唐燈平，朱艷琴，楊 哲，曹國平，肖廣娣

（蘇州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 蘇州 215006）

計(jì)算機(jī)網(wǎng)絡(luò)管理課程是一門綜合性課程，在理論教學(xué)中基本都是針對(duì)簡單網(wǎng)絡(luò)管理協(xié)議SNMP進(jìn)行探討，而要讓學(xué)生能真正對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行管理還有很大的距離，所以除了加強(qiáng)理論知識(shí)的講解外還特別需要加強(qiáng)實(shí)踐性教學(xué).各項(xiàng)研究結(jié)果表明，理論和實(shí)踐這兩者的關(guān)系是相互相成，互相促進(jìn)的.在實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)管理過程中經(jīng)常碰到安全性問題，計(jì)算機(jī)網(wǎng)絡(luò)安全主要涉及密碼學(xué)、防火墻、入侵檢測(cè)、入侵防御、VPN，身份認(rèn)證以及防病毒技術(shù).其中入侵檢測(cè)、入侵防御系統(tǒng)的部署，能夠很好地增強(qiáng)網(wǎng)絡(luò)的安全，起到主動(dòng)防御的目的.計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)能夠很好地對(duì)入侵檢測(cè)和入侵防御系統(tǒng)進(jìn)行仿真，在不增加巨額資金投入的情況下，達(dá)到很好的教學(xué)效果[1-2].

1 入侵檢測(cè)、入侵防御系統(tǒng)介紹[3-4]

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS），是對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵行為進(jìn)行識(shí)別的系統(tǒng)，可以看出入侵檢測(cè)系統(tǒng)只能發(fā)現(xiàn)行為，而不能防御攻擊行為的發(fā)生.入侵防御系統(tǒng)（In?trusion Prevention System，IPS）是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠及時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為，可以看出入侵防御系統(tǒng)既能檢測(cè)行為，又能防御攻擊行為.

2 計(jì)算機(jī)網(wǎng)絡(luò)管理虛擬仿真實(shí)驗(yàn)平臺(tái)及入侵防御實(shí)驗(yàn)設(shè)計(jì)

2.1 計(jì)算機(jī)網(wǎng)絡(luò)管理虛擬仿真實(shí)驗(yàn)平臺(tái)介紹[5-6]

實(shí)際實(shí)驗(yàn)平臺(tái)的搭建需要購買價(jià)格昂貴的網(wǎng)絡(luò)設(shè)備，要求比較嚴(yán)格的場(chǎng)地以及需要專業(yè)的管理維護(hù)人員.在實(shí)際使用過程中，對(duì)現(xiàn)場(chǎng)出現(xiàn)的一些問題的解決往往影響整個(gè)實(shí)驗(yàn)的教學(xué)效果，同時(shí)也不方便教師的現(xiàn)場(chǎng)演示.搭建虛擬仿真實(shí)驗(yàn)平臺(tái)顯得很有必要，具體搭建的仿真平臺(tái)如圖1所示.

圖1 計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)拓?fù)湓O(shè)計(jì)

該仿真平臺(tái)整合了GNS3、VMware以及SNMPc.由于網(wǎng)絡(luò)設(shè)備大都采用MIPS處理器，而計(jì)算機(jī)采用CISC（Complex Instruction Set Computer，復(fù)雜指令集計(jì)算機(jī)）的x86結(jié)構(gòu)進(jìn)行開發(fā)，GNS3將MIPS處理器指令轉(zhuǎn)換成X86指令，通過加載網(wǎng)絡(luò)設(shè)備的真實(shí)的鏡像文件IOS從而完美的仿真網(wǎng)絡(luò)設(shè)備，達(dá)到和真實(shí)設(shè)備同樣的效果.VMware是一款功能強(qiáng)大的桌面虛擬計(jì)算機(jī)軟件，用戶可在單一的桌面上同時(shí)運(yùn)行不同的操作系統(tǒng).特別的是它能夠和GNS3仿真軟件完美地進(jìn)行交互.整個(gè)仿真實(shí)驗(yàn)平臺(tái)的拓?fù)湓O(shè)計(jì)遵循主流的三層網(wǎng)絡(luò)架構(gòu)，分別為面向終端設(shè)備的接入層，起匯聚作用的匯聚層，以及處于整個(gè)拓?fù)洵h(huán)境核心的核心層.并利用VMware仿真了幾臺(tái)安裝不同操作系統(tǒng)的終端設(shè)備.具體如圖1所示.

2.2 入侵防御系統(tǒng)實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)[7]

入侵防御實(shí)驗(yàn)主要是直觀地體現(xiàn)入侵防御的過程，需要設(shè)計(jì)攻擊端與被攻擊端，如圖2所示，在該實(shí)驗(yàn)項(xiàng)目中設(shè)計(jì)一個(gè)服務(wù)器組，與該服務(wù)器組相連的交換機(jī)和核心層設(shè)備之間通過入侵防御設(shè)備相連，從而達(dá)到入侵防御設(shè)備對(duì)服務(wù)器組進(jìn)行入侵防御的目的.另外將社會(huì)學(xué)院一臺(tái)安裝Window server 2003操心系統(tǒng)的終端電腦作為攻擊端.在該臺(tái)電腦上安裝了用于對(duì)被攻擊端設(shè)備進(jìn)行攻擊的軟件.當(dāng)然作為攻擊端的電腦不僅僅可能出現(xiàn)在內(nèi)部網(wǎng)絡(luò)中，也可能來自外部網(wǎng)絡(luò)，另外在IPS設(shè)備的e0口中連接了一臺(tái)用于圖形化管理IPS設(shè)備的終端電腦.

該拓?fù)鋱D中涉及的三臺(tái)電腦均安裝在虛擬機(jī)VMware中，其中安裝Windows server 2008系統(tǒng)的被攻擊端服務(wù)器的網(wǎng)絡(luò)適配器的連接模式自定義為特定虛擬網(wǎng)絡(luò)VMnet2（僅主機(jī)模式），同樣在GNS3中，將服務(wù)器端的Cloud的NIO Ethernet設(shè)置為“VMware Network Adapter VMnet2”，達(dá)到將VMware中安裝Windows server 2008的電腦作為服務(wù)器組中被攻擊的電腦，同樣配置另兩臺(tái)電腦，其中攻擊端的電腦通過VMnet4相連，配置端電腦通過VMnet3相連.具體拓?fù)湓O(shè)計(jì)如圖2所示.

3 入侵防御配置過程

3.1 配置網(wǎng)絡(luò)使整個(gè)網(wǎng)絡(luò)互連互通[8-10]

圖2 入侵防御系統(tǒng)仿真實(shí)驗(yàn)拓?fù)?/p>

仿真實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)依據(jù)典型的三層網(wǎng)絡(luò)架構(gòu)進(jìn)行，網(wǎng)絡(luò)互連配置主要配置接入層、匯聚層和核心層設(shè)備.接入層設(shè)備劃分VLAN，以及配置連接匯聚層設(shè)備的端口的工作模式為TRUNK.匯聚層設(shè)備主要配置端口IP地址，由于該拓?fù)鋮R聚層設(shè)備的每個(gè)接口連接兩個(gè)不同的VLAN，需要配置兩個(gè)VLAN的網(wǎng)關(guān)地址，通過配置子接口來解決，另外需要配置連接核心層設(shè)備的接口的IP地址，核心層設(shè)備僅僅配置端口的IP地址.具體如圖2所示.接下來配置動(dòng)態(tài)路由協(xié)議使整個(gè)網(wǎng)絡(luò)互連互通.動(dòng)態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP），內(nèi)部網(wǎng)關(guān)協(xié)議有RIP，OSPF，EIGRP，IS-IS等，外部網(wǎng)關(guān)協(xié)議有BGP等，這里配置基本的RIP路由協(xié)議使整個(gè)內(nèi)部網(wǎng)絡(luò)互聯(lián)互通.

3.2 對(duì)IPS設(shè)備進(jìn)行基本的配置

在GNS3中需要先加載IPS設(shè)備的操作系統(tǒng)鏡像文件，該設(shè)備的鏡像文件有兩個(gè)，分別為ips-disk1.img和ips-disk2.img，在加載時(shí)首先選擇GNS3菜單中的“Edit——Preferences”，在窗口中選擇“Qemu——IDS”，將ips-disk1.img的路徑導(dǎo)入到“Binary image 1（hda）”中，將ips-disk2.img的路徑導(dǎo)入到“Binary image 2（hda）”中.IPS設(shè)備的使用需要進(jìn)行基本的配置，包括配置管理地址，設(shè)備名，定義可以進(jìn)行管理的網(wǎng)段，另外需要開啟設(shè)備的Web管理功能，以及管理的端口號(hào).需要注意的是，IPS設(shè)備的配置命令不是立即生效，需要在退出配置的過程中同意保存改變后才能生效.基本配置如下：

對(duì)IPS設(shè)備進(jìn)行以上基本配置后，才能通過配置端電腦進(jìn)入IPS的IDM管理界面對(duì)設(shè)備進(jìn)行具體的配置.

3.3 通過配置端電腦進(jìn)入IPS的IDM配置界面進(jìn)行配置

首先通過瀏覽器進(jìn)入設(shè)備的配置界面，瀏覽器中需要安裝JAVA虛擬機(jī)插件才能正常訪問，如圖3所示.

其次運(yùn)行“Run IDM”進(jìn)入IPS設(shè)備的IDM管理界面，如圖4所示.

圖3 訪問IPS管理首頁面

圖4 利用IDM管理IPS配置界面

在IDM的Configuration配置界面中，對(duì)IPS的接口進(jìn)行配置，選擇“Interface configuration”下的“Interfac?es”，將GigabitEthernet0/1和GigabitEthernet0/2的接口進(jìn)行激活，具體操作為：選擇這兩個(gè)接口，將它們“En?able”，結(jié)果這兩個(gè)接口的“Enabled”的值被設(shè)置為“Yes”，單擊“apply”保存設(shè)置.

選擇“Interface Configuration”下的“Interface Pairs”單擊“Add”，在Add Interface Pair窗口中，設(shè)置“Inter?face Pair Name”為“InIPS”，在“Select Two interfaces”窗口中，將GigabitEthernet0/1和GigabitEthernet0/2兩個(gè)接口選中，“Apply”確定保存.表示凡是穿越IPS的流量都會(huì)被檢測(cè).

在 Virtual sensor 中指派接口，選擇“Analysis Engine”里的“Virtual Sensor”將剛剛創(chuàng)建的“InIPS”的“As?signed”設(shè)置為“Yes”，單擊“OK”，在彈出的窗口中選擇“Apply Changes”保存所做的配置.選擇“Interface configuration”下的“Summary”可以發(fā)現(xiàn)剛剛創(chuàng)建的接口對(duì)已經(jīng)關(guān)聯(lián)到“Assigned Virtual Sensor”的vs0中，vs0為系統(tǒng)已經(jīng)設(shè)置的規(guī)則.

3.4 通過攻擊端電腦對(duì)服務(wù)器進(jìn)行攻擊，驗(yàn)證入侵防御設(shè)備的功能

網(wǎng)絡(luò)攻擊的一般流程為：目標(biāo)探測(cè)，端口掃描，網(wǎng)絡(luò)監(jiān)聽，實(shí)施攻擊以及撤退，其中通過端口掃描可以搜集到目標(biāo)主機(jī)各種有用的信息，為后續(xù)攻擊提供依據(jù).

為了驗(yàn)證該仿真系統(tǒng)是否能夠真正體現(xiàn)入侵檢測(cè)、入侵防御的效果，在攻擊端的電腦上安裝網(wǎng)絡(luò)掃描軟件X-Scan，利用該掃描軟件對(duì)服務(wù)器端電腦進(jìn)行網(wǎng)絡(luò)掃描，具體掃描攻擊過程如下：首先，設(shè)置掃描對(duì)象范圍，操作如下：在X-Scan軟件的主界面中選擇“設(shè)置”——“掃描參數(shù)”，在“檢測(cè)范圍”中將“指定IP地址范圍”設(shè)置為被攻擊的服務(wù)器的IP地址192.168.1.100.點(diǎn)擊“確定”.其次，設(shè)置掃描模塊，操作如下：在X-Scan軟件的主界面中選擇“設(shè)置”——“掃描參數(shù)”，在展開的“全局設(shè)置”中選擇“掃描模塊”，在“掃描模塊”界面中對(duì)需要掃描的具體模塊進(jìn)行具體設(shè)置.最后，點(diǎn)擊“文件”——“開始掃描”，對(duì)要攻擊的服務(wù)器進(jìn)行掃描.

整個(gè)掃描的過程持續(xù)的時(shí)間比較長，等整個(gè)掃描過程完成后，繼續(xù)下面的查看操作，具體通過對(duì)IPS的事件查看，能夠發(fā)現(xiàn)整個(gè)攻擊過程.

在IPS的IDM管理界面中，打開事件查看器進(jìn)行查看，具體為“Monitoring——Events——View”，從打開的“Event Viewer”的界面中可以查看到如圖5所示的攻擊事件.結(jié)果表明與實(shí)際真實(shí)的網(wǎng)絡(luò)環(huán)境做出的實(shí)驗(yàn)效果相同，達(dá)到了非常好的仿真效果.

4 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)安全在計(jì)算機(jī)網(wǎng)絡(luò)管理中占據(jù)非常重要的地位，并且越來越被重視.計(jì)算機(jī)網(wǎng)絡(luò)安全中除了應(yīng)用廣泛的防火墻技術(shù)外，入侵檢測(cè)、入侵防御技術(shù)已經(jīng)作為對(duì)防火墻技術(shù)的補(bǔ)充被廣泛使用.計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)能夠很好地仿真入侵檢測(cè)、入侵防御系統(tǒng)，達(dá)到了和在真實(shí)設(shè)備上同樣的實(shí)驗(yàn)效果，為學(xué)生的實(shí)驗(yàn)和教師的教學(xué)均帶來了方便.

圖5 查看到的攻擊事件

[1]楊懷磊，潘寧.基于入侵防御的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)研究[J].煤炭技術(shù)，2013（2）：195-197.

[2]蔡俊杰.網(wǎng)絡(luò)入侵防御系統(tǒng)的研究[J].計(jì)算機(jī)安全，2007（4）：34-35.

[3]高曉飛，申普兵.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)[J].計(jì)算機(jī)安全，2009（1）：38-40.

[4]楊群，蔡樂才，歐陽民子，等.入侵檢測(cè)技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（9）：19-21.

[5]顧春峰，李偉斌，蘭秀風(fēng).基于VMware、GNS3實(shí)現(xiàn)虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室[J].實(shí)驗(yàn)室研究與探索，2012（1）：73-75，100.

[6]劉武，吳建平，段海新，等.用VMware構(gòu)建高校的網(wǎng)絡(luò)安全實(shí)驗(yàn)床[J].計(jì)算機(jī)應(yīng)用研究，2005（2）：212-214.

[7]徐祥生.校園網(wǎng)入侵分析和安全防護(hù)[J].中國電化教育，2007（2）：107-109.

[8]唐燈平.整合GNS3和VMware，搭建虛實(shí)結(jié)合的網(wǎng)絡(luò)技術(shù)綜合實(shí)訓(xùn)平臺(tái)[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2012（2）：41-44.

[9]唐燈平.利用packet tracer模擬軟件實(shí)現(xiàn)三層網(wǎng)絡(luò)架構(gòu)的研究[J].實(shí)驗(yàn)室科學(xué)，2010（3）：143-146.

[10]唐燈平.利用Packet Tracer模擬組建大型單核心網(wǎng)絡(luò)的研究[J].實(shí)驗(yàn)室研究與探索，2011（1）：186-189，198.