基于開(kāi)源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

魯先志, 胡海波

(1. 重慶電子工程職業(yè)學(xué)院 計(jì)算機(jī)學(xué)院, 重慶 401331； 2. 重慶大學(xué) 軟件學(xué)院, 重慶 400044)

基于開(kāi)源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

魯先志1, 胡海波2

(1. 重慶電子工程職業(yè)學(xué)院 計(jì)算機(jī)學(xué)院, 重慶 401331； 2. 重慶大學(xué) 軟件學(xué)院, 重慶 400044)

提出了基于開(kāi)源架構(gòu)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)的解決方案,利用KVM技術(shù)、軟件定義網(wǎng)絡(luò)技術(shù)以及基于ISCSI協(xié)議的網(wǎng)絡(luò)存儲(chǔ)技術(shù)等實(shí)現(xiàn)了該方案,并給出了2個(gè)常用的實(shí)驗(yàn)?zāi)０濉?shí)驗(yàn)表明:使用者利用該網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)可構(gòu)建各種網(wǎng)絡(luò)滲透實(shí)驗(yàn)測(cè)試環(huán)境及虛擬企業(yè)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)環(huán)境。與基于VMware虛擬化技術(shù)解決方案相比,該網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)具有網(wǎng)絡(luò)訪問(wèn)控制靈活、無(wú)需購(gòu)買(mǎi)商業(yè)授權(quán)以及硬件資源占用少等優(yōu)點(diǎn)。

網(wǎng)絡(luò)安全；實(shí)驗(yàn)教學(xué)； KVM； 軟件定義網(wǎng)絡(luò)

1 構(gòu)建虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)的必要性

在高校網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)的教學(xué)和實(shí)驗(yàn)中,需要學(xué)生掌握操作系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備、信息安全設(shè)備和數(shù)據(jù)存儲(chǔ)設(shè)備的配置與管理。要完成這些實(shí)踐教學(xué)任務(wù),需要提供相關(guān)設(shè)備并搭建相應(yīng)的網(wǎng)絡(luò)環(huán)境。但是,很多高校的信息安全及相關(guān)專業(yè)的教學(xué)和實(shí)驗(yàn)環(huán)境卻不盡如人意,無(wú)法滿足教學(xué)要求,具體體現(xiàn)在:

(1) 網(wǎng)絡(luò)安全教學(xué)需要復(fù)雜的實(shí)驗(yàn)環(huán)境和測(cè)試設(shè)備,而購(gòu)置這些設(shè)備的資金需求量大,并且存在設(shè)備升級(jí)和后期維護(hù)等問(wèn)題；

(2) 實(shí)驗(yàn)環(huán)境多樣,搭建實(shí)驗(yàn)設(shè)備需要花費(fèi)大量的時(shí)間；

(3) 由于網(wǎng)絡(luò)安全實(shí)驗(yàn)具有破壞性,因此需要在相對(duì)隔離的環(huán)境中進(jìn)行,否則會(huì)對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng),甚至校園網(wǎng)產(chǎn)生一定的影響和危害；

(4) 現(xiàn)有的網(wǎng)絡(luò)交換、信息安全類產(chǎn)品側(cè)重于產(chǎn)品的性能、易用性、用戶體驗(yàn)等方面,屏蔽了技術(shù)實(shí)現(xiàn)的細(xì)節(jié),當(dāng)學(xué)生使用這類產(chǎn)品進(jìn)行實(shí)驗(yàn)時(shí),難以理解產(chǎn)品的實(shí)現(xiàn)原理,達(dá)不到教學(xué)效果。

近年來(lái),一些實(shí)驗(yàn)設(shè)備制造商、軟件公司開(kāi)發(fā)了一些虛擬實(shí)驗(yàn)平臺(tái),如成都泰谷信息技術(shù)有限公司的信息安全技術(shù)實(shí)驗(yàn)平臺(tái)、神州數(shù)碼網(wǎng)絡(luò)公司推出的安全堡壘服務(wù)器系統(tǒng)和信息安全實(shí)訓(xùn)平臺(tái)[1]等。但這些實(shí)驗(yàn)系統(tǒng)僅能滿足某一專題實(shí)驗(yàn)或者是某一門(mén)課程實(shí)驗(yàn)的需求,覆蓋面窄,投資效用比不高。

一些高校針對(duì)網(wǎng)絡(luò)及信息安全專業(yè)虛擬實(shí)驗(yàn)平臺(tái)的構(gòu)建提出了自己的設(shè)計(jì)思路和實(shí)施方案,這些解決方案大多是利用VMware虛擬化技術(shù)構(gòu)建實(shí)驗(yàn)教學(xué)環(huán)境[2-5]。文獻(xiàn)[2]利用虛擬軟件VMware自帶的網(wǎng)絡(luò)組件搭建了具有路由功能的多個(gè)子網(wǎng)的虛擬網(wǎng)絡(luò)環(huán)境；文獻(xiàn)[5]利用Honeyd虛擬蜜罐技術(shù)和Snort入侵檢測(cè)技術(shù)給出了虛擬環(huán)境下網(wǎng)絡(luò)安全產(chǎn)品仿真的解決方案。以上文獻(xiàn)均采用VMware公司的虛擬化技術(shù)作為解決方案,但使用該公司的虛擬化產(chǎn)品需要購(gòu)買(mǎi)企業(yè)的授權(quán)許可,需要學(xué)校投入較多的資金。

采用linux環(huán)境下KVM(基于內(nèi)核的虛擬機(jī))技術(shù),結(jié)合OpenVswithc、Snort、Freenas等一系列開(kāi)源項(xiàng)目支撐,可虛擬網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)存儲(chǔ)設(shè)備,并能實(shí)施整個(gè)網(wǎng)絡(luò)環(huán)境虛擬化的解決方案。

2 技術(shù)分析

2.1 KMV虛擬化技術(shù)

KVM是x86架構(gòu)下基于硬件的全虛擬化解決方案[6-8]。由于操作系統(tǒng)直接與整合到Linux內(nèi)核中的虛擬化管理程序交互,KVM虛擬機(jī)具有更接近物理硬件(裸機(jī))的高性能和面向服務(wù)的虛擬化環(huán)境,通過(guò)減少宿主操作系統(tǒng)對(duì)資源的占用來(lái)提高虛擬機(jī)的資源利用率?；谟布奶摂M化機(jī)制充分利用大多數(shù)64位x86和PowerPC處理器中的虛擬化硬件支持,可以更好地管理硬件資源。

圖1是KVM虛擬化技術(shù)體系架構(gòu)圖,底部模塊是能夠進(jìn)行虛擬化的硬件平臺(tái)(指intelVT或AMD-SVM處理器),在裸硬件上運(yùn)行的是系統(tǒng)管理程序(帶有KVM模塊的Linux內(nèi)核)。該系統(tǒng)管理程序不但具有普通Linux內(nèi)核的功能,而且也可以支持通過(guò)KVM工具加載的基于不同操作系統(tǒng)的虛擬機(jī),這些虛擬機(jī)有與真實(shí)的物理主機(jī)相同的功能和應(yīng)用。KVM虛擬化技術(shù)具有較強(qiáng)的靈活性,能較好地將不同操作系統(tǒng)和特殊硬件設(shè)備加以利用,降低不同系統(tǒng)間維護(hù)的復(fù)雜性。KVM本身運(yùn)行在Linux系統(tǒng)內(nèi)核中,占用系統(tǒng)資源很少,屬于瘦虛擬化方案,目前主流硬件設(shè)備均有對(duì)應(yīng)的Linux驅(qū)動(dòng),這也就決定了KVM可以在很多硬件系統(tǒng)上運(yùn)行。

圖1 KVM虛擬化技術(shù)體系架構(gòu)圖

2.2 網(wǎng)絡(luò)交換設(shè)備的虛擬

Open vSwitch(以下簡(jiǎn)稱OVS)是遵循Openflow協(xié)議開(kāi)發(fā)的運(yùn)行在虛擬化平臺(tái)上的虛擬交換機(jī)。在虛擬化平臺(tái)上,Open vSwitch可以為動(dòng)態(tài)變化的端點(diǎn)提供2層交換功能,通過(guò)Openflow協(xié)議對(duì)交換機(jī)的控制部分進(jìn)行編程擴(kuò)展,可實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)的自動(dòng)化部署、管理和維護(hù)[9]。Open vSwitch采用與平臺(tái)無(wú)關(guān)的C語(yǔ)言開(kāi)發(fā),支持在不同虛擬化平臺(tái)(Xen、KVM、Proxmox VE、VirtualBox等)間的移植,同時(shí)也作為重要的網(wǎng)絡(luò)組件被OpenStack、OpenQRM、OpenNebula和Ovirt云平臺(tái)采用。該產(chǎn)品可部署在Ubuntu,Debian和Fedora等基于Linux內(nèi)核的操作系統(tǒng)上,支持FreeBSD和NetBSD類UNIX操作系統(tǒng),該產(chǎn)品的最新發(fā)行版本為2.3版。

與同是虛擬交換產(chǎn)品的另外兩種產(chǎn)品VMware VDS和Cisco Nexus 1000V相比,Open vSwitch遵循Apache2.0許可證,任何機(jī)構(gòu)和個(gè)人均可免費(fèi)獲取和使用其源代碼,或進(jìn)行二次開(kāi)發(fā)。對(duì)于高校搭建虛擬實(shí)驗(yàn)環(huán)境來(lái)說(shuō),不但可免于支付昂貴的商業(yè)授權(quán)使用費(fèi),且可以滿足復(fù)雜、多樣的網(wǎng)絡(luò)安全控制需求。

2.3 磁盤(pán)陣列及存儲(chǔ)設(shè)備的虛擬

網(wǎng)絡(luò)存儲(chǔ)設(shè)備是目前企業(yè)數(shù)據(jù)中心機(jī)房中不可缺少的核心設(shè)備,主要分為支持FC和ISCSI協(xié)議組建存儲(chǔ)區(qū)域網(wǎng)絡(luò)(storage arear network,SAN)的塊級(jí)別存儲(chǔ)設(shè)備以及基于IP文件共享的網(wǎng)絡(luò)附加存儲(chǔ)(network-attached storage,NAS)設(shè)備。存儲(chǔ)設(shè)備的安全配置與管理是信息安全專業(yè)學(xué)生掌握的基本技能之一,同時(shí)虛擬企業(yè)復(fù)雜的數(shù)據(jù)存儲(chǔ)環(huán)境也是實(shí)驗(yàn)室建設(shè)中期待解決的問(wèn)題之一。

相比昂貴的商業(yè)網(wǎng)絡(luò)存儲(chǔ)設(shè)備,將控制軟件安裝在通用的主機(jī)上來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)存儲(chǔ)設(shè)備功能,也逐漸成為一些公司和機(jī)構(gòu)的網(wǎng)絡(luò)存儲(chǔ)解決方案。FreeNAS是目前較為主流的開(kāi)源NAS項(xiàng)目[10],該項(xiàng)目是基于FreeBSD 7.2開(kāi)發(fā)的,并集成了基于m0n0wall的Web管理界面、PHP腳本和文檔。該項(xiàng)目遵循BSD許可證協(xié)議發(fā)布,支持多種網(wǎng)絡(luò)傳輸協(xié)議并支持軟RAID(0,1,5)、ZFS和磁盤(pán)加密。

作為實(shí)驗(yàn)室虛擬仿真的解決方案,可將該類軟件作為管理平臺(tái)(操作系統(tǒng))安裝在一臺(tái)虛擬主機(jī)上,實(shí)現(xiàn)網(wǎng)絡(luò)存儲(chǔ)的虛擬仿真。

2.4 網(wǎng)絡(luò)安全設(shè)備的虛擬

(1) 防火墻產(chǎn)品。通過(guò)采用宿主操作系統(tǒng)(Linux)自帶的防火墻組件實(shí)現(xiàn)虛擬實(shí)驗(yàn)環(huán)境下防火墻的功能。Linux環(huán)境下的防火墻功能是由用戶態(tài)的iptables和內(nèi)核態(tài)的Netfilter程序共同實(shí)現(xiàn)的。iptables通過(guò)定義一系列規(guī)則,讓在內(nèi)核空間中的Netfilter來(lái)讀取,并實(shí)現(xiàn)防火墻的功能。用戶通過(guò)iptables程序與內(nèi)核中的Netfilter模塊進(jìn)行通信。Netfilter是Linux 2.4.x引入的一個(gè)子系統(tǒng),它作為一個(gè)通用、抽象的框架,提供一整套hook函數(shù)的管理機(jī)制,可以為iptables內(nèi)核防火墻模塊提供有狀態(tài)或無(wú)狀態(tài)的包過(guò)濾服務(wù),如NAT、IP偽裝等,也可以根據(jù)高級(jí)路由或連接狀態(tài)管理的需要修改IP頭信息。

(2) 入侵檢測(cè)產(chǎn)品。入侵檢測(cè)產(chǎn)品的虛擬仿真可采用Linux系統(tǒng)下Snort解決方案。Snort是一個(gè)免費(fèi)的IDS(入侵監(jiān)測(cè)系統(tǒng))軟件,是十分有效的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng),能夠監(jiān)測(cè)多種網(wǎng)絡(luò)攻擊,例如緩沖區(qū)溢出攻擊、端口掃描、CGI攻擊、SMB探測(cè)等。Snort具有實(shí)時(shí)告警功能,可將告警記入一個(gè)特別的告警文件-系統(tǒng)日志,或者將告警信息通過(guò)Samba轉(zhuǎn)發(fā)給網(wǎng)絡(luò)中的其他主機(jī)[11]。

3 基于開(kāi)源技術(shù)的虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

通過(guò)采用Linux環(huán)境下KVM虛擬化技術(shù),結(jié)合Open vSwith、FreeNAS和Snort等開(kāi)源解決方案,構(gòu)建通用性好、使用便捷、擴(kuò)展性強(qiáng)的虛擬網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)。利用該平臺(tái)創(chuàng)建兩個(gè)典型的實(shí)驗(yàn)環(huán)境模板,使用者可以根據(jù)自己的需求靈活調(diào)整實(shí)驗(yàn)環(huán)境模板,進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn),該平臺(tái)的體系結(jié)構(gòu)如圖2所示。

圖2 虛擬仿真網(wǎng)絡(luò)平臺(tái)架構(gòu)

本仿真實(shí)驗(yàn)環(huán)境采用x86架構(gòu)主機(jī)作為硬件平臺(tái),可在該硬件設(shè)備上安裝Linux6.0以上并支持KVM虛擬化技術(shù)的Linux操作系統(tǒng),例如Ubuntu14.04服務(wù)器版本。在該操作系統(tǒng)中安裝KVM、Snort、防火墻等應(yīng)用軟件來(lái)仿真構(gòu)建網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境。

(1) 創(chuàng)建虛擬機(jī)。創(chuàng)建虛擬機(jī)之前首先要建立KVM虛擬環(huán)境,但KVM虛擬化環(huán)境需要特定硬件的支持,要確保CPU支持該虛擬化技術(shù)。在Ubuntu14.04版本操作系統(tǒng)中需要安裝KVM、QEMU虛擬化軟件以及python-libvirt 、virt-viewer和virt-manager環(huán)境支持軟件。虛擬化環(huán)境建好后再建立虛擬機(jī),可根據(jù)實(shí)際需要選擇安裝Windows、Linux或其他操作系統(tǒng)以構(gòu)建符合環(huán)境要求的虛擬主機(jī)。虛擬主機(jī)搭建好后通過(guò)安裝不同功能的應(yīng)用軟件來(lái)虛擬企業(yè)生產(chǎn)環(huán)境中的業(yè)務(wù)服務(wù)器。文獻(xiàn)[8]詳細(xì)介紹了KVM技術(shù)構(gòu)建虛擬機(jī)的具體實(shí)現(xiàn)細(xì)節(jié)。

(2) 網(wǎng)絡(luò)存儲(chǔ)設(shè)備的虛擬仿真。網(wǎng)絡(luò)存儲(chǔ)設(shè)備需要在虛擬出的主機(jī)上安裝FreeNAS管理軟件來(lái)達(dá)到虛擬仿真的目的。在虛擬機(jī)中安裝完成FreeNAS系統(tǒng)后,還需要根據(jù)實(shí)驗(yàn)環(huán)境需求添加一定數(shù)量的虛擬磁盤(pán),通過(guò)FreeNAS管理界面來(lái)對(duì)這些虛擬磁盤(pán)進(jìn)行管理,例如組建不同的RAID系統(tǒng)來(lái)實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)和保護(hù)功能。FreeNAS管理軟件與虛擬機(jī)結(jié)合,通過(guò)選擇不同的數(shù)據(jù)傳輸協(xié)議,可實(shí)現(xiàn)文件級(jí)別NAS和數(shù)據(jù)塊級(jí)別SAN存儲(chǔ)環(huán)境的構(gòu)建。

(3) 網(wǎng)絡(luò)交換產(chǎn)品的仿真。在Ubuntu環(huán)境中,Open vSwitch可直接通過(guò)Ubuntu的官方源或國(guó)內(nèi)的鏡像源來(lái)安裝,需要安裝openvswitch-controller、openvswitch-switch、openvswitch-datapath-source3個(gè)組件,安裝完成后即可利用ovs-vsctl命令來(lái)創(chuàng)建交換機(jī)、向交換機(jī)添加虛擬端口、將物理網(wǎng)卡綁定到交換機(jī)等配置。

(4) 安全產(chǎn)品的仿真構(gòu)建。Ubuntu Server 使用名為 Uncomplicated Fire Wall(UFW)的防火墻,這是一個(gè)Iptable 的管理工具。Iptable根據(jù)系統(tǒng)管理員編寫(xiě)的一系列規(guī)則篩選網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)安裝ufw防火墻軟件來(lái)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)中防火墻的功能,可利用該軟件來(lái)設(shè)置虛擬網(wǎng)絡(luò)中數(shù)據(jù)包的訪問(wèn)控制策略。

可以采用Ubuntu軟件包安裝的方式安裝入侵檢測(cè)產(chǎn)品Snort軟件和Mysql數(shù)據(jù)庫(kù)等相關(guān)支撐軟件。Snort可在數(shù)據(jù)鏈路層抓取進(jìn)入虛擬網(wǎng)絡(luò)的數(shù)據(jù)包,通過(guò)Snort系統(tǒng)可進(jìn)行分析攻擊行為、發(fā)現(xiàn)系統(tǒng)漏洞、查找攻擊原因等方面的實(shí)驗(yàn)。

4 虛擬仿真實(shí)驗(yàn)環(huán)境模板的構(gòu)建

本文給出2個(gè)典型的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境模板,可利用該模板動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)與信息安全的虛擬仿真環(huán)境。

4.1 網(wǎng)絡(luò)攻擊與防范教學(xué)環(huán)境模板

網(wǎng)絡(luò)攻擊與防范是高校信息安全專業(yè)中主要的教學(xué)內(nèi)容之一。本模板提供一個(gè)典型的網(wǎng)絡(luò)滲透實(shí)驗(yàn)環(huán)境樣例,使用者可直接利用該環(huán)境樣例,也可根據(jù)實(shí)際需要對(duì)該環(huán)境進(jìn)行修改和擴(kuò)充。該模板的網(wǎng)絡(luò)環(huán)境拓?fù)淙鐖D3所示。

圖3 網(wǎng)絡(luò)滲透環(huán)境仿真拓?fù)鋱D

該實(shí)驗(yàn)?zāi)０蹇稍趯?shí)驗(yàn)室中的一臺(tái)主機(jī)上實(shí)現(xiàn),其中防火墻、入侵檢測(cè)設(shè)備和虛擬交換機(jī)是由直接安裝在宿主操作系統(tǒng)(ubuntu14.04)上的應(yīng)用軟件來(lái)完成。虛擬主機(jī)安裝了Windows或者Linux操作系統(tǒng),通過(guò)在操作系統(tǒng)上安裝相關(guān)的應(yīng)用軟件來(lái)模擬企業(yè)的Web、ftp、郵件等應(yīng)用服務(wù)器。物理主機(jī)與局域網(wǎng)相連，可為網(wǎng)絡(luò)中的客戶端營(yíng)造一個(gè)企業(yè)的生產(chǎn)環(huán)境。

圖4 網(wǎng)絡(luò)滲透環(huán)境仿真邏輯結(jié)構(gòu)圖

搭建虛擬網(wǎng)絡(luò)滲透環(huán)境的關(guān)鍵是Open vSwitch、虛擬機(jī)以及宿主機(jī)物理網(wǎng)卡的配置,圖4為該模板的邏輯結(jié)構(gòu)圖。首先要?jiǎng)?chuàng)建OVS交換機(jī)br0,然后將宿主主機(jī)的物理網(wǎng)卡綁定到虛擬交換機(jī)br0上,最后在創(chuàng)建虛擬機(jī)時(shí)將虛擬機(jī)的網(wǎng)卡橋接到br0交換機(jī)上。Open vSwitch的安裝及配置的關(guān)鍵代碼如下:

#apt-get installopenvswitch-controller openvswitch-switch openvswitch-datapath-source //安裝openvswitch軟件包 #ovs-vsctl add-br br0 //建立一個(gè)名為br0的open vSwitch 交換機(jī) # ovs-vsctl add-port br0 eth0 //把eth0掛接到br0中

該實(shí)驗(yàn)?zāi)０鍍H需要?jiǎng)討B(tài)調(diào)整虛擬機(jī)的數(shù)量,即可虛擬大多數(shù)企業(yè)的應(yīng)用環(huán)境。使用者可利用該模板快速部署虛擬仿真實(shí)驗(yàn)環(huán)境，供客戶端進(jìn)行滲透測(cè)試實(shí)驗(yàn)。該實(shí)驗(yàn)?zāi)０蹇芍С址阑饓腿肭謾z測(cè)的配置與管理、網(wǎng)絡(luò)安全管理、主機(jī)安全加固、計(jì)算機(jī)病毒檢測(cè)與防范、網(wǎng)絡(luò)協(xié)議分析等主流實(shí)驗(yàn)項(xiàng)目。

4.2 數(shù)據(jù)容災(zāi)與備份教學(xué)環(huán)境模板

該實(shí)驗(yàn)?zāi)０蹇商摂M典型的網(wǎng)絡(luò)存儲(chǔ)環(huán)境:2臺(tái)虛擬應(yīng)用服務(wù)器做雙機(jī)熱備份,通過(guò)虛擬交換機(jī)2與1臺(tái)虛擬SAN存儲(chǔ)設(shè)備相連組成SAN網(wǎng)絡(luò),提供可靠的應(yīng)用服務(wù)保障。1臺(tái)虛擬NAS存儲(chǔ)設(shè)備通過(guò)與虛擬交換機(jī)1以及2臺(tái)虛擬應(yīng)用服務(wù)器各自的另外一張?zhí)摂M網(wǎng)卡相連,對(duì)外提供應(yīng)用服務(wù)和文件級(jí)網(wǎng)絡(luò)存儲(chǔ)服務(wù)。該網(wǎng)絡(luò)通過(guò)綁定到虛擬交換機(jī)1上的物理網(wǎng)卡與局域網(wǎng)相連(見(jiàn)圖5)。

圖5 數(shù)據(jù)容災(zāi)與備份虛擬仿真環(huán)境

該模板共虛擬4臺(tái)主機(jī)設(shè)備和2臺(tái)虛擬交換機(jī)。首先虛擬2臺(tái)具有雙網(wǎng)卡的虛擬主機(jī),安裝相應(yīng)的操作系統(tǒng)來(lái)虛擬應(yīng)用服務(wù)器。另外2臺(tái)虛擬主機(jī)分別添加一定數(shù)量的虛擬磁盤(pán)并安裝FreeNAS管理軟件虛擬網(wǎng)絡(luò)存儲(chǔ)設(shè)備,其中一臺(tái)配置NFS協(xié)議提供NAS服務(wù),另外一臺(tái)配置ISCSI協(xié)議與服務(wù)器組成SAN網(wǎng)絡(luò)。

虛擬交換機(jī)1與宿主操作系統(tǒng)的物理網(wǎng)卡綁定用于對(duì)外通信,虛擬應(yīng)用服務(wù)器1的VNIC1網(wǎng)卡和虛擬應(yīng)用服務(wù)器2的VNIC1網(wǎng)卡以及虛擬NAS存儲(chǔ)設(shè)備的網(wǎng)卡分別與虛擬交換機(jī)1相連，對(duì)外提供相關(guān)的應(yīng)用和文件存儲(chǔ)服務(wù)。虛擬應(yīng)用服務(wù)器1的VNIC2和虛擬應(yīng)用服務(wù)器2的VNIC2以及虛擬SAN存儲(chǔ)設(shè)備的虛擬網(wǎng)卡分別與虛擬交換機(jī)2相連,組成封閉的SAN網(wǎng)絡(luò),提供高速、可靠的網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)服務(wù)。關(guān)鍵的配置腳本如下:

#ovs-vsctl add-br vswitch1 //建立一個(gè)名為vswitch1 虛擬交換機(jī) #ovs-vsctl add-br vswitch2 //建立一個(gè)名為vswitch2 虛擬交換機(jī) #ovs-vsctl add-port vswitch1 eth0 //把eth0掛接到vswitch1中 #ovs-vsctl add-port vswitch1 veth0 //把veth0掛接到vswitch1中#ovs-vsctl add-port vswitch1 veth1 //把veth1掛接到vswitch1中 #ovs-vsctl add-port vswitch1 veth5 //把veth5掛接到vswitch1中 #ovs-vsctl add-port vswitch2 veth2 //把veth2掛接到vswitch2中 #ovs-vsctl add-port vswitch2 veth3 //把veth2掛接到vswitch2中 #ovs-vsctl add-port vswitch2 veth4 //把veth2掛接到vswitch4中

數(shù)據(jù)容災(zāi)與備份虛擬仿真環(huán)境提供了企業(yè)數(shù)據(jù)中心的基本虛擬數(shù)據(jù)存儲(chǔ)環(huán)境,使用者可根據(jù)實(shí)際需求動(dòng)態(tài)調(diào)整服務(wù)器或者網(wǎng)絡(luò)存儲(chǔ)設(shè)備的部署位置和數(shù)量,實(shí)現(xiàn)相應(yīng)的虛擬環(huán)境。該模板可完成諸如RAID數(shù)據(jù)保護(hù)、主機(jī)高可用、SAN環(huán)境搭建、NAS環(huán)境搭建、數(shù)據(jù)容災(zāi)方案實(shí)施等教學(xué)實(shí)驗(yàn)項(xiàng)目。

5 結(jié)束語(yǔ)

本虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)可為高校網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)的實(shí)踐教學(xué)提供一個(gè)彈性、低成本、部署靈活的虛擬實(shí)驗(yàn)平臺(tái)。采用了基于Linux內(nèi)核的虛擬化和防火墻技術(shù)、基于SDN的虛擬交換技術(shù)以及存儲(chǔ)設(shè)備的虛擬化解決方案,并且優(yōu)化了系統(tǒng)資源配置,使得2個(gè)實(shí)驗(yàn)?zāi)０寰稍?臺(tái)主流配置的計(jì)算機(jī)上部署實(shí)施。該平臺(tái)擴(kuò)展性好,通過(guò)Open vSwitch虛擬交換機(jī),可將多臺(tái)物理主機(jī)上部署的虛擬環(huán)境連接,從而組建更為復(fù)雜的實(shí)驗(yàn)方案。目前該解決方案已經(jīng)在我校 “信息安全技術(shù)基礎(chǔ)”和“數(shù)據(jù)容災(zāi)與備份”課程實(shí)驗(yàn)中應(yīng)用,并獲得了良好的效果。本文所采用的SDN和KVM技術(shù)同時(shí)也是企業(yè)數(shù)據(jù)中心的虛擬化所采用的技術(shù)[12-14],企業(yè)也可利用該解決方案快速搭建數(shù)據(jù)中心原型系統(tǒng)供研究和培訓(xùn)員工使用。

References)

[1] 神州數(shù)碼網(wǎng)絡(luò)有限公司.DCST-6000信息安全實(shí)訓(xùn)平臺(tái)[EB/OL].[2014-11-02] http://www.dcnetworks.com.cn/index.php?m=content&c=index&a=show&catid=163&id=159.

[2] 吳迪,何堅(jiān),潘嶸,等.基于VMware虛擬網(wǎng)絡(luò)的IPSec實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)技術(shù)與管理,2010,27(9):157-160.

[3] 謝垂益,鐘紅君.基于虛擬環(huán)境的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)探索[J].電腦知識(shí)與技術(shù),2013(22):5105-5107.

[4] 劉武,吳建平.用VMware構(gòu)建高效的網(wǎng)絡(luò)安全試驗(yàn)床[J].計(jì)算機(jī)應(yīng)用研究,2005(2):212-214.

[5] 翟繼強(qiáng),陳宜冬.虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)[J].實(shí)驗(yàn)室研究與探索,2009,28(6):79-82.

[6] Borden T,Hennessy J,Rymarczyk J.Multiple operating systems on one processor complex[J].IBM Systems Journal,1989,28(1):104-123.

[7] Fraser K,Hand S,Neugebauer R,et al.Safe hardware access with the xen virtual machine monitor [C].//Proceedings of the OASIS ASPLOS Workshop.UK,2004.

[8] 崔澤永,趙會(huì)群.基于KVM的虛擬化研究及應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展,2011(6):108-115.

[9] 李紀(jì)舟,何恩.軟件定義網(wǎng)絡(luò)技術(shù)及發(fā)展趨勢(shì)綜述[J].通信技術(shù),2014(2):123-127.

[10] Effectively manage and monitor your data with FreeNAS’s amazing features.[EB/OL].[2014-11-01].http://www.freenas.org/about/features.html.

[11] 李曉芳,姚遠(yuǎn).入侵檢測(cè)工具Snort的研究與使用[J].計(jì)算機(jī)應(yīng)用與軟件,2006,23(3):123-124.

[12] 吳強(qiáng),徐鑫,劉國(guó)燕.基于SDN技術(shù)的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)構(gòu)建[J].電信科學(xué),2013(1):130-133.

[13] 李丹,陳貴海,任豐原,等.數(shù)據(jù)中心網(wǎng)絡(luò)的研究進(jìn)展與趨勢(shì)[J].計(jì)算機(jī)學(xué)報(bào),2014(2):265-274.

[14] 王涌,李國(guó)麗,應(yīng)艷杰,等.建設(shè)網(wǎng)絡(luò)虛擬實(shí)驗(yàn)室,深化實(shí)驗(yàn)教學(xué)改革[J].實(shí)驗(yàn)技術(shù)與管理,2010,27(9):85-87,107.

Virtual network security experimental platform based on open source architecture

Lu Xianzhi1, Hu Haibo2

(1. School of Computer Science, Chongqing College of Electronic Engineering,Chongqing 401331,China; 2. School of Software Engineering,Chongqing University,Chongqing 400044,China)

A construction approach on virtual platform network for security experiment based upon open source architecture is proposed.The proposed scheme is implemented with KVM (Kernel-based Virtual Machine),SDN (Software-Define Networking),and based on ISCSI protocol of network storage technology as well.Two common experimental templates are presented to facilitate the usage of the proposed platform.By using the templates,users can perform variable experiments on the proposed platform,such as network exploitation test and virtual enterprise network data storage environment.Compared with VMware-based virtualization technology,the proposed mechanism manifest is beneficial to laboratory of network security with flexible network access control,less hardware costs,and without software license fees as well.

network security; experimental teaching； Kernel-based Virtual Machine(KVM); Software-Define Networking(SDN)

2014- 11- 13

國(guó)家自然科學(xué)基金項(xiàng)目(61103114)；重慶市教委科學(xué)技術(shù)研究項(xiàng)目(KJ132207)

魯先志(1976—),男,河南濮陽(yáng),碩士,講師,教研室主任,主要研究方向?yàn)樵朴?jì)算和網(wǎng)絡(luò)安全.

E-mail：lxz0665@sina.com

TP393.08

A

1002-4956(2015)7- 0120- 04