网络攻防实验教学云平台v1.1.docVIP

成都国腾实业集团“十三五”项目建议书 项目名称：基于云平台的网络攻防实验教学系统 网络攻防环境难以构建和管理是一个普遍性的难题。信息安全实验教学具有很强的实践性。由于互联网庞大的规模、复杂的结构使其无法在实验室里搭建，为实验教学而设置网络安全漏洞会产生巨大风险，在真实的网络中开展网络攻击、病毒注入等实验，将酿成灾难性后果。因此，信息安全类课程的实验教学难以在真实的网络环境中完成。云计算为信息安全实验教学的开展提供了新的思路，即利用虚拟仿真技术开展信息安全的实验教学。 网络攻防实验教学云平台概述 1.1背景 基于云平台的网络攻防实验教学系统（以下简称实验平台）遵循《信息安全类专业指导性专业规范》和《电子科大成都学院信息安全专业培养方案》定义的知识体系及实践能力要求，拟基于OpenStack云平台开源技术实施网络攻防实验教学系统开发和网络攻防实验教学内容建设；实验平台的课程体系包括10个实验模块，近100个实验类别，在开源软件OpenStack和相应组件的基础上，利用虚拟化技术，可以在实验室中构建出虚拟攻击机、虚拟靶机和多样化的网络结构开展攻防实验。基于云计算的网络攻防实验教学系统可以显著降低管理和实验成本，提高学习效率；实验平台拟首先满足电子科大成都学院信息安全专业学生专业实践课的教学需求，经过本校应用验证后再迁移到云服务商平台上为更多学生提供网络攻防实训服务。 1.2前景 据调查全国设有信息安全专业的高等院校77所（2014年数据），其在校学生安平均1200人/校（如成都信息工程大学信息安全工程学院现有学生1500人）计算共计92400人，加上社会其他行业的需求，估计总数在十五万人左右。因此，本系统有一定的市场前景。 二、基于云平台的网络攻防实验教学系统需求分析 　　随着中央成立网络安全与信息化领导小组以来，网络安全成为当前技术研究热点，网络安全课程和网络安全竞赛也得到了更多的重视。我们在网络安全课程的教学和网络安全竞赛的训练过程中，做了大量网络攻防方面的实验，比较深切地感受到现有的网络攻防实验手段的不足。 　　网络攻防相关实验往往都带有一定的破坏性，在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦，一般都是通过安装VMware、Virtualbox 等模拟软件构建虚拟网络环境去进行攻防实验，为此，我们借助云计算技术来构建网络攻防实验教学系统。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务，因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中，则可以极大地改进管理工作。例如，可以省去本地安装配置工作，只要有网络随时能用注册账号登录到云平台上做有操作权限的网络攻防实验；所有的技术文档、操作指南等统一存储在云平台，非常容易检索；在攻防实验平台的存储空间、CPU 性能出现瓶颈时，也非常容易进行扩充升级。这种基于云计算的网络攻防系统可以著降低管理和实验成本，提高学习效率。 三、基于OpenStack 云平台的设计和实现 OpenStack 是一个美国国家航空航天局和RackSpace合作研发的，旨在为公共及私有云的建设与管理提供软件的开源项目。OpenStack正处于高速发展和推广应用过程中，目前已经是各种公有云和私有云建设的主流方案。 3.1 实验平台硬件结构 本文设计的基于云平台的网络攻防实验教学系统拓扑结构如图1所示。其中应用服务器分别连接到交换机、第一网络云存储和第二网络云存储。 第一网络云存储通过防火墙连接到交换机。防火墙是可选的网络防护设备，可以用其他网络防护设备替代，或者直接连接交换机。使用防火墙是为了配置多样化的网络防护环境。第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件，可以用来创建Windows或Linux虚拟靶机实例。 第二网络云存储直接连接到交换机，保存着已安装攻击工具的操作系统镜像文件，利用这些镜像文件可以创建出Windows或Linux虚拟攻击机实例。互联网用户通过VPN网关、局域网用户通过交换机连接到该云平台。 图1：实验平台的硬件结构 3.2 实验平台系统架构 实验平台是在云计算开源项目OpenStack基础上构建（见图2）。构建云平台主要用到OpenStack以下模块的服务： (1) Nova：调派资源实例化虚拟机； (2) Glance：提供虚拟机实例化时需要的镜像； (3) Network：提供网络连接； (4) Cinder：提供外接的块存储服务； (5) Ceilometer：从以上与虚拟机相关的几个服务中收集数据．用于统计、监控、计费、报警等； (6) Swift：可以为Glance提供镜像的存储服务，可以