网络攻防实验教学云平台v1.1

成都国腾实业集团“十三五”项目建议书

项目名称：基于云平台的网络攻防实验教学系统

网络攻防环境难以构建和管理是一个普遍性的难题。信息安全实验教学具有很强的实践性。由于互联网庞大的规模、复杂的结构使其无法在实验室里搭建，为实验教学而设置网络安全漏洞会产生巨大风险，在真实的网络中开展网络攻击、病毒注入等实验，将酿成灾难性后果。因此，信息安全类课程的实验教学难以在真实的网络环境中完成。云计算为信息安全实验教学的开展提供了新的思路，即利用虚拟仿真技术开展信息安全的实验教学。

一、网络攻防实验教学云平台概述

1.1背景

基于云平台的网络攻防实验教学系统（以下简称实验平台）遵循《信息安全类专业指导性专业规范》和《电子科大成都学院信息安全专业培养方案》定义的知识体系及实践能力要求，拟基于OpenStack云平台开源技术实施网络攻防实验教学系统开发和网络攻防实验教学内容建设；实验平台的课程体系包括10个实验模块，近100个实验类别，在开源软件OpenStack和相应组件的基础上，利用虚拟化技术，可以在实验室中构建出虚拟攻击机、虚拟靶机和多样化的网络结构开展攻防实验。基于云计算的网络攻防实验教学系统可以显著降低管理和实验成本，提高学习效率；实验平台拟首先满足电子科大成都学院信息安全专业学生专业实践课的教学需求，经过本校应用验证后再迁移到云服务商平台上为更多学生提供网络攻防实训服务。

1.2前景

据调查全国设有信息安全专业的高等院校77所（2014年数据），其在校学生安平均1200人/校（如成都信息工程大学信息安全工程学院现有学生1500人）计算共计92400人，加上社会其他行业的需求，估计总数在十五万人左右。因此，本系统有一定的市场前景。

二、基于云平台的网络攻防实验教学系统需求分析

随着中央成立网络安全与信息化领导小组以来，网络安全成为当前技术研究热点，网络安全课程和网络安全竞赛也得到了更多的重视。我们在网络安全课程的教学和网络安全竞赛的训练过程中，做了大量网络攻防方面的实验，比较深切地感受到现有的网络攻防实验手段的不足。

网络攻防相关实验往往都带有一定的破坏性，在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦，一般都是通过安装VMware、Virtualbox 等模拟软件构建虚拟网络环境去进行攻防实验，为此，我们借助云计算技术来构建网络攻防实验教学系统。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务，因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中，则可以极大地改进管理工作。例如，可以省去本地安装配置工作，只要有网络随时能用注册账号登录到云平台上做有操作权限的网络攻防实验；所有的技术文档、操作指南等统一存储在云平台，非常容易检索；在攻防实验平台的存储空间、CPU 性能出现瓶颈时，也非常容易进行扩充升级。这种基于云计算的网络攻防系统可以著降低管理和实验成本，提高学习效率。

三、基于OpenStack 云平台的设计和实现

OpenStack 是一个美国国家航空航天局和RackSpace合作研发的，旨在为公共及私有云的建设与管理提供软件的开源项目。OpenStack正处于高速发展和推

广应用过程中，目前已经是各种公有云和私有云建设的主流方案。

3.1 实验平台硬件结构

本文设计的基于云平台的网络攻防实验教学系统拓扑结构如图1所示。其中应用服务器分别连接到交换机、第一网络云存储和第二网络云存储。

第一网络云存储通过防火墙连接到交换机。防火墙是可选的网络防护设备，可以用其他网络防护设备替代，或者直接连接交换机。使用防火墙是为了配置多样化的网络防护环境。第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件，可以用来创建Windows或Linux虚拟靶机实例。

第二网络云存储直接连接到交换机，保存着已安装攻击工具的操作系统镜像文件，利用这些镜像文件可以创建出Windows或Linux虚拟攻击机实例。互联网用户通过VPN网关、局域网用户通过交换机连接到该云平台。

图1：实验平台的硬件结构

3.2 实验平台系统架构

实验平台是在云计算开源项目OpenStack基础上构建（见图2）。构建云平

台主要用到OpenStack以下模块的服务：

(1) Nova：调派资源实例化虚拟机；

(2) Glance：提供虚拟机实例化时需要的镜像；

(3) Network：提供网络连接；

(4) Cinder：提供外接的块存储服务；

(5) Ceilometer：从以上与虚拟机相关的几个服务中收集数据．用于统计、监控、计费、报警等；

(6) Swift：可以为Glance提供镜像的存储服务，可以为Cinder提供卷的备份服务。

图2：实验平台系统架构

控制服务器和服务器节点安装Ubuntu操作系统；其中控制服务器还需安装Network模块，服务器节点安装Nova和Swift，其他几个模块也在平台中得到了应用。实验平台利用控制服务器管理各个服务器节点，根据第一网络云存储和第二网络云存储中的镜像，建立虚拟靶机和虚拟攻击机。虚拟靶机和虚拟攻击机之间可以通过虚拟网络连接，也可以通过网络安全设备和网络连接设备连接，以此

构建出多样化的网络环境。

3.3 实验平台维护和实验过程

实验平台维护和实验过程如图3所示。

图3：实验平台维护和实验过程

实验平台初始化时，管理员维护账号信息库，包括用户名、口令和可以操作的实验类别，为账号在第一和第二网络云存储中分配磁盘空间，指定用户可以操作的实验类别。

管理员维护第一网络云存储中的虚拟靶机Windows和Linux操作系统镜像文

件库，维护第二网络云存储中的虚拟攻击机Windows和Linux操作系统镜像文件库，同时维护在虚拟攻击机实例上使用的攻击工具和虚拟靶机实例上使用的漏洞库资源。

局域网用户提供正确的用户名和口令后直接连接到该虚拟仿真系统；互联网用户通过VPN建立与实验平台的连接。当局域网用户和互联网用户连接到该平台后，可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上的磁盘空间。

用户根据实验类别，选择虚拟攻击机和虚拟靶机的镜像文件，在属于自己的磁盘空间内创建虚拟攻击机实例和虚拟靶机实例，配置虚拟攻击机实例和虚拟靶机实例的IP地址、子网掩码、默认网关和DNS服务连接，然后登录到自己创建的虚拟靶机实例内，利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟靶机实例，使其具备被攻击的条件。

用户登录到自己创建的虚拟攻击机实例内，利用第二网络云存储上提供的攻击工具配置虚拟攻击机实例使其具备攻击能力。用户可以自行在虚拟攻击机实例上安装其他攻击工具，在虚拟靶机实例上安装其他防护工具。为了真实地模拟复杂的网络环境，用户可以为虚拟靶机实例配置防火墙，将虚拟靶机实例纳入防火墙的安全防护范围内。用户登录到虚拟攻击机防火墙的安全防护范围内和虚拟攻击机实例内，利用所配置的攻击工具对虚拟靶机实例发动网络攻击。

监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包，保存虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。网络用户可随时下载由监控中心模块捕获的网络数据包，以分析实验结果。

3.4 攻击机和靶机的配置

攻击机配置：首先制作基于Windows操作系统的攻击机镜像，在系统中封装大量网络安全渗透测试用工具，包括各种扫描工具、嗅探工具、加解密工具、远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有用的一些工具包括Metasploit 开源安全漏洞测试工具、Nmap 扫描器、Wireshark 嗅探器、burpsuite 集成Web 渗透测试工具集、sqlmap 注入工具、Ollydbg 动态调试器、IDA 反编译工具等。