宣樂飛

摘 要： 云計算技術具有部署靈活、可擴展性強、利用率高等特點。利用開源云計算技術Openstack，完成網(wǎng)絡攻防實訓平臺的搭建。通過綜合云管理平臺，對教學實驗、綜合實戰(zhàn)、仿真實戰(zhàn)、攻防對抗等功能進行集中監(jiān)控與管理。通過管理模塊，對課件、題庫、模板、靶機等資源進行統(tǒng)一制作、管理與維護。使用SDN技術，對各種設備和環(huán)境以圖形化方式進行自由拖拽與組合，可快速生成各種目標場景和仿真環(huán)境，為信息安全類專業(yè)開展實訓教學提供實戰(zhàn)訓練環(huán)境。

關鍵詞： 云計算； Openstack； SDN； 實訓平臺

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1006-8228（2018）06-26-03

Design and implementation of cloud technology based platform

for network attack and defense training

Xuan Lefei

（Information Engineering Institute， Hangzhou Vocational & Technical College， Hangzhou， Zhejiang 310018， China）

Abstract： The cloud computing technology has the characteristics of flexible deployment， strong extensibility and high utilization. The open source cloud computing technology Openstack is used to complete the construction of the network attack and defense training platform. Through the integrated cloud management platform， the centralized monitoring and management of the functions of teaching experiment， integrated actual combat， simulation actual combat， attack and defense confrontation and so on. Through the management module， the courseware， the question bank， the template， the target machine and other resources are unified produced， managed and maintained. The use of SDN technology， the free drag and combination of various devices and environments in a graphical manner， can quickly generate various target scenes and simulation environment， which provides an effective practical training environment for the practical teaching of the cyber security specialty.

Key words： cloud computing； Openstack； SDN； training platform

0 引言

“沒有網(wǎng)絡安全，就沒有國家”，網(wǎng)絡安全受到國家層面的高度重視。而“網(wǎng)絡空間的競爭，歸根結底是人才競爭”。因此，培養(yǎng)信息安全人才已成為信息安全類專業(yè)的當務之急。為了培養(yǎng)和提高信息安全類專業(yè)學生的職業(yè)技能，本文研究設計一種開放架構、可擴展、可自定義的網(wǎng)絡攻防實訓平臺，以滿足專業(yè)教學、實訓和科研的需要。

1 傳統(tǒng)網(wǎng)絡攻防實訓平臺存在的問題

傳統(tǒng)的網(wǎng)絡攻防實訓平臺，一般使用物理環(huán)境和真實設備來搭建攻防平臺，設施設備投入高，部署難度大，管理困難。部分廠商使用專用設備通過虛擬化技術搭建實訓環(huán)境，但平臺對實訓人數(shù)有較大限制，同時后續(xù)升級成本較高，無法滿足專業(yè)教學的需求[1]。隨著云計算技術的發(fā)展，使用開放云架構的方式構建網(wǎng)絡攻防實訓平臺，能夠低成本、快速靈活的部署與實施，能快速提供對教學實訓的支持，具有較好的發(fā)展前景。

2 平臺關鍵技術研究

2.1 云計算技術

云計算是一個具備高度擴展性和管理性，并能勝任終端用戶應用軟件計算基礎架構的系統(tǒng)池[2]。使用云計算技術，可以提高資源的統(tǒng)一管理與利用效率。OpenStack作為開源的云計算管理平臺項目，提供了標準統(tǒng)一、實施簡單、可大規(guī)模擴展的云計算管理平臺，便于用戶進行二次開發(fā)。其核心功能由5部分組成，包括計算服務nova、對象存儲swift、鏡像服務glance、認證服務keystone和控制臺horizon[3]。因此，本平臺使用OpenStack技術進行云平臺服務器控制節(jié)點與計算節(jié)點的設計與實施，滿足不同應用場景的需求。

2.2 SDN技術

SDN即軟件定義網(wǎng)絡，是網(wǎng)絡虛擬化的一種實現(xiàn)方式。通過openflow技術，將網(wǎng)絡設備控制面與數(shù)據(jù)面分離，實現(xiàn)網(wǎng)絡流量的靈活控制[4]。在網(wǎng)絡攻防實訓平臺中，采用SDN技術，各種設備和環(huán)境可以通過圖形化的界面方式進行自由拖拽與組合，即可生成各類真實的網(wǎng)絡靶場環(huán)境，也可以模擬各種真實的目標場景，仿真各類網(wǎng)絡拓撲。

3 網(wǎng)絡攻防實訓平臺的設計

3.1 網(wǎng)絡攻防實訓平臺邏輯拓撲設計

針對信息安全類攻防實訓的特點，同時為了滿足內(nèi)網(wǎng)用戶（學生）和外網(wǎng)用戶（社會學習者）的學習與使用，本平臺在設計中通過VPN服務進行接入，保證實驗環(huán)境與物理網(wǎng)絡的邏輯隔離，提高網(wǎng)絡安全性，具體拓撲如圖1所示。

利用Openstack提供的相關技術，本平臺實現(xiàn)模塊化的功能設計[5]。其中，使用nova技術完成實例運行、網(wǎng)絡管理與用戶訪問控制等云服務的部署，最終實現(xiàn)實訓平臺（網(wǎng)絡靶場）和綜合管理平臺的構建。通過swift這一可擴展的對象存儲系統(tǒng)，完成相應環(huán)境的分布式存儲。通過glance服務，實現(xiàn)對虛擬機鏡像注冊，發(fā)現(xiàn)和讀取服務，完成攻防場景的快速切換。

3.2 網(wǎng)絡攻防實訓平臺功能設計

網(wǎng)絡攻防實訓平臺基于虛擬化的綜合管理云平臺，包括攻防實戰(zhàn)和綜合管理兩大主要模塊。其中，綜合管理平臺包括課件管理、靶機管理、模板管理、題庫管理和工具管理。攻防實戰(zhàn)平臺包括教學實驗、綜合實戰(zhàn)、仿真實戰(zhàn)、攻防（對抗）實戰(zhàn)、工具庫組成，具體平臺功能如圖2所示。

綜合管理平臺作為統(tǒng)一的管理平臺，主要對課件、靶機、模板、題庫的進行統(tǒng)一集中管理。同時對學生賬戶的訪問控制粒度進行管理、認證和授權。

教學實驗功能中內(nèi)置了9大類600多個課程。覆蓋總類多、范圍廣、專業(yè)性強、注重理論及實踐應用相結合。通過預制相應的實驗環(huán)境進行實驗，學習者可掌握安全技術知識攻擊與防御方法。在學習過程中，系統(tǒng)會自動記錄學時，讓教師及時的掌握當前熱門課程、學習進度、實驗進度、學生掌握能力等。

綜合實戰(zhàn)功能是基于互聯(lián)網(wǎng)重大安全漏洞的實戰(zhàn)化平臺，提供網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)庫安全四大層面的重大安全漏洞實戰(zhàn)項目，所有實戰(zhàn)化項目劃分了初級、中級、高級不同難度。

仿真實戰(zhàn)平臺基于SDN（軟件定義網(wǎng)絡）技術，可通過圖形化的界面方式自由拖拽，生成各類真實的網(wǎng)絡靶場環(huán)境。通過模擬各種真實的目標場景，仿真各類網(wǎng)絡拓撲。學習者可在模擬目標網(wǎng)絡環(huán)境中進行滲透測試練習。

攻防實戰(zhàn)平臺是信息安全人員技術競技比賽的平臺。通過模擬真實的企業(yè)內(nèi)部業(yè)務系統(tǒng)、外部互聯(lián)網(wǎng)業(yè)務系統(tǒng)場景等形式，進行仿真實戰(zhàn)的安全競賽模式。平臺可對數(shù)據(jù)以可視化方式實時展現(xiàn)，通過此類競賽模式，有助于學生了解與發(fā)現(xiàn)不同企業(yè)的業(yè)務系統(tǒng)中存在的真實問題。

4 網(wǎng)絡攻防實訓平臺的應用

以完成Web安全實訓為例，學習者可以通過選擇課程，進入實訓界面，如圖3所示。在實訓界面中包含有完成的實驗介紹和實驗步驟。通過創(chuàng)建實驗環(huán)境，系統(tǒng)根據(jù)模板自動生成靶機資源，方便開展相關的實訓。同時，為保證資源有效利用，系統(tǒng)會自動進行計時，到時間后自動釋放相關靶機資源。

圖4是靶機管理界面。在學生實訓過程中，平臺自動調配資源以保證實訓環(huán)境正常運行。利用云計算技術，攻防平臺提高了靶機生成的效率。根據(jù)測試，平臺中單個靶機的平均生成時間只需要8秒鐘，完成100個靶機的批量生成時間平均只需要30秒鐘，可以滿足整班學生的實訓需求。

5 結束語

網(wǎng)絡攻防實訓平臺對于培養(yǎng)信息安全類人才具有十分重要的作用。通過使用云計算技術，改變了傳統(tǒng)平臺對于網(wǎng)絡技術的依賴。同時其易于擴展、部署靈活的特點，提高了實訓平臺的承載能力，降低了使用成本。該方法提供了網(wǎng)絡攻防實訓的新思路，也促進了學生網(wǎng)絡安全攻防水平的提高。

參考文獻（References）：

[1] 俞立峰，楊瓊.信息安全虛擬實踐教學平臺的構建[J].計算機

時代，2014.2：18-19

[2] 康辰，朱志祥.基于云計算平臺的網(wǎng)絡攻防實驗平臺[J].西安

郵電大學學報，2013.18（3）：87-91

[3] 葉建鋒，張平安，高月芳.基于Openstack的網(wǎng)絡攻防實訓平

臺設計與構建[J].實驗技術與管理，2016.33（3）：86-89

[4] 張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡（SDN） 研究進展[J].

軟件學報，2015.1：62-81

[5] 張力，周漢清.基于云計算技術的網(wǎng)絡安全攻防實驗平臺設

計[J].軟件導刊，2015.14（9）：188-191