案有利于提高資源的利用率與共享，便于學生遠程開展實驗和充分利用碎片化的時間進行學習［4］；安全廠商專業(yè)方案是在開源Openstack［5-6］云平臺基礎上進行二次開發(fā)與封裝，使用和維護簡單，但總體部署效率都較低，擴展性較差。

2 主流輕量級PaaS平臺技術架構

傳統(tǒng)重量級PaaS平臺使用硬件虛擬化技術，創(chuàng)建的每個VM都包含一個完整的OS。針對不同的運行環(huán)境需要，可利用VM模板，先克隆出基礎系統(tǒng)后進行定制。雖然每個VM 可保存增量快照，但無法在現(xiàn)有快照的基礎上簡單擴展出新的VM，只能復制整個VM，不僅浪費存儲空間，而且部署效率低。

大數(shù)據(jù)的迅猛發(fā)展、云平臺的深入應用，傳統(tǒng)的應用程序框架從最初的單一應用（All-in-One）發(fā)展到垂直（Vertical）應用、分布式的彈性（Elastic）應用、到目前熱門的微服務架構。云平臺中的應用需要考慮可移植、依賴、集群、負載均衡及快速部署等因素，以實現(xiàn)高性能、高可用。傳統(tǒng)基于VM的PaaS 平臺已逐漸無法滿足新的需求，基于容器虛擬化的輕量級PaaS平臺應運而生。主流容器虛擬化技術主要有LXC、Open VZ、Docker與Rocket／Rkt 4 種。

2.1 LXC

Linux容器（LinuX Containers，LXC）是一種OS 級別的虛擬化技術［7］，可在OS 層級為進程提供虛擬的執(zhí)行環(huán)境，一個虛擬的執(zhí)行環(huán)境就是一個容器。LXC作為Linux內(nèi)核的功能，主要有下面3 個核心的技術。

（1）Cgroups?？刂平M（Control groups，Cgroups）是Linux內(nèi)核提供的一種可以限制、記錄、隔離進程組使用物理資源的機制。LXC 主要通過cgroup 實現(xiàn)對于資源的管理和控制。

（2）Namespace。命名空間（Namespace）提供一個進程相互隔離的獨立網(wǎng)絡空間，不同容器的進程pid可相同且不相互影響，也可共享底層的計算和存儲資源。

（3）Rootfs／Chroot。Chroot 通過創(chuàng)建一個虛擬的根目錄文件系統(tǒng)，實現(xiàn)不同容器的虛擬文件系統(tǒng)相互隔離，并共享底層的文件系統(tǒng)。

2.2 Open VZ

OpenVZ［8］是基于Linux內(nèi)核和作業(yè)系統(tǒng)的OS 級虛擬化技術，互聯(lián)網(wǎng)上眾多虛擬專用服務器（Virtual Private Server，VPS）主機就是采用此技術。OpenVZ可將一臺服務器分割成多個VPS，每個VPS 都可分配獨立公網(wǎng)IP 地址、OS、內(nèi)存、CPU 資源、系統(tǒng)配置等，用戶可自行安裝程序與重啟。OpenVZ 作為一個系統(tǒng)容器運行環(huán)境，可引導一個完整的系統(tǒng)映像，其高效設計與輕量級處理損耗，是運行應用服務和實時數(shù)據(jù)生產(chǎn)型服務器虛擬化的最佳選擇。

2.3 Docker

Docker作為一個基于LXC 技術的開源應用容器引擎，于2013 年發(fā)布，在LXC 基礎上重新進行封裝，設計目標是快速構建、交付和運行分布式應用［9］。開發(fā)者可將應用及其相關依賴包打包到一個可移植的容器中，因Docker 采用分層鏡像機制，使得部署與運維工作較為簡單，且啟動速度快、占用資源少、移植性更強。近年來Docker發(fā)展很快且開啟了商業(yè)化之路，目前分為企業(yè)商用版和社區(qū)免費版，基于Docker 容器技術的生態(tài)圈已基本形成。

2.4 Rocket／Rkt

Rocket應用容器項目于2014 年發(fā)布，后改名為Rkt［10］。Rkt與Docker 類似，但其更加專注于解決安全、兼容、執(zhí)行效率等方面的問題，如Rkt 在下載和運行鏡像前，需要將鏡像發(fā)布者的簽名信任添加到本地信任列表中。

3 輕量級網(wǎng)絡安全攻防PaaS平臺構建方案

3.1 輕量級PaaS平臺技術架構選型

傳統(tǒng)重量級PaaS 平臺，由于構建復雜度較高，與云計算中的基礎設施即服務（Infrastructure as a Service，IaaS）和軟件即服務（Software as a Service，SaaS）相比，明顯發(fā)展滯后。Docker 自誕生以來，到目前為止已形成事實上應用交付的標準，有業(yè)界人士也認為Docker的出現(xiàn)催生了新一代的PaaS［11］。

盡管Docker本身已有較為出色的用戶體驗，但其畢竟就是一個虛擬化工具，缺乏與之匹配的編排和易用性服務，要實現(xiàn)PaaS 平臺的易用性，還需要很多組件的支持。Kubernetes（簡稱K8s）作為一個開源的容器集群管理系統(tǒng)，提供了容器部署運行、資源調(diào)度、服務發(fā)現(xiàn)、負載均衡與動態(tài)伸縮等功能，可作為Docker的調(diào)度與維護層。對于構建微服務應用來說，基于K8s及Docker容器的分布式系統(tǒng)支撐平臺是目前的主流方案［12］。因K8s的安裝和部署都較復雜，不利于推廣。RKE（Rancher K8s Engine）的出現(xiàn)，改變了此現(xiàn)狀。RKE 是一個用Go 語言編寫的K8s 簡易安裝程序，能給普通用戶帶來很好的K8s安裝、部署體驗，且Rancher本身就是一個開源的企業(yè)級全?；萜鞑渴鸺肮芾砥脚_，通過它可以管理Docker 集群，實現(xiàn)集群的高可用性。Rancher 的易用性與極致用戶體驗，使得它作為一個管理K8s平臺工具，深受用戶青睞。

文獻［13］中對Docker、OpenVZ 與Rkt 虛擬化性能進行了測試比較，得出Docker 的高效性、快速性較好，但隔離性較弱的結論，適合對快速性和高效性有高要求的PaaS場景。根據(jù)網(wǎng)絡安全攻防平臺的具體要求，采用Docker 容器技術，在K8s 集群的基礎上構建輕量級PaaS 平臺是比較合適的選擇，它易于構建隔離、標準化運行環(huán)境，且橫向擴展方便［14］。

3.2 輕量級PaaS平臺結構圖

本研究設計并實現(xiàn)的輕量級PaaS平臺，是在現(xiàn)有云計算基礎設施上創(chuàng)建主機集群，將用于各種攻防場景的容器鏡像組置于集群中的私有容器倉庫中，以微服務的方式對外提供統(tǒng)一的Web 訪問入口。該平臺從下至上主要包括資源層、容器層、接口層和業(yè)務層，平臺邏輯結構如圖1 所示。

圖1 輕量級PaaS平臺結構圖

（1）資源層。通過整合IaaS 平臺中的計算、存儲與網(wǎng)絡資源，在X86 裸機或VM 中部署Docker 環(huán)境，用Rancher 來管理K8s 集群，為網(wǎng)絡安全攻防平臺提供基礎資源支撐。因OS 漏洞挖掘?qū)嶒灜h(huán)境無法使用容器進行模擬，只能由VM來完成。

（2）容器層。容器層主要包括支持PaaS 平臺的代理、認證、緩存、消息隊列、持久化、日志等服務，以及支持各種網(wǎng)絡安全攻防場景的容器鏡像組。編排一個網(wǎng)絡安全攻防場景可能需要多個容器服務組成，圖2所示為一個典型的Web 攻防場景所需的容器組合。HTML5 的普及，使得應用程序Web 化的趨勢越來越明顯，為便于網(wǎng)絡用戶使用不同類型終端訪問，此場景中用戶以Web方式訪問K8s提供的代理服務，登錄到容器內(nèi)部私有網(wǎng)絡中的Jumpserver 堡壘跳板機，由該跳板機提供的Web Terminal 方案來訪問場景中的各種虛擬主機；這些虛擬主機使用K8s的虛擬軟件定義網(wǎng)絡（Software Defined Networking，SDN）交換機接入到容器內(nèi)部私有網(wǎng)絡；Quagga 路由組件則用來模擬Internet網(wǎng)絡環(huán)境，并將帶漏洞的靶機連接起來。不同場景的容器組可利用K8s的Namespace命名空間進行隔離。為加快場景部署，這些容器鏡像組都事先存入本地私有容器倉庫。

圖2 攻防場景容器組示意圖

（3）接口層。將容器層中提供的各種微服務，按資源表征狀態(tài)轉(zhuǎn)移（Resource Representational State Transfer，REST）API 方式進行封裝和定義。REST 是Roy Fielding博士所提出來的一種軟件架構風格［15］，REST風格的Web服務通過一個簡潔清晰的URI來提供資源鏈接，并使用JavaScript 對象標記來傳遞數(shù)據(jù)。因REST模式的Web 服務簡單先進，Docker、K8s 與Rancher也都提供REST API，其中Rancher 是對K8s的REST API進行了重新封裝。對于平臺用戶來說，直接使用REST API 仍有較大困難，一般還需要在此基礎上進行UI與接口的二次開發(fā)。

（4）業(yè)務層。以Web 服務方式提供給用戶與管理人員的門戶，通過對服務的調(diào)度與編排、組合和控制，實現(xiàn)網(wǎng)絡攻防場景的部署、切換、用戶訪問控制，以及VM主機的管理等功能。利用自動化腳本實現(xiàn)一鍵部署高可用、高可靠、高性能的網(wǎng)絡攻防平臺。

3.3 常用支持Docker的網(wǎng)絡安全攻防組件

互聯(lián)網(wǎng)上有眾多現(xiàn)成用于快速部署攻防測試環(huán)境的VM鏡像，如：開放式Web應用程序安全項目（Open Web Application Security Project， OWASP［16］）、metasploitable、Kioptix 等。這些早期以VM 方式發(fā)布的系統(tǒng)，多數(shù)是基于Linux 系統(tǒng)，易于進行Docker 移植。隨著Docker生態(tài)系統(tǒng)的完善，越來越多的系統(tǒng)將以Docker容器鏡像的方式發(fā)布，且Docker容器倉庫中的共享鏡像資源更新也很快。

用于網(wǎng)絡安全攻防的組件主要分為3 類：一是用于構建網(wǎng)絡環(huán)境，二是預設漏洞的靶機，三是用于滲透測試的安全攻擊工具。常用組件列表見表2。

表2 常用網(wǎng)絡安全攻防組件列表

4 平臺測試結果分析

為驗證上述輕量級網(wǎng)絡安全攻防平臺能否滿足日常教學與實踐需要，設計相關測試實驗，并進行性能分析。

4.1 測試平臺環(huán)境

本測試環(huán)境采用一臺機架服務器作為宿主機，利用vSphere ESXi 6.0 虛擬出4 個Linux VM作為Docker容器主機，并構建具有3 個節(jié)點的K8s 容器集群。據(jù)VMware官方提供的測試報告［17］，在vSphere的VM中部署Docker二次虛擬化對應用程序性能的影響不大，最大計算性能損耗為5%。具體環(huán)境配置見表3。

4.2 平臺測試結果

（1）容器部署時間。網(wǎng)絡攻防環(huán)境的部署所花費的時間，與需要啟動容器的數(shù)量、容器中運行的服務與容器鏡像的大小有關。本文根據(jù)班級人數(shù)30、50、100（對應小班、中班、大班）的實驗需求（每人啟動一個靶機容器）進行部署測試，所用容器鏡像（存于本地私有倉庫）見表4。

表3 測試環(huán)境配置

表4 容器鏡像大小

統(tǒng)計部署時間的方法采用在容器啟動后，執(zhí)行腳本訪問指定Web 服務器來記錄時間戳。開始部署的時間戳與Web服務器記錄的時間戳之間的間隔，即為部署所耗費的時間。測試結果見圖3。

圖3 容器部署啟動所耗費時間

由圖3 可知，容器啟動速度很快，總體上容器啟動時長與容器鏡像大小成正比。若節(jié)點主機已存在鏡像的部分分層文件，鏡像文件大的容器，啟動速度不一定會很慢。正常部署一個滿足100 用戶的攻防環(huán)境在幾分鐘內(nèi)就可完成，相比于啟動一個重量級的VM 就需要花幾分鐘來說，部署效率優(yōu)勢明顯。

（2）容器資源利用率。此測試環(huán)境啟動一個web-dvwa帶漏洞Web靶機容器，設置該容器的內(nèi)存預留為128 MiB（MiB 為K8s 內(nèi)存資源的計量單位，1 MiB ＝220Byte），CPU 預留為300 milli-CPUs（K8s CPU資源的計量單位為“毫核”，millicores），不限制內(nèi)存與CPU 的使用，即允許容器使用超出預留資源的設定值。使用Linux 壓力測試工具ab，對靶機進行模擬DoS攻擊，攻擊時長為120 s，用于測試并發(fā)訪問對容器資源的開銷，內(nèi)存與CPU使用峰值測試結果如圖4所示。由圖4 可見，容器資源的利用率基本上隨并發(fā)訪問量的增長而增大，也存在一定的波動現(xiàn)象。在實際使用中，可通過Rancher的UI界面隨時調(diào)整容器實例數(shù)量，以滿足并發(fā)訪問的需要。

圖4 并發(fā)訪問對容器資源利用率影響

（3）容器自動擴展壓力測試。當K8s 開啟水平Pod 自動縮放（Horizontal Pod Autoscaling，HPA）功能后，可實現(xiàn)支持服務的容器水平自動伸縮（增減容器數(shù)量）。本測試容器鏡像采用web-dvwa，將其配置成支持HPA的一個Web 服務，為容器內(nèi)存預留為128 MiB、最大限制為256 MiB，為CPU 預留100 milli CPUs、最大限制為300 milli CPUs，最小容器實例數(shù)為1，最大容器實例數(shù)為10，內(nèi)存與CPU 利用率閾值為70%。利用Tsung［18］壓力測試工具來模擬真實環(huán)境下用戶的Web請求，壓力測試持續(xù)10 分鐘，每秒鐘產(chǎn)生50 個模擬用戶，每個用戶訪問10 個URL 連接。測試容器實例數(shù)量隨負載波動的情況，測試結果見圖5。

圖5 工作負載對容器實例數(shù)量的影響

圖5 表明，開啟HPA功能后，隨著用戶并發(fā)數(shù)（即工作負載）的增加，當容器資源利用率超過事先設定的閾值時，K8s會自動創(chuàng)建新的容器，以實現(xiàn)彈性伸縮功能。新增容器的數(shù)量與用戶并發(fā)數(shù)之間基本上呈線性關系。

以上測試實驗表明，輕量級網(wǎng)絡安全攻防平臺在環(huán)境部署的效率方面優(yōu)勢明顯，對系統(tǒng)資源的消耗較少，體現(xiàn)其輕量性，且對于某些要求并發(fā)訪問、資源消耗較大的場景，可以利用平臺的HPA 機制，實現(xiàn)資源的彈性伸縮。通過平臺測試實驗，驗證了該平臺的可用性，可實現(xiàn)教學、實踐場景的快速部署。

5 結 語

本文分析了現(xiàn)有網(wǎng)絡安全攻防平臺常見的3 種構建方案及其優(yōu)缺點，闡述了目前主流輕量級PaaS平臺技術的常用架構，重點探討了利用開源Docker、Kubernetes、Rancher及相關網(wǎng)絡安全攻防組件來實現(xiàn)輕量級網(wǎng)絡安全攻防平臺的方法。通過相關實驗測試，此平臺能夠滿足日常教學與實踐需要，性能良好、可擴展性強且建設成本相對廉價，具有較好的應用前景。不足之處是Docker 容器的OS 依賴于宿主機，無法模擬帶有漏洞的某個OS 版本，只能模擬具體有漏洞的組件，此不足可用重量級VM來彌補。另外，盡管Rancher管理平臺提供了較為人性化的圖形操作界面，其應用商店也在逐步完善，但K8s 平臺本身比較復雜，要深入了解并應用此PaaS 平臺，對平臺管理員的專業(yè)知識掌握程度要求較高。