论文部分内容阅读
[摘要]
为了解决网络安全实验受到硬件条件和虚拟化技术限制的问题,设计实现了基于OpenStack的网络安全实验平台。该平台采用抽象分层模式,通过整合实验项目设计虚拟网络拓扑结构,并在OpenStack中使用SDN网络虚拟化技术搭建。通过教学实践表明,该平台具有真实性、可编程性、隔离性和扩展性等特点,为用户提供了一个良好的网络安全实验教学环境,具有一定的研究和应用价值。
[关键词]OpenStack;虚拟网络;网络安全;实验平台
[中图分类号]G642.0[文献标识码]A[文章编号]1005-4634(2015)02-0095-05
0引言
网络安全课程是计算机专业的一门专业主干课程。实验教学是本门课程的重要环节,是培养学生实践能力和创新意识的重要手段[1]。目前,各高校的网络安全实验基本采用两种方式来搭建网络攻防环境:(1)基于硬件设备搭建真实网络; (2)基于VMware搭建虚拟网络[2]。网络安全实验涉及到各种网络设备,需要构建特定的、复杂的网络拓扑结构,实验以攻防为主,具有一定的攻击性和破坏性。采用方式一构建真实网络,受到实验室的硬件资源限制,存在成本高、易瘫痪等问题;采用方式二构建虚拟网络,受到虚拟化技术限制,VMware允许用户创建自己的虚拟机,但无法虚拟其它网络设备,存在虚拟网络设备不足、网络环境简单等问题[3-5]。由此可见,采用以上两种方式搭建实验平台,都不能完全满足网络安全实验的需求,实验环境的构建成为阻碍网络安全教学的一大因素,搭建新型网络安全实验平台具有重要意义。
为了解决网络安全实验需求与网络环境限制这一矛盾,黑龙江科技大学展开相关研究,搭建了基于OpenStack的网络安全实验平台。该平台提供了真实的、隔离的、可扩展的、可编程的实验环境,并实现虚拟资源的统一管理。该平台已在黑龙江科技大学投入使用,并应用于网络安全课程教学中,支持网络安全创新实验。
1基于OpenStack的网络安全实验平台
设计与搭建
实验平台采用抽象分层模式,根据网络安全实验项目,设计一个可满足实验需求的网络拓扑结构,使用SDN网络虚拟化技术在OpenStack中完成实验平台搭建。
1.1实验平台结构设计
实验平台按照资源、管控和应用三个方面进行抽象,自下而上进行分层的结构设计,将复杂的平台设计简单化。采用抽象分层的设计模式,逻辑上进行集中管理和控制,可使实验用户从复杂的实验环境配置中分离出来,实现个性化定制实验网络拓扑结构[6-8]。
实验平台抽象为3层结构:面向底层虚拟化的硬件资源管理层,面向OpenStack的网络虚拟化层,以及面向用户的实验应用层。经过抽象分层后,实验平台结构如图1所示。实验用户注册后,申请实验资源,将用户的需求转化为虚拟网络拓扑描述语言,传递给网络虚拟化层。网络虚拟化层根据硬件资源使用情况和用户提出的实验资源申请,生成满足用户需求的虚拟网络,并通过映射来完成对虚拟节点的配置,并反馈给用户,用户即可在平台中进行实验。
1.2实验平台拓扑结构设计
网络安全实验教学内容主要包括攻击和防御两部分,攻击实验项目包括:代理跳板隐藏IP、扫描服务器漏洞、暴力破解工作主机的SAM数据库、远程入侵Web服务器、远程入侵数据库服务器、DDoS攻击等;防御实验项目包括:防火墙配置、DDoS攻击检测、漏洞补丁、数据备份与恢复、数据加密等。
整合攻防实验项目所需的网络环境,设计实验平台中虚拟网络拓扑结构,如图2所示,搭建出一个完整的网络安全实验场景。在实验场景拓扑图中,整个实验网络划分为公司内网和外网,其中公司内网由内网(net1)与非军事化保护区DMZ(net2)组成。net1包含网络管理服务器server1、数据库服务器server2、密钥服务器server3、网络管理员主机pc1和工作人员主机pc2。net2包含Web服务器server4、邮件服务器server5、FTP服务器server6、DNS服务器server7和入侵检测系统IDS。外网中包含攻击者主机pc3和普通用户主机pc4。内网通过交换机S1与F1相连,防火墙F1和F2之间为DMZ区,外网通过路由器R1和防火墙F2相连。
图2实验场景拓扑图
1.3实验平台搭建
在OpenStack中使用SDN网络虚拟化技术,通过Neutron组件来创建和配置虚拟网络,实现网络安全实验平台搭建。
虚拟网络是指采用网络虚拟化技术,在底层物理设施之上,将虚拟节点与虚拟链路进行逻辑连接的虚拟拓扑集合[9-11]。SDN是一种新兴的基于软件的网络架构及技术,SDN的一个重要价值是实现网络虚拟化。
开源云计算管理平台OpenStack工作在SDN应用层。首先,在其网络资源管理组件中增加Neutron组件,然后使用Neutron组件提供的虚拟网络、子网、端口抽象等API,分别创建虚拟网络、路由器、负载均衡等各种网络节点,最后根据实验需求对虚拟节点进行配置和管理,最终完成创建图2所示的虚拟网络拓扑,实现网络安全实验平台的搭建[12]。
在OpenStack中使用SDN虚拟化技术搭建实验平台的优势如下。
1)在SDN虚拟网络中,虚拟机的增加、删除、迁移等都不依赖于物理设备,更不需要对物理网络做任何修改,所有的网络设备创建、改动等操作都由软件来定义。
2)可模拟真实的网络环境搭建虚拟网络拓扑,实现网络安全防御功能,比如负载均衡、防火墙、VPN等。
3)支持用户自定义虚拟网络,网络规则和控制策略。因此,利用SDN虚拟化技术搭建网络安全实验平台,具有良好的可扩展性、实现真实网络环境和深度可编程性等优点,完全能够满足网络安全实验需求[13-15]。 1.4实验平台特点
1)真实性。实验平台由软件定义的虚拟网络构建,能够反映网络实际运行状况,营造真实的网络环境,实验中的代码几乎可以无缝迁移到真实的硬件环境中。
2)可编程性。实验平台采用SDN网络虚拟化技术,可以保障实验平台的可编程性。在结构上,支持用户根据实验虚求自定义网络拓扑结构;在应用上,支持用户自定义各种网络安全配置。
3)隔离性。实验平台在OpenStack中运行,支持不同实验共享虚拟网络资源,支持多个实验并行开展,保证不同实验流量的互不影响和有效隔离。
4)可扩展性。实验平台采用抽象分层的模式,提供标准化的管理接口,方便软硬件的移植和扩展。
2实验流程
用户(学生或教师)在实验平台中进行网络安全实验之前,需要注册并通过平台管理员审核。审核通过后,用户提交资源使用申请,管理员按照实验项目进行资源分配。项目申请通过后,用户在实验网络中进行创建镜像、设计协议、配置虚拟节点等操作,完成后即可进行实验。实验流程如图3所示。
图3实验流程
3网络安全实验教学
实验平台已在黑龙江科技大学网络安全实验教学中得到具体应用,下面仅以防火墙配置实验项目中一个任务作为实例演示。本实验任务要求学生通过linux下的iptables工具配置流表规则,完成在pc1中配置禁止SSH数据包的过滤服务。通过本实验,了解控制器与防火墙之间的消息交换流程,理解基于OpenFlow防火墙的工作原理。在实验中,学生可在实验场景拓扑结构中,选择pc1作为OpenFlow控制器,pc2作为用户主机A,pc4作为用户主机B,s1作为OpenFlow交换机,该实验的网络拓扑图如图4所示。学生在实验网络中利用OpenFlow协议中的流表项构建ACL,实现防火墙功能,并使用Wireshark网络封包分析软件抓取数据包。
图4防火墙实验虚拟网络拓扑图
3.1实验原理
主机A和主机B之间经过OpenFlow交换机进行通信,主机A向交换机发出访问主机B的请求,如果该请求在交换机中无匹配的转发规则,则转发该请求数据包的副本到OpenFlow控制器,控制器的防火墙应用模块进行访问策略检查,并且将响应结果返回给交换机,如果交换机收到规则“来自主机A的数据包可以被发送给主机B”,则交换机响应主机A的请求,数据从主机A转发到交换机,再从交换机转发到主机B。在使用SDN虚拟化技术构建的虚拟实验网络中,防火墙以反应模式进行工作,控制部分作为一个程序应用转移到控制器中,转发部分则驻留在交换机中。
3.2实验操作
实验要求防火墙实现禁止SSH数据包的过滤服务,SSH 是建立在应用层和传输层基础上的安全协议,使用TCP协议,默认监听端口为22。因此,本实验需要关闭所有TCP端口22的访问,流表项形式的防火墙ACL如图5所示。
1)清除原有规则。iptables-F 清除预设表filter中的所有规则链的规则;iptables-X 清除预设表filter中使用者自定链中的规则。
2)关闭ssh服务,默认端口号为22:iptables-A INPUT-p tcp-dport 22-j DROP;iptables-A OUTPUT-p tcp-sport 22-j DROP。
至此,通过防火墙实验项目中一个简单任务案例,详细的介绍了基于OpenStack的网络安全实验的过程,验证了使用OpenStack平台搭建虚拟网络实验环境,进行网络安全实验教学的可行性。
4结束语
课题组分析了常用的网络安全实验环境构建方案的不足,提出了基于OpenStack的网络安全实验教学平台设计方案。该平台采用抽象分层模式,通过整合网络安全实验项目设计网络拓扑结构,在OpenStack中采用SDN网络虚拟化技术创建虚拟网络,搭建出具有真实性、可编程性、隔离性和可扩展性的网络安全实验平台。通过在黑龙江科技大学网络安全实验教学中的应用,发现该平台完全能够满足网络安全课程实验环境需求,并且可以推广到其它网络相关课程的实验教学中。
目前,基于OpenStack的网络安全实验平台仅提供实验应用,未来进一步的开发工作将集中在如下2个方面:(1)提供更高性能的实验环境构建,即支持大规模网络拓扑的快速和自动化部署;(2)提供实时监测功能,对实验中的关键节点进行实时数据、流量和状态监测。今后将扩大该平台的应用部署范围,加强实践应用和改进,使该平台成为具有广泛认同度的网络安全实验平台。
参考文献
[1]
为了解决网络安全实验受到硬件条件和虚拟化技术限制的问题,设计实现了基于OpenStack的网络安全实验平台。该平台采用抽象分层模式,通过整合实验项目设计虚拟网络拓扑结构,并在OpenStack中使用SDN网络虚拟化技术搭建。通过教学实践表明,该平台具有真实性、可编程性、隔离性和扩展性等特点,为用户提供了一个良好的网络安全实验教学环境,具有一定的研究和应用价值。
[关键词]OpenStack;虚拟网络;网络安全;实验平台
[中图分类号]G642.0[文献标识码]A[文章编号]1005-4634(2015)02-0095-05
0引言
网络安全课程是计算机专业的一门专业主干课程。实验教学是本门课程的重要环节,是培养学生实践能力和创新意识的重要手段[1]。目前,各高校的网络安全实验基本采用两种方式来搭建网络攻防环境:(1)基于硬件设备搭建真实网络; (2)基于VMware搭建虚拟网络[2]。网络安全实验涉及到各种网络设备,需要构建特定的、复杂的网络拓扑结构,实验以攻防为主,具有一定的攻击性和破坏性。采用方式一构建真实网络,受到实验室的硬件资源限制,存在成本高、易瘫痪等问题;采用方式二构建虚拟网络,受到虚拟化技术限制,VMware允许用户创建自己的虚拟机,但无法虚拟其它网络设备,存在虚拟网络设备不足、网络环境简单等问题[3-5]。由此可见,采用以上两种方式搭建实验平台,都不能完全满足网络安全实验的需求,实验环境的构建成为阻碍网络安全教学的一大因素,搭建新型网络安全实验平台具有重要意义。
为了解决网络安全实验需求与网络环境限制这一矛盾,黑龙江科技大学展开相关研究,搭建了基于OpenStack的网络安全实验平台。该平台提供了真实的、隔离的、可扩展的、可编程的实验环境,并实现虚拟资源的统一管理。该平台已在黑龙江科技大学投入使用,并应用于网络安全课程教学中,支持网络安全创新实验。
1基于OpenStack的网络安全实验平台
设计与搭建
实验平台采用抽象分层模式,根据网络安全实验项目,设计一个可满足实验需求的网络拓扑结构,使用SDN网络虚拟化技术在OpenStack中完成实验平台搭建。
1.1实验平台结构设计
实验平台按照资源、管控和应用三个方面进行抽象,自下而上进行分层的结构设计,将复杂的平台设计简单化。采用抽象分层的设计模式,逻辑上进行集中管理和控制,可使实验用户从复杂的实验环境配置中分离出来,实现个性化定制实验网络拓扑结构[6-8]。
实验平台抽象为3层结构:面向底层虚拟化的硬件资源管理层,面向OpenStack的网络虚拟化层,以及面向用户的实验应用层。经过抽象分层后,实验平台结构如图1所示。实验用户注册后,申请实验资源,将用户的需求转化为虚拟网络拓扑描述语言,传递给网络虚拟化层。网络虚拟化层根据硬件资源使用情况和用户提出的实验资源申请,生成满足用户需求的虚拟网络,并通过映射来完成对虚拟节点的配置,并反馈给用户,用户即可在平台中进行实验。
1.2实验平台拓扑结构设计
网络安全实验教学内容主要包括攻击和防御两部分,攻击实验项目包括:代理跳板隐藏IP、扫描服务器漏洞、暴力破解工作主机的SAM数据库、远程入侵Web服务器、远程入侵数据库服务器、DDoS攻击等;防御实验项目包括:防火墙配置、DDoS攻击检测、漏洞补丁、数据备份与恢复、数据加密等。
整合攻防实验项目所需的网络环境,设计实验平台中虚拟网络拓扑结构,如图2所示,搭建出一个完整的网络安全实验场景。在实验场景拓扑图中,整个实验网络划分为公司内网和外网,其中公司内网由内网(net1)与非军事化保护区DMZ(net2)组成。net1包含网络管理服务器server1、数据库服务器server2、密钥服务器server3、网络管理员主机pc1和工作人员主机pc2。net2包含Web服务器server4、邮件服务器server5、FTP服务器server6、DNS服务器server7和入侵检测系统IDS。外网中包含攻击者主机pc3和普通用户主机pc4。内网通过交换机S1与F1相连,防火墙F1和F2之间为DMZ区,外网通过路由器R1和防火墙F2相连。
图2实验场景拓扑图
1.3实验平台搭建
在OpenStack中使用SDN网络虚拟化技术,通过Neutron组件来创建和配置虚拟网络,实现网络安全实验平台搭建。
虚拟网络是指采用网络虚拟化技术,在底层物理设施之上,将虚拟节点与虚拟链路进行逻辑连接的虚拟拓扑集合[9-11]。SDN是一种新兴的基于软件的网络架构及技术,SDN的一个重要价值是实现网络虚拟化。
开源云计算管理平台OpenStack工作在SDN应用层。首先,在其网络资源管理组件中增加Neutron组件,然后使用Neutron组件提供的虚拟网络、子网、端口抽象等API,分别创建虚拟网络、路由器、负载均衡等各种网络节点,最后根据实验需求对虚拟节点进行配置和管理,最终完成创建图2所示的虚拟网络拓扑,实现网络安全实验平台的搭建[12]。
在OpenStack中使用SDN虚拟化技术搭建实验平台的优势如下。
1)在SDN虚拟网络中,虚拟机的增加、删除、迁移等都不依赖于物理设备,更不需要对物理网络做任何修改,所有的网络设备创建、改动等操作都由软件来定义。
2)可模拟真实的网络环境搭建虚拟网络拓扑,实现网络安全防御功能,比如负载均衡、防火墙、VPN等。
3)支持用户自定义虚拟网络,网络规则和控制策略。因此,利用SDN虚拟化技术搭建网络安全实验平台,具有良好的可扩展性、实现真实网络环境和深度可编程性等优点,完全能够满足网络安全实验需求[13-15]。 1.4实验平台特点
1)真实性。实验平台由软件定义的虚拟网络构建,能够反映网络实际运行状况,营造真实的网络环境,实验中的代码几乎可以无缝迁移到真实的硬件环境中。
2)可编程性。实验平台采用SDN网络虚拟化技术,可以保障实验平台的可编程性。在结构上,支持用户根据实验虚求自定义网络拓扑结构;在应用上,支持用户自定义各种网络安全配置。
3)隔离性。实验平台在OpenStack中运行,支持不同实验共享虚拟网络资源,支持多个实验并行开展,保证不同实验流量的互不影响和有效隔离。
4)可扩展性。实验平台采用抽象分层的模式,提供标准化的管理接口,方便软硬件的移植和扩展。
2实验流程
用户(学生或教师)在实验平台中进行网络安全实验之前,需要注册并通过平台管理员审核。审核通过后,用户提交资源使用申请,管理员按照实验项目进行资源分配。项目申请通过后,用户在实验网络中进行创建镜像、设计协议、配置虚拟节点等操作,完成后即可进行实验。实验流程如图3所示。
图3实验流程
3网络安全实验教学
实验平台已在黑龙江科技大学网络安全实验教学中得到具体应用,下面仅以防火墙配置实验项目中一个任务作为实例演示。本实验任务要求学生通过linux下的iptables工具配置流表规则,完成在pc1中配置禁止SSH数据包的过滤服务。通过本实验,了解控制器与防火墙之间的消息交换流程,理解基于OpenFlow防火墙的工作原理。在实验中,学生可在实验场景拓扑结构中,选择pc1作为OpenFlow控制器,pc2作为用户主机A,pc4作为用户主机B,s1作为OpenFlow交换机,该实验的网络拓扑图如图4所示。学生在实验网络中利用OpenFlow协议中的流表项构建ACL,实现防火墙功能,并使用Wireshark网络封包分析软件抓取数据包。
图4防火墙实验虚拟网络拓扑图
3.1实验原理
主机A和主机B之间经过OpenFlow交换机进行通信,主机A向交换机发出访问主机B的请求,如果该请求在交换机中无匹配的转发规则,则转发该请求数据包的副本到OpenFlow控制器,控制器的防火墙应用模块进行访问策略检查,并且将响应结果返回给交换机,如果交换机收到规则“来自主机A的数据包可以被发送给主机B”,则交换机响应主机A的请求,数据从主机A转发到交换机,再从交换机转发到主机B。在使用SDN虚拟化技术构建的虚拟实验网络中,防火墙以反应模式进行工作,控制部分作为一个程序应用转移到控制器中,转发部分则驻留在交换机中。
3.2实验操作
实验要求防火墙实现禁止SSH数据包的过滤服务,SSH 是建立在应用层和传输层基础上的安全协议,使用TCP协议,默认监听端口为22。因此,本实验需要关闭所有TCP端口22的访问,流表项形式的防火墙ACL如图5所示。
1)清除原有规则。iptables-F 清除预设表filter中的所有规则链的规则;iptables-X 清除预设表filter中使用者自定链中的规则。
2)关闭ssh服务,默认端口号为22:iptables-A INPUT-p tcp-dport 22-j DROP;iptables-A OUTPUT-p tcp-sport 22-j DROP。
至此,通过防火墙实验项目中一个简单任务案例,详细的介绍了基于OpenStack的网络安全实验的过程,验证了使用OpenStack平台搭建虚拟网络实验环境,进行网络安全实验教学的可行性。
4结束语
课题组分析了常用的网络安全实验环境构建方案的不足,提出了基于OpenStack的网络安全实验教学平台设计方案。该平台采用抽象分层模式,通过整合网络安全实验项目设计网络拓扑结构,在OpenStack中采用SDN网络虚拟化技术创建虚拟网络,搭建出具有真实性、可编程性、隔离性和可扩展性的网络安全实验平台。通过在黑龙江科技大学网络安全实验教学中的应用,发现该平台完全能够满足网络安全课程实验环境需求,并且可以推广到其它网络相关课程的实验教学中。
目前,基于OpenStack的网络安全实验平台仅提供实验应用,未来进一步的开发工作将集中在如下2个方面:(1)提供更高性能的实验环境构建,即支持大规模网络拓扑的快速和自动化部署;(2)提供实时监测功能,对实验中的关键节点进行实时数据、流量和状态监测。今后将扩大该平台的应用部署范围,加强实践应用和改进,使该平台成为具有广泛认同度的网络安全实验平台。
参考文献
[1]