基于OpenStack网络安全实验平台.docVIP

基于OpenStack网络安全实验平台 　　[摘要] 　　为了解决网络安全实验受到硬件条件和虚拟化技术限制的问题，设计实现了基于OpenStack的网络安全实验平台。该平台采用抽象分层模式，通过整合实验项目设计虚拟网络拓扑结构，并在OpenStack中使用SDN网络虚拟化技术搭建。通过教学实践表明，该平台具有真实性、可编程性、隔离性和扩展性等特点，为用户提供了一个良好的网络安全实验教学环境，具有一定的研究和应用价值。 　　[关键词]OpenStack;虚拟网络;网络安全;实验平台 　　[中图分类号]G642.0[文献标识码]A[文章编号]1005-4634（2015）02-0095-05 　　0引言 　　网络安全课程是计算机专业的一门专业主干课程。实验教学是本门课程的重要环节，是培养学生实践能力和创新意识的重要手段[1]。目前，各高校的网络安全实验基本采用两种方式来搭建网络攻防环境：（1）基于硬件设备搭建真实网络; （2）基于VMware搭建虚拟网络[2]。网络安全实验涉及到各种网络设备，需要构建特定的、复杂的网络拓扑结构，实验以攻防为主，具有一定的攻击性和破坏性。采用方式一构建真实网络，受到实验室的硬件资源限制，存在成本高、易瘫痪等问题;采用方式二构建虚拟网络，受到虚拟化技术限制，VMware允许用户创建自己的虚拟机，但无法虚拟其它网络设备，存在虚拟网络设备不足、网络环境简单等问题[3-5]。由此可见，采用以上两种方式搭建实验平台，都不能完全满足网络安全实验的需求，实验环境的构建成为阻碍网络安全教学的一大因素，搭建新型网络安全实验平台具有重要意义。 　　 为了解决网络安全实验需求与网络环境限制这一矛盾，黑龙江科技大学展开相关研究，搭建了基于OpenStack的网络安全实验平台。该平台提供了真实的、隔离的、可扩展的、可编程的实验环境，并实现虚拟资源的统一管理。该平台已在黑龙江科技大学投入使用，并应用于网络安全课程教学中，支持网络安全创新实验。 　　1基于OpenStack的网络安全实验平台 　　设计与搭建 　　实验平台采用抽象分层模式，根据网络安全实验项目，设计一个可满足实验需求的网络拓扑结构，使用SDN网络虚拟化技术在OpenStack中完成实验平台搭建。 　　1.1实验平台结构设计 　　 实验平台按照资源、管控和应用三个方面进行抽象，自下而上进行分层的结构设计，将复杂的平台设计简单化。采用抽象分层的设计模式，逻辑上进行集中管理和控制，可使实验用户从复杂的实验环境配置中分离出来，实现个性化定制实验网络拓扑结构[6-8]。 　　 实验平台抽象为3层结构：面向底层虚拟化的硬件资源管理层，面向OpenStack的网络虚拟化层，以及面向用户的实验应用层。经过抽象分层后，实验平台结构如图1所示。实验用户注册后，申请实验资源，将用户的需求转化为虚拟网络拓扑描述语言，传递给网络虚拟化层。网络虚拟化层根据硬件资源使用情况和用户提出的实验资源申请，生成满足用户需求的虚拟网络，并通过映射来完成对虚拟节点的配置，并反馈给用户，用户即可在平台中进行实验。 　　1.2实验平台拓扑结构设计 　　 网络安全实验教学内容主要包括攻击和防御两部分，攻击实验项目包括：代理跳板隐藏IP、扫描服务器漏洞、暴力破解工作主机的SAM数据库、远程入侵Web服务器、远程入侵数据库服务器、DDoS攻击等;防御实验项目包括：防火墙配置、DDoS攻击检测、漏洞补丁、数据备份与恢复、数据加密等。 　　 整合攻防实验项目所需的网络环境，设计实验平台中虚拟网络拓扑结构，如图2所示，搭建出一个完整的网络安全实验场景。在实验场景拓扑图中，整个实验网络划分为公司内网和外网，其中公司内网由内网（net1）与非军事化保护区DMZ（net2）组成。net1包含网络管理服务器server1、数据库服务器server2、密钥服务器server3、网络管理员主机pc1和工作人员主机2包含Web服务器server4、邮件服务器server5、FTP服务器server6、DNS服务器server7和入侵检测系统IDS。外网中包含攻击者主机pc3和普通用户主机pc4。内网通过交换机S1与F1相连，防火墙F1和F2之间为DMZ区，外网通过路由器R1和防火墙F2相连。 　　图2实验场景拓扑图 　　1.3实验平台搭建 　　 在OpenStack中使用SDN网络虚拟化技术，通过Neutron组件来创建和配置虚拟网络，实现网络安全实验平台搭建。 　　 虚拟网络是指采用网络虚拟化技术，在底层物理设施之上，将虚拟节点与虚拟链路进行逻辑连接的虚拟拓扑集合[9-11]。SDN是一种新兴的基于软件的网络架构及技术，SDN的一个重要价值是实现网络虚拟化。 　　 开源云计算管理平台Ope