摘 要：專業(yè)網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)是采用軟硬件系統(tǒng)結(jié)合使用的方法，用網(wǎng)絡(luò)安全防護(hù)模擬設(shè)備代替實(shí)裝，實(shí)現(xiàn)與實(shí)裝基本一致的操作使用效果；用管理控制軟件系統(tǒng)實(shí)現(xiàn)演示教學(xué)、操作訓(xùn)練管理等功能。本文從模擬訓(xùn)練系統(tǒng)的研制內(nèi)容、基本設(shè)計(jì)思路和總體方案設(shè)計(jì)三個(gè)方面，闡述了專業(yè)網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)研制設(shè)計(jì)方案，為下一步項(xiàng)目研制打下理論基礎(chǔ)。

關(guān)鍵詞：模擬訓(xùn)練系統(tǒng)；研究?jī)?nèi)容；基本思路；方案設(shè)計(jì)

由于系統(tǒng)安全防護(hù)性高、傳輸速度快等特點(diǎn)，專業(yè)網(wǎng)絡(luò)在任職崗位已經(jīng)廣泛使用，并為信息傳輸和綜合運(yùn)用提供信道。安全防護(hù)子系統(tǒng)是專業(yè)網(wǎng)絡(luò)的重要組成部分，為網(wǎng)絡(luò)的安全性能提供了重要的技術(shù)手段和安全防護(hù)支撐。網(wǎng)絡(luò)的安全維護(hù)是崗位任職技能的一個(gè)重要內(nèi)容，目前專業(yè)教學(xué)尚無安防系統(tǒng)軟、硬件設(shè)備，無法滿足該項(xiàng)內(nèi)容演示教學(xué)與實(shí)踐訓(xùn)練需要。因此，考慮通過計(jì)算機(jī)軟件設(shè)計(jì)與單片機(jī)硬件編程相結(jié)合的方式，研制專業(yè)網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)，解決專業(yè)教學(xué)訓(xùn)練中的實(shí)際問題，提高教學(xué)訓(xùn)練質(zhì)量和效益。

1 專業(yè)網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)研制內(nèi)容

（一）搭建專業(yè)網(wǎng)絡(luò)三級(jí)節(jié)點(diǎn)架構(gòu)

專業(yè)網(wǎng)絡(luò)包括三級(jí)節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在每級(jí)節(jié)點(diǎn)路由器之間加裝保密設(shè)備，在每級(jí)節(jié)點(diǎn)網(wǎng)絡(luò)內(nèi)部，部署相應(yīng)的安全防護(hù)分系統(tǒng)。網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)在實(shí)現(xiàn)過程中，首先需要按照專業(yè)網(wǎng)絡(luò)設(shè)備型號(hào)要求，自購路由器、交換機(jī)和計(jì)算機(jī)等設(shè)備構(gòu)成三級(jí)網(wǎng)絡(luò)環(huán)境。

（二）研制安全防護(hù)模擬訓(xùn)練系統(tǒng)

在專業(yè)網(wǎng)絡(luò)三級(jí)節(jié)點(diǎn)網(wǎng)絡(luò)環(huán)境基礎(chǔ)上，自主研發(fā)防火墻、入侵檢測(cè)、漏洞掃描、安全認(rèn)證、密碼保護(hù)等模擬分系統(tǒng)，實(shí)現(xiàn)設(shè)備硬件外觀、操作步驟和軟件流程控制模擬。系統(tǒng)核心是管理主機(jī)，研制訓(xùn)練管理軟件在管理主機(jī)上運(yùn)行，負(fù)責(zé)對(duì)模擬訓(xùn)練系統(tǒng)的各部分工作進(jìn)行監(jiān)控和協(xié)調(diào)，通過自主研發(fā)方式實(shí)現(xiàn)。

（三）形成安全防護(hù)模擬訓(xùn)練系統(tǒng)應(yīng)用方案

本模擬訓(xùn)練系統(tǒng)包括硬件訓(xùn)練設(shè)備和訓(xùn)練管理軟件兩部分，在操作訓(xùn)練環(huán)節(jié)，通過搭建近似崗位任職實(shí)際的網(wǎng)絡(luò)安防系統(tǒng)環(huán)境，學(xué)生可以自己動(dòng)手對(duì)安防設(shè)備進(jìn)行線纜連接與操作使用，體會(huì)各種設(shè)備在網(wǎng)絡(luò)中的安全防護(hù)功能，從而進(jìn)一步理解專業(yè)網(wǎng)絡(luò)的組成架構(gòu)和信號(hào)流程，提高崗位任職技能。

教師使用安全防護(hù)模擬訓(xùn)練系統(tǒng)可進(jìn)行新內(nèi)容的演示講授、示范操作，通過投影使學(xué)生清楚明白地觀察設(shè)備外形、按鍵位置、顯示屏內(nèi)容以及教師對(duì)訓(xùn)練設(shè)備的具體操作，改善了由于實(shí)裝體型較小，學(xué)生不易觀察的問題，大大提高教學(xué)效果。

此外，模擬訓(xùn)練系統(tǒng)可以對(duì)學(xué)生的操作訓(xùn)練數(shù)據(jù)進(jìn)行采集、評(píng)判、分析，通過點(diǎn)看與回放操作，幫助教師查找學(xué)生操作的錯(cuò)誤原因，分析學(xué)生學(xué)習(xí)的薄弱環(huán)節(jié)，提出改進(jìn)意見，達(dá)到更好的訓(xùn)練效果。

2 專業(yè)網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)設(shè)計(jì)思路

網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)在實(shí)現(xiàn)時(shí)，在各節(jié)點(diǎn)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)終端上安裝代理軟件（Agent），通過代理軟件收集網(wǎng)內(nèi)各計(jì)算機(jī)的各種操作行為，并將行為所表示的信號(hào)傳輸給管理主機(jī)，在管理主機(jī)內(nèi)對(duì)此操作行為進(jìn)行分析，以判斷該行為是否與各安防分系統(tǒng)的規(guī)則策略匹配，最后由管理主機(jī)向各終端計(jì)算機(jī)發(fā)出命令以控制各終端計(jì)算機(jī)的操作行為，比如關(guān)閉端口、斷開連接等。

3 網(wǎng)絡(luò)安全防護(hù)模擬訓(xùn)練系統(tǒng)設(shè)計(jì)方案

（一）代理程序設(shè)計(jì)與實(shí)現(xiàn)

由于防火墻、入侵檢測(cè)、漏洞掃描三個(gè)模擬訓(xùn)練分系統(tǒng)，在實(shí)現(xiàn)過程中都需要對(duì)各節(jié)點(diǎn)訪問網(wǎng)絡(luò)的行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并根據(jù)檢測(cè)結(jié)果進(jìn)行進(jìn)一步的控制。因此，需要分別編寫對(duì)應(yīng)的代理程序，安裝在網(wǎng)絡(luò)終端上，與服務(wù)器配合完成安全防護(hù)功能。

實(shí)現(xiàn)方法：

通過windows系統(tǒng)下的MFC程序設(shè)計(jì)編寫代理（Agent）程序，實(shí)現(xiàn)對(duì)各終端計(jì)算機(jī)發(fā)送和接收數(shù)據(jù)包的檢測(cè)，從而分析得到計(jì)算機(jī)是否有違規(guī)發(fā)送或接收數(shù)據(jù)的行為。根據(jù)用戶的相關(guān)網(wǎng)絡(luò)安全設(shè)置對(duì)相應(yīng)的端口進(jìn)行關(guān)閉或打開處理，以模擬出實(shí)裝網(wǎng)絡(luò)防火墻、入侵檢測(cè)和漏洞掃描系統(tǒng)等指控安防系統(tǒng)的基本功能。

（二）網(wǎng)絡(luò)環(huán)境下自定義網(wǎng)絡(luò)通信設(shè)計(jì)與實(shí)現(xiàn)

由于本項(xiàng)目中的安防系統(tǒng)結(jié)合專網(wǎng)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)搭建起一個(gè)虛擬網(wǎng)絡(luò)環(huán)境，各節(jié)點(diǎn)之間的線路通斷常常依靠主控機(jī)程序判斷實(shí)現(xiàn)，因此，需要設(shè)計(jì)一個(gè)專用的協(xié)議來實(shí)現(xiàn)主控程序軟件與模擬設(shè)備之間的協(xié)同通信。

實(shí)現(xiàn)方法：

1. 構(gòu)建通信協(xié)議采用四層參考模型

通信協(xié)議的四層參考模型最底層的物理層通過以太網(wǎng)通信實(shí)現(xiàn)，采用標(biāo)準(zhǔn)的局域網(wǎng)IEEE802.3協(xié)議；為滿足系統(tǒng)數(shù)據(jù)通信和軟件響應(yīng)的實(shí)時(shí)性，傳輸層考慮采用UDP協(xié)議實(shí)現(xiàn)；在UDP協(xié)議之上使用自研專用數(shù)據(jù)交互通信GCP協(xié)議，實(shí)現(xiàn)對(duì)各種信息的傳輸。

2. 設(shè)計(jì)專用通信線程

設(shè)計(jì)系統(tǒng)專用通信線程，主要負(fù)責(zé)采集各個(gè)代理程序傳送過來的數(shù)據(jù)，接受并對(duì)其進(jìn)行分析、判斷、顯示。

3. 研制專用數(shù)據(jù)交互通信GCP協(xié)議

為了方便軟硬件系統(tǒng)之間信息含義的解析，在TCP端口基礎(chǔ)上規(guī)劃設(shè)計(jì)專用的數(shù)據(jù)交互通信協(xié)議GCP（General Communication Protocol）協(xié)議，通過定義協(xié)議的語義、語法和時(shí)序來簡(jiǎn)化數(shù)據(jù)交互的復(fù)雜性。

專用通信協(xié)議GCP協(xié)議包格式如下圖所示，主要包括top、length、keynum三個(gè)主要字段。

top字段為包類型字段，長(zhǎng)度為4bit，top=0000代表按鍵數(shù)據(jù)包，top=0001代表同步數(shù)據(jù)包，top=0010代表時(shí)間數(shù)據(jù)包，top=0011代表初始化數(shù)據(jù)包，其他值備用。

length字段為數(shù)據(jù)包長(zhǎng)度字段，長(zhǎng)度為12bit，代表除去數(shù)據(jù)包頭字段之外的數(shù)據(jù)包長(zhǎng)度，以bit為單位。

keynum字段為內(nèi)容字段，代表數(shù)據(jù)包的具體內(nèi)容。

（三）AVR單片機(jī)控制系統(tǒng)設(shè)計(jì)

系統(tǒng)中模擬訓(xùn)練設(shè)備的操作、顯示以及與管理主機(jī)的數(shù)據(jù)交互的控制均由AVR單片機(jī)系統(tǒng)實(shí)現(xiàn)，硬件部分控制核心芯片采用AVR128系列單片機(jī)。單片機(jī)控制模塊置于模擬設(shè)備機(jī)箱內(nèi)，通過AVR單片機(jī)系統(tǒng)編程對(duì)模擬設(shè)備的操作進(jìn)行模擬響應(yīng)控制，完成對(duì)實(shí)裝基本功能的模擬，實(shí)現(xiàn)與實(shí)裝操作感觀基本一致的操作效果，滿足模擬設(shè)備單機(jī)教學(xué)、訓(xùn)練需求；研制數(shù)據(jù)、話音模擬信道通模塊，在AVR單片機(jī)系統(tǒng)的控制下單片機(jī)以太網(wǎng)接口電路、鍵盤按鍵電路和顯示輸出電路等，實(shí)現(xiàn)模擬設(shè)備功能響應(yīng)與語音通道通斷控制，模擬實(shí)裝實(shí)現(xiàn)話音、數(shù)據(jù)信號(hào)的傳輸。

作者簡(jiǎn)介

張鵬（1974-）女，漢，山東省青州市人，第二炮兵工程大學(xué)士官學(xué)院，副教授（現(xiàn)有職稱），研究生學(xué)歷，網(wǎng)絡(luò)管理方向。