朱曉靜, 林元乖

(瓊州學(xué)院 電子信息工程學(xué)院,海南 三亞 572022)

?

基于虛擬化實驗環(huán)境的網(wǎng)絡(luò)信息安全課程的實踐教學(xué)改革

朱曉靜, 林元乖

(瓊州學(xué)院 電子信息工程學(xué)院,海南 三亞 572022)

實驗教學(xué)是計算機類專業(yè)教學(xué)的一個重要環(huán)節(jié),是培養(yǎng)學(xué)生實踐能力和解決實際問題能力的關(guān)鍵途徑.隨著高校擴招學(xué)生數(shù)量的增加,學(xué)校的實驗設(shè)備很難滿足學(xué)生實驗需求.另外,由于網(wǎng)絡(luò)信息安全實驗的復(fù)雜性和破壞性均對實驗教學(xué)環(huán)境提出很高的要求,目前學(xué)校的實驗室已無法滿足這類實驗的需求.針對高校網(wǎng)絡(luò)信息安全課程實踐環(huán)境中存在的問題,提出基于虛擬化技術(shù)構(gòu)建實驗環(huán)境的解決方法,突破傳統(tǒng)實驗室的限制,使得學(xué)生能夠不受時間、空間以及傳統(tǒng)的教學(xué)模式的限制,通過虛擬化實驗環(huán)境,滿足教師多維互動實踐教學(xué),提高學(xué)生的實踐能力,滿足學(xué)生實踐學(xué)習(xí)的各種需求,推動網(wǎng)絡(luò)信息安全技術(shù)課程實驗的教學(xué),不僅提高學(xué)生的實踐能力,還節(jié)約了設(shè)備投入、場地投入、固定實驗場所日常維護和管理等辦學(xué)經(jīng)費.

虛擬化；實踐教學(xué)；虛擬實驗室；網(wǎng)絡(luò)信息安全；實驗環(huán)境

0 引言

隨著教育部提出“強化實踐教學(xué) 提高高校辦學(xué)質(zhì)量”,各高校計算機相關(guān)專業(yè)對課程的實踐教學(xué)要求也越來越高[1].《網(wǎng)絡(luò)信息安全技術(shù)》是高校計算機專業(yè)一門實踐性很強的課程,不僅強調(diào)對網(wǎng)絡(luò)信息安全技術(shù)原理的掌握,更注重學(xué)生網(wǎng)絡(luò)信息安全實踐能力的培養(yǎng).因此,實驗室便成為學(xué)生提高實踐能力的關(guān)鍵地方,但是在高校的實踐教學(xué)過程中,實驗室的物理環(huán)境限制了課程實踐活動的開展范圍.無論在時間,地點,還是有限的硬件設(shè)備上,都沒有辦法很好地支撐教師和學(xué)生實踐多維互動的需求及良好實踐能力的培養(yǎng).而要提高實踐能力及創(chuàng)建一種多維互動的教學(xué)模式,就應(yīng)該建立一個不受時間,地點限制的實驗環(huán)境,虛擬化的實驗環(huán)境就能很好地解決這個問題.

1 實踐教學(xué)環(huán)境限制

網(wǎng)絡(luò)信息安全課程內(nèi)容豐富,涉及的知識點較多,知識更新很快,并且各個知識點之間存在著很大關(guān)聯(lián),對學(xué)生的實踐動手能力要求很高,有效的實驗環(huán)境和實驗設(shè)備,直接影響到網(wǎng)絡(luò)信息安全實踐教學(xué)的最終效果[2].

很多高校為了加強實踐教學(xué),紛紛建設(shè)了計算機網(wǎng)絡(luò)及網(wǎng)絡(luò)安全實驗室,購置了相應(yīng)的實驗設(shè)備,網(wǎng)絡(luò)信息安全實踐教學(xué)對實驗環(huán)境要求具有特殊性和復(fù)雜性,但實驗室基本上沒有辦法組建較復(fù)雜的網(wǎng)絡(luò)環(huán)境,一般網(wǎng)絡(luò)拓撲環(huán)境大都較簡單,而且基本都是固定的,基于這種實驗環(huán)境的網(wǎng)絡(luò)，信息安全實驗項目大多數(shù)都是驗證型的.另外,由于實驗項目具有破壞性,對于極具破壞性的實驗大都由教師演示.還有網(wǎng)絡(luò)設(shè)備數(shù)量也有限,無法讓每個同學(xué)人手一臺網(wǎng)絡(luò)設(shè)備和安全設(shè)備進行實踐操作.而且,實驗室僅在實驗課的時候開放,平時學(xué)生很少接觸到網(wǎng)絡(luò)設(shè)備和安全設(shè)備,對于學(xué)生課外的實踐學(xué)習(xí)造成較大的限制；網(wǎng)絡(luò)的攻擊和防御技術(shù)類實驗項目都不能根據(jù)實際的情況去靈活地部署網(wǎng)絡(luò)結(jié)構(gòu).網(wǎng)絡(luò)線路經(jīng)常進行變動插拔,線路接口容易出現(xiàn)松動,甚至損壞的問題.學(xué)生每次實驗都要先花大量的時間來連接線路和檢測網(wǎng)絡(luò)線路故障[3],在時間有限的實踐課堂中很難完成較復(fù)雜的實驗項目.另外,大多數(shù)的網(wǎng)絡(luò)攻擊實驗都會對網(wǎng)絡(luò)設(shè)備造成或多或少的損害,并且攻擊過后的實驗設(shè)備的維護也很麻煩,所以很多實驗室的管理員,限制了網(wǎng)絡(luò)設(shè)備的權(quán)限,學(xué)生很難進行危害較大的攻擊實驗.另外,由于多專業(yè)多班級教學(xué),教學(xué)任務(wù)繁忙,造成實驗室擁擠,實驗硬件資源變得短缺,實驗設(shè)備類型不完備.網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全實驗存在的問題越來越突出,極大的影響了網(wǎng)絡(luò)信息安全實踐教學(xué).

2 虛擬化實驗環(huán)境構(gòu)建

利用虛擬化技術(shù)構(gòu)建網(wǎng)絡(luò)信息安全實驗環(huán)境,可以很好地解決上面陳述的傳統(tǒng)網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全實驗室存在的問題.

2.1 虛擬化實驗環(huán)境的原理

圖1 虛擬機系統(tǒng)結(jié)構(gòu)

虛擬化是從邏輯上對資源進行分配和利用的一種方法,它通常采用軟硬件分區(qū)、合并、整機模擬、分時等方法組合或劃分計算機資源,向用戶提供一個或多個計算環(huán)境的技術(shù)[4].虛擬化技術(shù)是通過在物理機的系統(tǒng)結(jié)構(gòu)中間增加了一層VMM (虛擬機監(jiān)視器),由VMM負責計算機的硬件資源如CPU、內(nèi)存、網(wǎng)絡(luò)及存儲的分配和使用.虛擬化的CPU可以用單個CPU模擬多個CPU的并行,允許一個平臺上同時運行多個不同的操作系統(tǒng),而且這些不同操作系統(tǒng)上的應(yīng)用程序可以在各自相互獨立空間內(nèi)運行互不影響[5].如圖1所示虛擬機系統(tǒng)結(jié)構(gòu).

通常,可以通過在一臺普通的計算機上安裝虛擬化軟件,仿真出多個獨立的計算機及服務(wù)器.虛擬軟件在計算機的真實CPU和內(nèi)存基礎(chǔ)之上為虛擬機提供虛擬硬件仿真,從操作系統(tǒng)的運行特性來看,虛擬出的硬件和真實的硬件沒有本質(zhì)上的差別.

而對于專業(yè)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備,無論是思科、華為、或者銳捷的產(chǎn)品,都是根據(jù)嵌入式設(shè)備的工作原理,把設(shè)備分為兩個構(gòu)件,一是專業(yè)的高性能的硬件載體,另外一個則是體現(xiàn)各大廠商核心技術(shù)的IOS(Internet Operating System)操作系統(tǒng).它提供配置與實現(xiàn)網(wǎng)絡(luò)設(shè)備各種功能的接口,它是網(wǎng)絡(luò)設(shè)備真正的核心.虛擬實驗環(huán)境下的高仿真度的設(shè)備就是把真實網(wǎng)絡(luò)安全設(shè)備的核心IOS載入到普通PC主機上來完成[3].具體工作原理如下圖2網(wǎng)絡(luò)設(shè)備核心IOS到普通計算機所示.把IOS從真實網(wǎng)絡(luò)或網(wǎng)絡(luò)安全設(shè)備上導(dǎo)出,然后加載到普通的計算機上,使普通的計算機成為IOS的硬件載體,如果忽略硬件方面的性能,單單從實踐教學(xué)方面而言,運載IOS的普通計算機就成為了一臺網(wǎng)絡(luò)或網(wǎng)絡(luò)安全設(shè)備.通過加載不同網(wǎng)絡(luò)設(shè)備的IOS,從而可以仿真成路由器和交換機,甚至可以仿真成防火墻,IPS等.仿真的這些網(wǎng)絡(luò)或網(wǎng)絡(luò)安全設(shè)備,只更換了硬件載體而已,所以真實網(wǎng)絡(luò)設(shè)備支持的功能,其都支持,而且靈活性更高.

圖2 網(wǎng)絡(luò)設(shè)備核心IOS到普通計算機

要提高學(xué)生的實踐機會和實踐能力,要構(gòu)建多維互動的教學(xué)模式,就需要利用虛擬化技術(shù)構(gòu)建實驗環(huán)境.虛擬化的實驗環(huán)境可以超越時間,地方的限制,讓學(xué)生在課堂和課外,教室和宿舍都可以進行實踐學(xué)習(xí),為多維互動的教學(xué)提供基礎(chǔ)[6].虛擬化實驗環(huán)境不是一個單純的軟件,是由多個使用虛擬化技術(shù)的仿真軟件構(gòu)成的集成平臺,一般使用這種技術(shù)的平臺,仿真程度與真實設(shè)備基本相同.虛擬實驗環(huán)境的部署除了必須有高仿真的網(wǎng)絡(luò)設(shè)備或者網(wǎng)絡(luò)安全以外,還需要有各種不同操作系統(tǒng)的服務(wù)器。充分利用具有較好集成能力的網(wǎng)絡(luò)仿真軟件,部署虛擬化的實驗環(huán)境,可以很好的解決網(wǎng)絡(luò)環(huán)境及信息安全實踐教學(xué)中的問題,讓教師與學(xué)生都可以擁有與真實高端網(wǎng)絡(luò)信息安全設(shè)備及真實網(wǎng)絡(luò)環(huán)境一樣的實踐教學(xué)環(huán)境,并且具備更強大的靈活性.

2.2 虛擬化實驗環(huán)境的部署

大多數(shù)高校教學(xué)中所使用的網(wǎng)絡(luò)設(shè)備模擬器[7],如Packet Tracer、Boson NetSim、Hw-RouteSim等都是比較簡單的獨立軟件,本身并不提供與其它仿真軟件的集成,一般無法與真實網(wǎng)絡(luò)環(huán)境連接融合,只是為了讓網(wǎng)絡(luò)設(shè)備的學(xué)習(xí)者或者用戶熟悉網(wǎng)絡(luò)設(shè)備的指令配置,而編寫的模仿真實設(shè)備IOS的應(yīng)用程序,并沒有把真實設(shè)備的IOS載入到該主機上.雖然它具備與真實設(shè)備一樣的IOS配置界面,但是運行態(tài)狀并不是真實的,不能完整執(zhí)行IOS中的全部功能與指令.因為在模擬程序的開發(fā)過程中已嵌入的IOS指令就可以被執(zhí)行,如果某些指令沒有被事先嵌入,就不能執(zhí)行[3].便無法很好地部署較復(fù)雜真實的網(wǎng)絡(luò)信息安全實踐教學(xué)環(huán)境.

而虛擬化實驗環(huán)境就是主要采用基于硬件抽象層技術(shù)的VMware虛擬機技術(shù)和具有圖形化界面可以運行在多平臺的網(wǎng)絡(luò)虛擬軟件GNS3,以及從專業(yè)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備中分離出來的IOS操作系統(tǒng).利用虛擬化軟件相互結(jié)合,以及和真實網(wǎng)絡(luò)環(huán)境相互結(jié)合,可以在任何地點,任意一臺普通的計算機上構(gòu)建出具備真實網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備功能的網(wǎng)絡(luò)實驗環(huán)境.

VMware是一種基于硬件抽象層技術(shù)的虛擬機軟件,能100%仿真出多個獨立的計算機系統(tǒng),并能仿真出多個網(wǎng)絡(luò).GNS3是思科的一款優(yōu)秀的具有圖形化界面可以運行在多平臺的網(wǎng)絡(luò)虛擬軟件.可以高仿真網(wǎng)絡(luò)的路由器、二層交換機、三層交換機、思科的IPX及ASA防火墻、思科的入侵檢測設(shè)備等,并且可以和VMware系統(tǒng)配合使用,并提供了相應(yīng)的橋接功能,可以把真實的網(wǎng)絡(luò)系統(tǒng)成功的加載到一臺計算機上,為網(wǎng)絡(luò)信息安全實踐教學(xué)提供較好的實踐環(huán)境.

在這種虛擬化的實驗環(huán)境下,可以完成計算機網(wǎng)絡(luò)及信息安全的所有教學(xué)實驗,沒有設(shè)備限制,環(huán)境限制,可以保證每個學(xué)生都能建立一個良好的網(wǎng)絡(luò)信息安全實驗環(huán)境.一般的網(wǎng)絡(luò)設(shè)備的配置、基于不同操作系統(tǒng)服務(wù)器的配置、病毒分析、入侵檢測、入侵防御、攻防演示、數(shù)據(jù)加密、IPv6部署與研究等實驗都可以完成.

3 網(wǎng)絡(luò)信息安全實驗設(shè)計

在虛擬化實驗環(huán)境中,網(wǎng)絡(luò)拓撲可隨任課教師和學(xué)生根據(jù)課程與實驗需求靈活的部署.在真實設(shè)備上能做的實驗,在虛擬化實驗環(huán)境中也能完成,由于其整個部署過程可以被實施到一臺物理計算機上,所以當面對網(wǎng)絡(luò)環(huán)境中的多臺計算機或者設(shè)備執(zhí)行配置時,可以集中演示出完整的過程.對于網(wǎng)絡(luò)信息安全中具有破壞性的實驗項目如病毒分析、木馬分析等,將被限制到虛擬實驗設(shè)備中,不至于對真實的網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備造成損害,更不至于殃及整個校園網(wǎng).

防火墻技術(shù)和入侵檢測技術(shù)(IDS)是網(wǎng)絡(luò)安全中最重要的技術(shù),但是真實的網(wǎng)絡(luò)實驗室中硬件防火墻和IDS的數(shù)量一般僅有幾臺,大多數(shù)情況下都是教師演示或者一個小組一臺,同學(xué)們大都很少親自進行配置操作,而在虛擬化實驗環(huán)境中,每個同學(xué)都可以擁有一臺真正的防火墻和IDS,從設(shè)備啟動到命令配置都和真實的防火墻設(shè)備一模一樣.實驗中的拓撲結(jié)構(gòu),可以根據(jù)自己需要的實驗內(nèi)容和實驗?zāi)康膩矶?實驗環(huán)境可以采用思科的模擬軟件GNS3,虛擬機軟件VMware,路由器的IOS可以使用c3600系列和 c7200系列,由于c3600系列的路由器具有16個交換口模塊,所以可以當交換機來使用.終端主機可以使用虛擬機VMware,具體的操作系統(tǒng)可以根據(jù)自己的實驗要求,在虛擬機VMware中安裝Windows XP、Windows 7、Windows Server 2008及Linux等操作系統(tǒng).在加載IPS的IOS及防火墻系列PIX及ASA.

IPS的相關(guān)實踐項目實例：三臺Cisco c3640 路由器 添加一個NM-16ESW模塊,來模擬交換機；IPS采用的Cisco IDS-4215；管理主機IDM使用真實主機,而攻擊主機和受害主機采用VMware 虛擬機完成.在GNS中的網(wǎng)絡(luò)拓撲圖如圖3所示.

PIX的相關(guān)實踐項目實例：三臺Cisco c3640 路由器 添加一個NM-16ESW模塊,來模擬交換機；PIX采用的Cisco PIX 525；分為DMZ、內(nèi)網(wǎng)和外網(wǎng),分別采用VMware 虛擬機完成.在GNS中的網(wǎng)絡(luò)拓撲圖如圖4所示.可以完成關(guān)于防火墻的實驗,還可以完成NAT,增加防火墻也可完成VPN實驗.

4 結(jié)論

虛擬實驗技術(shù)是通過網(wǎng)絡(luò)虛擬軟件GNS3和VMware集成其他設(shè)備來模擬實驗的,實驗內(nèi)容不受實驗室網(wǎng)絡(luò)設(shè)備和實驗時間的限制[8],可以很方便地增加和擴展實驗內(nèi)容.虛擬實驗室除了能進行課程要求的實驗外,還可根據(jù)實際情況確定課外學(xué)習(xí)內(nèi)容和完成學(xué)生不同的實踐教學(xué)內(nèi)容,從而可以最大限度地滿足學(xué)生的不同需要,整個實踐教學(xué)的過程均可在課外實現(xiàn)和完成.虛擬技術(shù)改善了教育、教學(xué)環(huán)境,擴大了教學(xué)承載能力, 擴大了實驗室的空間和時間,擴大了學(xué)生學(xué)習(xí)的空間和時間, 培養(yǎng)了學(xué)生的實踐能力和學(xué)習(xí)能力,并激發(fā)學(xué)生對實踐教學(xué)的主動性與積極性[9].虛擬化實驗環(huán)境可以有效的推動網(wǎng)絡(luò)信息安全技術(shù)課程實驗的改革.

[1]王涌,李國麗,應(yīng)艷杰,賈立新. 建設(shè)網(wǎng)絡(luò)虛擬實驗室, 深化實驗教學(xué)改革[J].實驗技術(shù)與管理,2010,27(9):85-87.

[2]歐慶于,朱婷婷,張昌宏.關(guān)于信息安全實驗教學(xué)的幾點思考[J].計算機教育,2010(10):123-125.

[3]諶璽. 虛擬化實驗室推進計算機網(wǎng)絡(luò)專業(yè)實踐教學(xué)的解決方案[EB/OL].[2013-10-11].http://7658423.blog.51cto.com/7648423/1307675.

[4]侯玥.操作系統(tǒng)級虛擬化技術(shù)在網(wǎng)絡(luò)教學(xué)環(huán)境中的應(yīng)用[D]北京:北京工業(yè)大學(xué),2012.

[5]杜鎮(zhèn).基于虛擬化的計算機網(wǎng)絡(luò)實驗平臺的研究與實現(xiàn)[D].湖南:中南大學(xué),2014.

[6]朱曉靜,林元乖.基于多維互動的計算機網(wǎng)絡(luò)課程教學(xué)改革[J].中國科技信息,2010(24):190-191.

[7]林元乖.創(chuàng)新型計算機網(wǎng)絡(luò)實驗教學(xué)研究[J].實驗技術(shù)與管理,2010，27(12):174-177.

[8]呂守林.以虛擬實驗室建設(shè)為契機, 推進實驗教學(xué)改革[J].實驗技術(shù)與管理,2009,26(11):85-87.

[9]曹子建,喻鈞,容曉峰.網(wǎng)絡(luò)安全理論與技術(shù)課程實踐教學(xué)[J].計算機教育,2012(22):100-102.

Practical Teaching Reform for the Course of Network Information Security Based on the Virtual Experiment Environment

ZHU Xiao-jing, LIN Yuan-guai

(College of Electronic Information Engineering, Qiongzhou University, Sanya Hainan, 572022, China)

Experimental teaching is an important part of computer teaching, and the key way to cultivate students' practical ability and improve their ability to solve the actual problem. With the increase in the number of students enrolled in the college, the school experimental equipment is difficult to meet students' experimental demand. In addition, due to the complexity and destructive experiment of network information security, the very high requirements are put forward for experiment teaching environment. Consequently, at present the school laboratory has been unable to meet the demand of this kind of experiment. In view of the existing practice of environment of university network information security curriculum problems, solutions are proposed to construct the experiment environment based on virtualization technology as a breakthrough of the traditional laboratory limit, so the students can learn through virtual experimental environment which is not affected by time, space and the limit of the traditional teaching mode, meets the teachers’ multidimensional and interactive practice teaching, improves students' practice ability, meets a variety of the needs of the students’ practice, promotes the experiment of network information security technology course teaching. Not only is the students' ability of practice improved, but also are the equipment investment, investment of the fixed experiment place, daily maintenance and management of educational funds saved.

virtualization; practice teaching; virtual laboratory; network information security; the experimental environment

2015-03-05

海南省自然科學(xué)基金資助(20156222); 海南省高等學(xué)校教育教學(xué)改革項目(HNJG2014-47);瓊州學(xué)院2013年度本科實踐教學(xué)改革項目(QYSJ2013-042); 瓊州學(xué)院2013年校級青年科學(xué)基金項目(QYQN201330);2014年三亞市院地科技合作項目(2014YD33)

朱曉靜(1980 - )，女，陜西省周至縣人，瓊州學(xué)院計算機副教授，碩士,研究方向為計算機網(wǎng)絡(luò)、信息技術(shù)應(yīng)用、網(wǎng)絡(luò)信息安全技術(shù).

S 668.4

A

1008-6722(2015) 05-0120-05

10.13307/j.issn.1008-6722．2015．05．25