周曉芬 鄭孜 舒強(qiáng) 周寧羚 王凱睿 李杰

?

基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)探索

周曉芬 鄭孜 舒強(qiáng) 周寧羚 王凱睿 李杰

國(guó)網(wǎng)江西省電力有限公司南昌供電分公司，江西 南昌 330069

網(wǎng)絡(luò)安全教育是十分必要的，但安全類(lèi)實(shí)驗(yàn)有一定風(fēng)險(xiǎn)。如果在真實(shí)網(wǎng)絡(luò)中開(kāi)展破壞性實(shí)驗(yàn)，會(huì)嚴(yán)重威脅實(shí)驗(yàn)設(shè)備的軟硬件安全，且操作過(guò)程繁雜。因此，如何為學(xué)生提供便利可共享的實(shí)驗(yàn)環(huán)境成為學(xué)者們重點(diǎn)關(guān)注的課題。在此背景下，虛擬化技術(shù)應(yīng)運(yùn)而生。簡(jiǎn)要分析了網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展的現(xiàn)狀，針對(duì)其管理難度大、擴(kuò)展性不強(qiáng)等問(wèn)題，提出了基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展建議，以期為相關(guān)工作提供參考。

超融合架構(gòu)；網(wǎng)絡(luò)安全；虛擬仿真；實(shí)驗(yàn)平臺(tái)

引言

虛擬化技術(shù)的出現(xiàn)，為網(wǎng)絡(luò)安全的實(shí)驗(yàn)教學(xué)提供了方案。采用超融合架構(gòu)搭建的仿真實(shí)驗(yàn)教學(xué)平臺(tái)，一方面省去了網(wǎng)絡(luò)儲(chǔ)存購(gòu)置成本，保證實(shí)驗(yàn)設(shè)備安全，另一方面可以為學(xué)生提供多種實(shí)驗(yàn)操作環(huán)境，減少繁雜的操作程序。隨著“互聯(lián)網(wǎng)+教育”不斷發(fā)展，學(xué)生能夠自主學(xué)習(xí)，并能夠?qū)?yōu)質(zhì)教學(xué)資源向社會(huì)共享，但當(dāng)前面臨的發(fā)展問(wèn)題不容忽視，還需深入研究以期有效解決。

1 虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展中的不足

利用云計(jì)算技術(shù)建立的虛擬仿真網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)，對(duì)網(wǎng)絡(luò)安全的教學(xué)和研究起到了良好的推動(dòng)作用，但仍存在一些不足[1]。一是擴(kuò)展性不強(qiáng)。目前，大多實(shí)驗(yàn)平臺(tái)中的云計(jì)算只能統(tǒng)一管理計(jì)算資源，而對(duì)于網(wǎng)絡(luò)資源與儲(chǔ)存資源卻無(wú)能為力，這就使得實(shí)驗(yàn)平臺(tái)的升級(jí)與擴(kuò)容受限于正在應(yīng)用的體系結(jié)構(gòu)。二是效費(fèi)比偏低。通過(guò)分析大量調(diào)查數(shù)據(jù)，不難發(fā)現(xiàn)搭建虛擬仿真實(shí)驗(yàn)平臺(tái)時(shí)，儲(chǔ)存設(shè)備的投資額占比為20%～40%，甚至更高，這就使得投資效費(fèi)比在無(wú)形中降低。三是管理難度大。一臺(tái)儲(chǔ)存設(shè)備為多臺(tái)計(jì)算機(jī)提供儲(chǔ)存服務(wù)。一旦發(fā)生故障隱患，就將影響整個(gè)平臺(tái)的運(yùn)行，引發(fā)多米諾骨牌效應(yīng)。

2 網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)平臺(tái)現(xiàn)狀

網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)的發(fā)展既面臨著機(jī)遇，又面臨著挑戰(zhàn)。

2.1 利用單機(jī)上的虛擬機(jī)開(kāi)展實(shí)驗(yàn)

虛擬機(jī)技術(shù)是通過(guò)軟件模擬硬件設(shè)備，在大型主機(jī)上為用戶(hù)虛擬搭建出一套獨(dú)立于實(shí)際硬件的操作環(huán)境[2]。虛擬機(jī)監(jiān)視器的作用是管理上層運(yùn)行，集中控制訪問(wèn)硬件設(shè)備。對(duì)于主機(jī)而言，虛擬機(jī)操作系統(tǒng)就是一個(gè)文件，因此在教學(xué)時(shí)可以確保為學(xué)生提供相同的實(shí)驗(yàn)操作環(huán)境，且不會(huì)影響PC的安全。雖然這項(xiàng)技術(shù)解決了學(xué)生多種系統(tǒng)安全操作的難題，但由于使用到還原卡，無(wú)法保存中間實(shí)驗(yàn)結(jié)果，退出后只能重新進(jìn)行實(shí)驗(yàn)，更無(wú)法支持學(xué)生開(kāi)展遠(yuǎn)程實(shí)驗(yàn)。

2.2 利用云計(jì)算技術(shù)建立網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)平臺(tái)

將虛擬化技術(shù)與云計(jì)算技術(shù)相結(jié)合搭建起來(lái)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)平臺(tái)，支持學(xué)生網(wǎng)絡(luò)遠(yuǎn)程開(kāi)展實(shí)驗(yàn)，實(shí)現(xiàn)了優(yōu)質(zhì)教學(xué)的資源共享。云計(jì)算虛擬化可以為相同模板的虛擬機(jī)建立統(tǒng)一快照，之后迅速回復(fù)初始狀態(tài)，保留中間實(shí)驗(yàn)結(jié)果，大大提高了實(shí)驗(yàn)效率，有利于實(shí)驗(yàn)平臺(tái)的管理與維護(hù)。但云計(jì)算擴(kuò)展性不強(qiáng)，無(wú)法形成計(jì)算資源、網(wǎng)絡(luò)資源與儲(chǔ)存資源的統(tǒng)一資源池，這就為基于云計(jì)算和虛擬化技術(shù)建立的實(shí)驗(yàn)平臺(tái)的后續(xù)升級(jí)帶來(lái)了挑戰(zhàn)[3]。云計(jì)算環(huán)境主要涉及服務(wù)器、存儲(chǔ)設(shè)備以及網(wǎng)絡(luò)安全設(shè)備等，其中服務(wù)器存儲(chǔ)設(shè)備一般采用NAS或SAN。NAS是將存儲(chǔ)設(shè)備通過(guò)網(wǎng)絡(luò)連接到服務(wù)器，多適用于文件類(lèi)，靈活性高且成本低，但受限于網(wǎng)速；SAN通過(guò)光纖連接，性能好，但成本較高，受限于網(wǎng)絡(luò)交換機(jī)的性能。

2.3 超融合架構(gòu)

傳統(tǒng)的虛擬化技術(shù)主要應(yīng)用在大型機(jī)上，IO技術(shù)出現(xiàn)后推動(dòng)了虛擬技術(shù)的快速發(fā)展。超融合架構(gòu)思想正來(lái)源于大型互聯(lián)網(wǎng)公司，在云計(jì)算環(huán)境中，它支持在同一套單元設(shè)備中同時(shí)提供計(jì)算、網(wǎng)絡(luò)與儲(chǔ)存資源的池化管理[4]。分布式儲(chǔ)存與共享的設(shè)計(jì)理念使得單元設(shè)備之間避免了服務(wù)器與存儲(chǔ)設(shè)備的重度耦合，省去了部分網(wǎng)絡(luò)儲(chǔ)存購(gòu)置成本。因此，采用超融合架構(gòu)可以有效解決虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)擴(kuò)展性不強(qiáng)、管理難度大以及效費(fèi)比高的問(wèn)題，符合時(shí)代背景與平臺(tái)發(fā)展要求。

3 基于超融合架構(gòu)的實(shí)驗(yàn)平臺(tái)建設(shè)方案

在虛擬化技術(shù)與云計(jì)算技術(shù)不能適應(yīng)網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展的當(dāng)下，超融合架構(gòu)應(yīng)運(yùn)而生。為使其真正應(yīng)用于實(shí)踐中解決平臺(tái)發(fā)展難題，現(xiàn)提出以下幾點(diǎn)建議。

3.1 教學(xué)平臺(tái)硬件結(jié)構(gòu)

基于超融合架構(gòu)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)是光纖交換機(jī)或萬(wàn)兆交換機(jī)與超融合架構(gòu)服務(wù)器連接。防火墻支持用戶(hù)連接到教學(xué)平臺(tái)，且作為防護(hù)設(shè)備的防火墻可替代。在具體運(yùn)作過(guò)程中，服務(wù)器既保存了操作系統(tǒng)與漏洞防護(hù)操作系統(tǒng)的鏡像文件，又儲(chǔ)存了攻擊軟件的鏡像，利用這些數(shù)據(jù)可以創(chuàng)建出虛擬教學(xué)場(chǎng)景。

3.2 實(shí)驗(yàn)平臺(tái)系統(tǒng)架構(gòu)

超融合架構(gòu)實(shí)驗(yàn)教學(xué)平臺(tái)的體系結(jié)構(gòu)是利用KVM與Open stack 軟件搭建的。一是KVM和分布式儲(chǔ)存系統(tǒng)。在虛擬環(huán)境下通過(guò)KVM擴(kuò)展模塊實(shí)現(xiàn)分布式儲(chǔ)存，這是實(shí)現(xiàn)超融合架構(gòu)的基礎(chǔ)。二是Open Switch。它是一個(gè)虛擬交換機(jī)，用于虛擬攻擊機(jī)與靶機(jī)的通信；三是QEMU。它是一種快速指令集層虛擬機(jī)，支持整個(gè)系統(tǒng)的模擬工作，為學(xué)生提供虛擬攻擊機(jī)與靶機(jī)，有利于提高系統(tǒng)性能。四是SPICE，它支持遠(yuǎn)程訪問(wèn)虛擬化桌面，能夠?qū)崿F(xiàn)服務(wù)器與瀏覽器的雙向通信。五是Nova與Glance，用來(lái)提供實(shí)時(shí)所需鏡像。六是利用PHP開(kāi)發(fā)，學(xué)生訪問(wèn)Web平臺(tái)進(jìn)行實(shí)驗(yàn)的同時(shí)利用MySQL儲(chǔ)存學(xué)生與實(shí)驗(yàn)基本信息，例如學(xué)生信息、成績(jī)管理、虛擬化管理及靶場(chǎng)管理等模塊。

3.3 實(shí)驗(yàn)平臺(tái)維護(hù)與實(shí)驗(yàn)過(guò)程

管理員維護(hù)需要用的鏡像會(huì)在儲(chǔ)存池中存儲(chǔ)多份。管理員添加實(shí)驗(yàn)內(nèi)容，關(guān)聯(lián)相關(guān)鏡像與資料信息，實(shí)時(shí)監(jiān)控學(xué)生的學(xué)習(xí)情況，在靶機(jī)鏡像文件中設(shè)置Flag，Web平臺(tái)根據(jù)學(xué)生所提交的內(nèi)容評(píng)判是否得分。

4 結(jié)語(yǔ)

本文簡(jiǎn)要分析了網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展的現(xiàn)狀，針對(duì)其管理難度大、擴(kuò)展性不強(qiáng)等問(wèn)題，提出了基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)發(fā)展建議。上述策略可以有效降低存儲(chǔ)設(shè)備購(gòu)置成本，提高平臺(tái)運(yùn)行與維護(hù)效率，方便教學(xué)資源共享，具有良好的應(yīng)用前景，期望能為相關(guān)工作提供參考。

[1]底曉強(qiáng)，張宇昕，趙建平. 基于云計(jì)算和虛擬化的計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)建設(shè)探索[J]. 實(shí)驗(yàn)技術(shù)與管理，2015，32（4）：147-151.

[2]賀惠萍，榮彥，張?zhí)m. 虛擬機(jī)軟件在網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J]. 實(shí)驗(yàn)技術(shù)與管理，2011，28（12）：112-115.

[3]李賀華. 基于云計(jì)算機(jī)系統(tǒng)的實(shí)訓(xùn)平臺(tái)研究與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)技術(shù)與管理，2015，32（3）：157-160.

[4]底曉強(qiáng)，韓登，趙建平，等. 基于超融合架構(gòu)的網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)探索[J]. 實(shí)驗(yàn)室研究與探索，2017，36（10）：195-198.

Exploration of Virtual Simulation Experiment Teaching Platform for Network Security Based on Super Fusion Architecture

Zhou Xiaofen Zheng Zi Shu Qiang Zhou Ningling Wang Kairui Li Jie

State Grid Jiangxi Electric Power Co., Ltd., Nanchang Power Supply Branch, Jiangxi Nanchang 330069

The network security education is very necessary, but the security class experiment has some risks. If the destructive experiment is carried out in the real network, it will seriously threaten the security of the hardware and software of the experimental equipment, and the operation process is complicated. Therefore, how to provide convenient and shared experimental environment for students has become a hot topic for scholars. In this context, the virtualization technology came into being. In the paper, the development of virtual simulation experiment teaching platform for network security is briefly analyzed. In view of the problems of difficult management and poor expansibility, the development proposal of virtual simulation experiment teaching platform for network security based on hyper fusion architecture is proposed in order to provide reference for the related work.

super fusion architecture; network security; virtual simulation; experimental platform

G434；TP393.0

A