基于Docker的網(wǎng)絡(luò)安全靶場設(shè)計(jì)與實(shí)現(xiàn)

梁建輝，侯昱輝，劉潤福，何靖剛，李志強(qiáng)

（中國鐵路蘭州局集團(tuán)有限公司 信息技術(shù)所，蘭州 730000）

近年來，鐵路信息網(wǎng)絡(luò)受到的外部攻擊量不斷增長，安全形勢日益嚴(yán)峻，對(duì)運(yùn)輸生產(chǎn)安全造成潛在威脅。國家“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要[1]提出了建設(shè)數(shù)字中國的方針，建設(shè)智能鐵路，全面加強(qiáng)網(wǎng)絡(luò)安全體系和保障能力建設(shè)[2]。高速鐵路大規(guī)模建設(shè)以來，我國鐵路裝備的智能化和信息化程度越來越高，新技術(shù)的應(yīng)用及大量的互聯(lián)網(wǎng)出口，使得鐵路網(wǎng)絡(luò)環(huán)境越來越復(fù)雜化、多樣化、邊界模糊化，鐵路網(wǎng)絡(luò)安全環(huán)境面臨著嚴(yán)峻挑戰(zhàn)。鐵路作為重要的交通基礎(chǔ)設(shè)施，信息化程度較高，也是網(wǎng)絡(luò)攻防戰(zhàn)中被攻擊的重點(diǎn)目標(biāo)之一，面向鐵路的攻擊方式也從單一的掃描滲透攻擊轉(zhuǎn)為復(fù)雜的高級(jí)持續(xù)性威脅（APT，Advanced Persistent Threat）攻擊[3]。

網(wǎng)絡(luò)安全靶場是進(jìn)行新型網(wǎng)絡(luò)攻擊技術(shù)檢驗(yàn)、網(wǎng)絡(luò)安全競賽、網(wǎng)絡(luò)安全人才培養(yǎng)的重要工具。美國早于2008年發(fā)布了關(guān)于開展“國家網(wǎng)絡(luò)安全靶場”項(xiàng)目研發(fā)工作的通知，并同時(shí)啟動(dòng)國家賽博靶場建設(shè)項(xiàng)目[4]。2016年美國白宮公布了《網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃》，再次對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施水平、專業(yè)人才隊(duì)伍建設(shè)等5個(gè)方面作出全面提升[5]。而我國的網(wǎng)絡(luò)安全靶場產(chǎn)業(yè)發(fā)展與國際水平還存在差異，國內(nèi)一些科研機(jī)構(gòu)及高校建立了一些滿足特定需求的網(wǎng)絡(luò)安全靶場[6-7]，但尚缺少面向鐵路行業(yè)的網(wǎng)絡(luò)安全靶場。

為此，本文基于Docker技術(shù)，設(shè)計(jì)了集網(wǎng)絡(luò)安全競賽、仿真滲透測試、網(wǎng)絡(luò)安全人才培養(yǎng)等功能為一體的網(wǎng)絡(luò)安全靶場。

1 靶場設(shè)計(jì)

1.1 總體架構(gòu)

網(wǎng)絡(luò)安全靶場采用容器化分布式架構(gòu)，遵循分層設(shè)計(jì)理念，將板塊設(shè)計(jì)細(xì)化為數(shù)據(jù)資源層、功能實(shí)現(xiàn)層及應(yīng)用代理層，如圖1所示。

圖1 網(wǎng)絡(luò)安全靶場總體架構(gòu)

1.1.1 數(shù)據(jù)資源層

數(shù)據(jù)資源層內(nèi)容包括比賽庫、網(wǎng)絡(luò)安全培訓(xùn)題庫、仿真題庫、MariaDB及Redis緩存5部分，數(shù)據(jù)資源采用容器方式實(shí)現(xiàn)。其中，MariaDB用于存儲(chǔ)用戶的登錄信息、答題信息、積分排行榜及靶場配置信息等；Redis用于緩存用戶登錄憑證、動(dòng)態(tài)靶機(jī)的ID及端口號(hào)等，為不需要頻繁更新的數(shù)據(jù)提供緩存服務(wù)，從而加快靶場響應(yīng)時(shí)間，提升用戶使用體驗(yàn)。

1.1.2 功能實(shí)現(xiàn)層

網(wǎng)絡(luò)安全靶場、動(dòng)態(tài)靶機(jī)及Frp Client是功能實(shí)現(xiàn)的關(guān)鍵組件，均以容器方式運(yùn)行，可充分發(fā)揮容器輕量級(jí)、快速部署、快速恢復(fù)、易擴(kuò)容的優(yōu)勢。其中，網(wǎng)絡(luò)安全靶場通過使用傳輸層安全協(xié)議加密的Docker應(yīng)用程序接口連接Docker Swarm集群，控制動(dòng)態(tài)靶機(jī)的生成與銷毀；動(dòng)態(tài)靶機(jī)底層環(huán)境使用Docker Swarm 集群，通過Frp Client程序?qū)袡C(jī)端口進(jìn)行映射，實(shí)現(xiàn)在網(wǎng)站前端點(diǎn)擊按鈕，即可生成用戶專屬靶機(jī)，避免因共享環(huán)境而影響用戶使用體驗(yàn)，可提高網(wǎng)絡(luò)安全比賽時(shí)公平性，同時(shí)方便后續(xù)擴(kuò)展Swarm集群節(jié)點(diǎn)，提升靶場整體性能。

1.1.3 應(yīng)用代理層

該層主要負(fù)責(zé)靶場與用戶間的交互。多個(gè)網(wǎng)絡(luò)安全靶場容器通過Nginx做反向代理負(fù)載均衡，使用IP Hash負(fù)載均衡算法來分配用戶所訪問到的靶場容器，并利用Nginx緩存靜態(tài)資源，在一定程度上增加吞吐量、提高靶場可用性并提升靶場響應(yīng)時(shí)間。

不同角色用戶通過Web頁面登錄、訪問靶場，可得到不同的靶場使用權(quán)限。Frp用于反向代理，包括服務(wù)器端Frp Server和客戶端Frp Client。應(yīng)用代理層中的Frp Server通過與功能實(shí)現(xiàn)層中各類型靶機(jī)的Frp Client程序連接，以反向代理的方式，可使不同子域名或用同一IP的不同端口訪問到對(duì)應(yīng)的靶機(jī)。

1.2 網(wǎng)絡(luò)環(huán)境部署

網(wǎng)絡(luò)安全靶場網(wǎng)絡(luò)環(huán)境部署如圖2所示。

圖2 網(wǎng)絡(luò)安全靶場網(wǎng)絡(luò)環(huán)境部署

用戶通過終端交換機(jī)可直接與網(wǎng)絡(luò)安全靶場實(shí)現(xiàn)網(wǎng)絡(luò)互通。由于服務(wù)器底層均采用Docker Swarm技術(shù)，因此搭建網(wǎng)絡(luò)安全靶場的服務(wù)器數(shù)量不受限制，后續(xù)可根據(jù)用戶數(shù)量動(dòng)態(tài)擴(kuò)展節(jié)點(diǎn)，提高靶場同時(shí)在線用戶數(shù)。服務(wù)器1主要運(yùn)行網(wǎng)絡(luò)安全靶場平臺(tái)、MariaDB、Redis、Frp Server 4種類型的容器，用于搭建靶場網(wǎng)站，網(wǎng)絡(luò)安全靶場容器直接映射網(wǎng)站端口提供服務(wù)。其余服務(wù)器主要用于運(yùn)行Frp Client容器及給用戶下發(fā)動(dòng)態(tài)靶機(jī)，3種類型的動(dòng)態(tài)靶機(jī)通過Frp Client與服務(wù)器1上的Frp Server相連接，通過Frp程序反向代理動(dòng)態(tài)靶機(jī)，用戶即可通過服務(wù)器1的不同端口號(hào)訪問對(duì)應(yīng)靶機(jī)。

1.3 靶場功能

基于Docker的網(wǎng)絡(luò)安全靶場可實(shí)現(xiàn)以下功能。

（1）網(wǎng)絡(luò)安全競賽功能。該靶場可作為奪旗賽（CTF，Capture The Flag）平臺(tái)，采用動(dòng)態(tài)獨(dú)立靶機(jī)技術(shù)，每道動(dòng)態(tài)靶機(jī)題目被開啟后，會(huì)自動(dòng)生成一個(gè)虛擬題目環(huán)境，并為每個(gè)用戶生成一個(gè)獨(dú)一無二的Flag，可防止作弊行為。當(dāng)題目完成后，用戶可將動(dòng)態(tài)靶機(jī)銷毀，網(wǎng)絡(luò)安全靶場會(huì)快速釋放動(dòng)態(tài)靶機(jī)所占系統(tǒng)資源，以便其他用戶快速生成動(dòng)態(tài)靶機(jī)。

（2）仿真環(huán)境滲透測試功能。通過添加仿真環(huán)境容器鏡像，可快速生成仿真環(huán)境動(dòng)態(tài)靶機(jī)；通過對(duì)仿真環(huán)境靶機(jī)的滲透測試和反復(fù)攻擊，可提升網(wǎng)絡(luò)信息系統(tǒng)相關(guān)人員的實(shí)戰(zhàn)技能水平；根據(jù)對(duì)仿真環(huán)境靶機(jī)的滲透測試，發(fā)現(xiàn)鐵路系統(tǒng)中可能存在的安全漏洞和風(fēng)險(xiǎn)，找到鐵路安全防護(hù)中的短板，可優(yōu)化防御策略，提高相關(guān)人員的網(wǎng)絡(luò)安全防御能力和意識(shí)。

（3）網(wǎng)絡(luò)安全人才培訓(xùn)功能。靶場可作為日常網(wǎng)絡(luò)安全理論知識(shí)及網(wǎng)絡(luò)安全實(shí)操的學(xué)習(xí)平臺(tái)，為不同水平、不同類型的用戶提供難度逐步進(jìn)階的課程及實(shí)操環(huán)境，使其逐步掌握網(wǎng)絡(luò)安全的理論知識(shí)、實(shí)操技能及攻防技戰(zhàn)法，從而提高鐵路行業(yè)網(wǎng)絡(luò)安全人才的培養(yǎng)效能。

2 關(guān)鍵技術(shù)

2.1 Docker 容器網(wǎng)絡(luò)

Docker使用Linux虛擬網(wǎng)絡(luò)技術(shù)，Docker 中的每個(gè)網(wǎng)絡(luò)接口默認(rèn)都是虛擬的接口。容器之間要相互通信的前提是兩者必須有屬于同一個(gè)網(wǎng)絡(luò)的網(wǎng)卡。網(wǎng)絡(luò)安全靶場中所有關(guān)鍵模塊及動(dòng)態(tài)獨(dú)立靶機(jī)均以Docker 容器的形式存在，容器之間資源是相互隔離的。靶場使用Docker容器網(wǎng)絡(luò)控制動(dòng)態(tài)獨(dú)立靶機(jī)及各容器之間的連通與隔離，使用Docker Compose定義和運(yùn)行多容器網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全靶場包含CTF、MariaDB、Redis緩存、Frp Server、Frp Client共5個(gè)容器組件。其中，容器CTF即網(wǎng)絡(luò)安全靶場平臺(tái)網(wǎng)站；用戶的個(gè)人信息和答題信息等存儲(chǔ)到MariaDB容器中；緩存數(shù)據(jù)存儲(chǔ)到Redis容器中；Frp Client與Frp Server容器通過Frp網(wǎng)絡(luò)相互連接，用于反向代理Web、Pwn及仿真環(huán)境這3種類型的動(dòng)態(tài)靶機(jī)。靶機(jī)控制開啟銷毀模塊由Python腳本完成，通過網(wǎng)絡(luò)安全靶場管理界面進(jìn)行統(tǒng)一管理和控制。網(wǎng)絡(luò)安全靶場容器架構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)安全靶場容器架構(gòu)

Frp網(wǎng) 絡(luò)、Internal網(wǎng) 絡(luò) 和Default網(wǎng) 絡(luò) 都 以Bridge橋接模式連接。其中，Internal網(wǎng)絡(luò)為容器內(nèi)部通信網(wǎng)絡(luò)，用于網(wǎng)絡(luò)安全靶場與MariaDB、Redis緩存間的通信，不對(duì)外提供端口映射；Default網(wǎng)絡(luò)為網(wǎng)絡(luò)安全靶場容器的Web界面所在網(wǎng)絡(luò)，對(duì)外提供端口映射，可創(chuàng)建多個(gè)網(wǎng)絡(luò)安全靶場容器，并使用Nginx做負(fù)載均衡及緩存；Frp網(wǎng)絡(luò)為Frp Client與Frp Server程序所使用，通過Frp程序的反向代理功能可將動(dòng)態(tài)靶機(jī)通過Default容器網(wǎng)絡(luò)對(duì)外提供端口映射。

2.2 Docker Swarm集群

Docker Swarm是 Docker的集群管理工具，它的主要作用是把多個(gè)Docker主機(jī)作為一個(gè)整體來進(jìn)行管理，通過一個(gè)入口管理多個(gè)Docker主機(jī)上的資源[8]。任何安裝Docker的主機(jī)都可以使用Docker Swarm功能快速擴(kuò)展多個(gè)主機(jī)。網(wǎng)絡(luò)安全靶場利用Docker Swarm的集群管理能力，能夠?qū)㈩}目容器分發(fā)到不同的節(jié)點(diǎn)上運(yùn)行。用戶每次請(qǐng)求啟動(dòng)題目容器時(shí)，靶場將根據(jù)Swarm調(diào)度算法，選出適合的節(jié)點(diǎn)運(yùn)行該題目容器。

2.3 動(dòng)態(tài)獨(dú)立靶機(jī)

網(wǎng)絡(luò)安全靶場采用了動(dòng)態(tài)獨(dú)立靶機(jī)技術(shù)。每個(gè)動(dòng)態(tài)獨(dú)立靶機(jī)存在的時(shí)間可由參賽隊(duì)伍進(jìn)行設(shè)置，防止空閑靶機(jī)占用系統(tǒng)資源。靶機(jī)可隨時(shí)延長時(shí)間或銷毀，方便用戶使用全新的環(huán)境進(jìn)行測試。動(dòng)態(tài)獨(dú)立靶機(jī)通過 Frp提供容器端口映射，服務(wù)端部署的Frp Server程序通過Frp Client應(yīng)用程序接口，使用基本身份驗(yàn)證控制動(dòng)態(tài)獨(dú)立靶機(jī)端口，該程序能夠安全、便捷地將動(dòng)態(tài)獨(dú)立靶機(jī)對(duì)外提供服務(wù)的IP暴露給用戶。

3 靶場應(yīng)用

本文設(shè)計(jì)的網(wǎng)絡(luò)安全靶場已成功應(yīng)用于中國鐵路蘭州局集團(tuán)有限公司，取得的效果如下。

（1） 在網(wǎng)絡(luò)安全人才的培養(yǎng)選拔方面，該靶場已用于舉辦網(wǎng)絡(luò)信息系統(tǒng)職業(yè)技能競賽，有利于發(fā)掘網(wǎng)絡(luò)安全人才、建立完善的網(wǎng)絡(luò)安全人才培養(yǎng)體系。

（2） 在網(wǎng)絡(luò)安全日常培訓(xùn)方面，該靶場已用于開展日常網(wǎng)絡(luò)安全理論知識(shí)學(xué)習(xí)、網(wǎng)絡(luò)安全競賽知識(shí)學(xué)習(xí)、網(wǎng)絡(luò)安全滲透測試實(shí)戰(zhàn)學(xué)習(xí)等，進(jìn)一步提高了鐵路網(wǎng)絡(luò)信息系統(tǒng)相關(guān)技術(shù)人員網(wǎng)絡(luò)安全技能和攻防技能。

（3） 在仿真環(huán)境滲透測試方面，該靶場已用于構(gòu)建部分業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行環(huán)境并進(jìn)行仿真測試，有利于預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患，降低測試成本。

4 結(jié)束語

本文設(shè)計(jì)了基于Docker技術(shù)的網(wǎng)絡(luò)安全靶場，該靶場可用于日常的網(wǎng)絡(luò)安全學(xué)習(xí)、競賽、仿真環(huán)境滲透測試等，有助于鐵路行業(yè)開展網(wǎng)絡(luò)安全人才的培訓(xùn)選拔、內(nèi)部攻防演習(xí)、網(wǎng)絡(luò)安全日常培訓(xùn)等工作，進(jìn)而為鐵路網(wǎng)絡(luò)安全管理提供技術(shù)支撐，為下一步開展鐵路網(wǎng)絡(luò)安全靶場體系構(gòu)建提供參考。