基于OpenStack的高校网络攻防平台设计

黄华东

（广西国际商务职业技术学院 广西壮族自治区南宁市 530007）

1 引言

随着互联网信息化技术的不断创新发展，网络已成为各行业领域高质量发展的关键所在，社会发展对网络的依赖同样也促进了网络信息化技术的高速发展，但是在实践过程中会出现不同程度的安全问题。现阶段，国内大部分高校相继开设了计算机网络安全及相关专业课程，具有很强的专业性和实效性，因此，在进行网络安全实验教学过程中会面临诸多瓶颈因素，譬如：网络攻防实验平台的构建需以优质的基础设备作为保障，网络攻防实验平台的实现建立在复杂的网络环境之上[1]。目前，网络攻防实验平台设计受多方面因素的制约，比如经费、场地等，加之其本身实验具有较高的损坏性，致使网络攻防平台的硬件环境的构建存在诸多问题。与此同时，在教学过程中，网络安全实验管理相对较为困难，若在操作过程中出现操作不当就会产生一定的负面影响，甚至触犯法律。因此，针对以上存在的瓶颈因素和不确定问题，为了最大程度上满足高校网络安全教学的多元化需求，帮助学生群体建立高效的专业技能和实操水平，需构建科学合理的高校网络攻防实验虚拟平台。

基于此，本文以OpenStack的云计算网络技术，在信息化时代的网络环境搭建高校网络攻防平台，最大程度上打破以往的实验实训平台无法实时在线、安全隔离及实验人数受限等诸多问题，并以此契机，搭建设计在OpenStack视角下的高校网络攻防平台，从而全面帮助高校师生群体有效完成网络攻防实验、实测及安全工具的学习。

2 0penstack技术的基本概述

所谓“Openstack技术”，本质上与KVM类似均属于开源式的一种程序，不同在于，Openstack技术属于开源的计算机云计算系统范畴，而KVM更加凸显了开源的网络环境解决方案[2]。目前，Openstack作为很多对象联合推出的云计算项目，结合实际环境，可实现在不同网络环境下用户群体自行搭建虚拟的数据网络环境。一般情况下，Openstack在高校网络攻防平台设计中主要由5个模块组成，即：计算机服务对象、对象储存传输、镜像服务、注册登录认证服务及平台控制系统等。以上五个模块相互衔接合作，但又作为独立模块相互不干涉，在此基础上，共同支撑0penstack技术，从而为用户提供信息服务。

图1：网络攻防平台逻辑拓扑结构示意图

图2：网络攻防平台节点设计

3 构建高校网络攻防实验平台的必要性

现阶段，随着计算机信息化技术的不断普及应用，在各行业领域取得显著成效的同时，也会给社会群体的日常交流带来一定的危害性，比如黑客的攻击导致用户数据大面积泄露、计算机病毒入侵数据系统和程序。目前，社会群体在充分利用计算机网络的同时也在积极探索如何正确使用网络，经过专业技术人员的长期探索，普遍认为：要保障用户网络安全，必须构建高效的网络攻防平台。反其道而行，网络攻防实验平台设计原理主要是根据黑客、病毒的入侵方式对网络程序环境进行深入式的测试，归根结底就是寻找网络中的漏洞，并采取有效措施进行修复，切实保证用户的网络安全[3]。

从高校网络攻防实验平台角度出发，Openstack作为云计算一种开源式的计算方式，具有灵活多变、有效管理、降低成本等显著特征。随着计算机网络系统的逐渐成熟和开源软件的普遍应用（免费提供），使得高校网络攻防实验平台在资金投入受限的情况下，能利用Openstack技术搭建实验平台，从而保证其提供数据信息的安全性和服务质量的有效控制。

4 高校计算机网络攻防实验教学的现状分析

现阶段，“互联网+教育”战略不断持续深入，其中互联网网络安全问题愈发凸显，这也是新时期推动这一战略落地生根亟需解决的突出问题。可显而易见的发现，当前网络技术的兴起全面推动了互联网行业的高质量发展，但网络安全问题频繁发生，安全问题从本质上未能根治。与此同时，除计算机病毒、系统漏洞等常规攻击行为方式外，还包括互联网、物联网及终端设备等恶意程序攻击、设备蠕虫也多次出现，网络安全问题迟迟得不到解决。目前，我国对于网络安全人才的需求与日俱增，高等院校的网络安全教学相对处于探索阶段，高校网络攻防实验教学方面存在不足、资金投入不够、硬软件设施基础条件匮乏、网络环境差等诸多瓶颈因素，严重制约着高校网络攻防实验教学进程[4]。

（1）传统的高校网络攻防实验项目大部分为验证性质，无法及时更新数据，教学实验环境无法得到有效保证。同时由于网络安全实验的形式、功能、流程等方面的固化，使得学生专业技术实践能力的提升有限，加之实验教学过程中各种不确定因素频发，学生群体很难在实验教学过程中全面掌握网络安全攻防的相关技术。因此，若想设计高校网络攻防平台，须满足学生实训操作的多元化需求，同时也要满足学生在网络安全方面的专业素质和知识，使得高校网络攻防实验平台成为网络可持续发展的实训基地，切实培养高校学生群体在网络攻防领域的专业技能。

（2）一般情况下，以往的网络攻防实验平台设计需要配备交换机、防火墙、系统漏洞补丁等相关设备，且配套设备费用较高。从高校网络攻防实验教学过程中存在问题的多样性和投入资金不足等制约条件出发，诸多高校尝试基于云计算和网络虚拟化安全基础设备、攻防实验项目等内容开发设计了符合实际应用的网络攻防平台，进而有效改善了高等院校网络安全的实验性教学。从某种程度上讲，高校网络攻防平台设计总体上分为软件建设和硬件建设两个主要部分，其中网络攻防实验平台是实验室建设的核心。

（3）随着大数据、云计算等智能化手段不断融入高校网络攻防平台设计中，通过虚拟化管理调度为网络安全领域生产较为有效的实验操作环节，最大限度上确保学生群体能够进行网络安全实训和网络攻防实验操作，使得学生能够扎掌握网络攻防相关专业知识和实践技能，

5 基于openstack的高校网络攻防平台设计

考虑到Openstack属于开放源码，且具有很强的社会网络开放模式，在综合考虑性价比、二次开放时的难易程度、网络环境、成本控制等诸多方面因素，基于Openstack视角下高校网络攻防平台的搭建迫在眉睫[5]。

5.1 平台功能分析

网络安全问题一直是研究的重点，如何进一步深入研究网络攻防技术是当前专业技术人员急需解决的突出问题。从专业技术层面进行分析，网络信息化技术不断更新迭代，在新时期全新的网络攻击方式出现时，应多措并举，及时应对网络攻击带来的严峻考验。从实验教学角度出发，基于Openstack的高校网络攻防平台设计能够最大程度上避免诸多因素造成实验环境的破坏，其主要优势主要集中在能够快速创建数字化、智能化、自动化的实验环境，具有很强的扩展性，能够将全新的网络攻击模块添加至网络安全实验教学全过程。其次，通过在高校网络攻防平台中接入集群和靶场集群，顺利完成认证服务、VPN服务、储存服务及监控服务，在此基础上，切实帮助学生群体完成网络攻防学习。

5.2 平台架构分析

5.2.1 平台逻辑拓扑设计

本网络攻防平台设计主要结合其实验教学的特征，根据满足校内网络用户也满足校外网络用户兼具使用的基本原则进行设计，具体的逻辑扑拓设计建图1。校内网络用户可直接通过计算机主机对靶向目标主机实施攻击和防御；校外网络用户需通过认证后直接接入集群主机对靶向目标主机实施攻击和防御，网络管理员可通过认证服务后或外网通过VPN服务进入后进行平台管理操作。

本平台的设计主要是根据单独模块化设计思路，结合Openstack技术的显著优势。根据Openstack计算服务达成高校网络攻防平台中接入集群和靶场集群的构建（主要利用Nova），根据Openstack计算储存服务实现情景场景搭建和对应的储存服务功能（主要利用Swift）；根据Openstack计算镜像服务实现网络攻防平台中场景的自由切换（主要利用Glance）。

5.2.2 平台逻辑拓扑设计

本网络攻防平台拟计划满足60个接入功能，主要分为攻击组和防御组各30个接入主机和30个靶场主机，需说明每一个防御者和攻击者共同使用一个靶场主机，在实践过程中，结合储存要求，本平台专门设置模块化的储存服务器，一般情况下主要采取共享式服务器（本地硬盘）。主要从管理服务器、控制服务器、计算机服务器、三层交换机、安装软件、实验场景等六个方面进行设计。

其中管理服务器建议选用I5/DDR3 1600MHz 8G/500G Server；控制服务器建议选择ThinkServer RD630 Xeon E5-2609/1.8GHz (4core)*2 /DDR3 1600MHz 8G/SAS 300G；计算机服务器建议选择ThinkServer RD640 Xeon E5- 2620/2.1GHz(6core) *2/ DDR3 1600MHz 256G/SAS 4T；三层交换机建议选择1H3C千兆三层交换机及控制线缆；安装软件建议选择开源软件MirantisOpenStack-5.1.1；实训场景搭建建议选择基于FTP服务器缓冲溢出入侵及防御实验。

5.2.3 控制节点设计

基于Openstack技术的高校网络攻防平台的设计本质上能够达到成本低及快速部署的目的。本平台的控制节点设计主要有三部分组成，具体为：控制节点、计算节点和储存节点。其中控制节点是设计本平台的中枢核心功能[6]，主要目的是收集网络攻防过程中计算节点中的数据信息资源、资源分配及管理网络，与此同时，对虚拟机实例质量周期内进行科学有效控制，对接入集群和靶场集群等模块相应的服务功能数据信息进行储存，在此基础上，还能实现快速备份文件的储存。计算节点是本网络攻防平台实现的基础性节点，主要有物理设备构建，起在虚拟攻防实验过程中对靶向目标数据进行分析，为网络安全问题提供针对性服务。计算机储存节点主要目的就是储存平台的相关信息数据，比如接入集群和靶场集群对应完成认证服务、VPN服务、储存服务及监控服务相应的数据，其为可选部分，比如无法实现实际的环境，通过控制节点实现存储，具体见图2。

6 网络攻防平台的实现

本网络攻防平台在向校内外用户提供数据服务时，通常是利用基于Openstack技术的服务器实现，主要步骤是：登录、验证、管理控制、创建虚拟攻防验证主机、构建实验环境等步骤。主要采取DDos攻击方式和远程控制攻击方式。对于其能够将不同计算机主机进行联合攻击多个靶向目标，这种方式会占据宽带通道，从而导致系统的崩溃。对于远程控制攻击方式而言，主要通过植入木马程序对计算机信息及系统进行攻击。需说明这两种方式均需要虚拟攻防实验主机。

7 结语

综上所述，基于OpenStack技术的网络攻防平台的建设主要是针对现阶段网络环境中一些安全问题。此平台的设计课顺利完成端口接入、数据输入及储存、操作系统入侵等攻击方式的实验测试。因此，在OpenStack技术视角下的网络攻防平台的搭建主要目的就是降低网络攻防实验过程中附加成本，最大程度上降低网络安全问题的出现。同时，本平台的设计还能满足不同网络安全实验多元化需求，具有安全及真实的特点。