虚拟化云网络安全论文

【摘要】随着云计算技术的不断发展和完善，虚拟云桌面的优势日益显现，基于虚拟云桌面构建大型网络的趋势已见端倪，但虚拟云桌面在高校财务网络建设中的应用鲜有分析和研究。文章在简要介绍虚拟云桌面的基础上，以某高校为例对虚拟云桌面构建财务专网的应用实践作了介绍和分析，并对其优势进行了总结，以期能够对其他高校建设财务专网有所帮助。今天小编给大家找来了《虚拟化云网络安全论文(精选3篇)》相关资料，欢迎阅读！

虚拟化云网络安全论文 篇1：

等保2.0下高校虚拟化平台安全探索

摘要：虚拟化系统的高可靠性、可扩展性、易于管理等优点使得虚拟化系统在高校得到了广泛的推广使用。文章基于网络安全等级保护2.0的基本要求，确定了虚拟化平台的安全责任边界、分析了虚拟化平台的安全风险。针对虚拟化平台面临的安全威胁和安全需求，参考国家安全等级保护建设和测评的标准和规范，基于等级保护“一个中心，三重防护”的纵深防护思想，文章从虚拟化平台的区域边界、计算环境以及安全管理中心三个方面来介绍如何通过虚拟化等级保护来加强虚拟化平台的安全。

关键词：虚拟化平台;高校;等级保护

1概述

2016年11月7号，十二届全国人大常委会第24次会议通过了《中华人民共和国网络安全法》，该法是网络领域的基础性法律，于2017年6月1日起开始实施。《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。高校作为培养人才的重要基地，需要严格遵守网络安全法，实施网络安全等级保护制度。2019年，网络安全等级保护系列标准正式发布，网络安全等级保护从此由1.0时代迈入2.0时代。网络安全等级保护制度在2.0时代，将云计算、物联网、移动互联、工业控制信息系统和大数据等新应用、新技术纳入等级保护扩展要求。

虚拟化技术是云计算中的核心技术，虚拟化包括了三层含义：虚拟化的对象是各种各样的资源;经过虚拟化后的逻辑资源对用户隐藏了不必要的细节;用户可以在虚拟化环境中实现其在真实环境中的部分或者全部功能嘲。虚拟化平台是利用虚拟化技术，将各类硬件资源虚拟化成统一的资源池，简化了资源配置和管理，具有高可靠性、高弹性的同时提高了硬件的利用率。在现实的生产应用中，由于云平台软件的厚重，消耗资源大、价格昂贵等现实原因，云平台软件主要运用于各个大型企事业单位和运营商中，中小型企业和高校由于业务需求和经济原因并没有真正实现云的概念，大部分只是在虚拟化的层面上，因此从某种意义上说，虚拟化平台的应用更具有广泛性。

在网络安全等级保护标准中，云计算是指通过网络访问或可扩展的、灵活的物理或虚拟共享的资源池，同时这种资源池需要具有自助获取和管理的模式。虽然虚拟化平台不具有云计算所要求的自助获取的模式，但是虚拟化平台也是个资源池，是可以参照云计算的要求来做安全等保。

2确定安全责任边界

区别于传统的信息系统，虚拟化保护环境是虚拟化平台以及虚拟化平台上部署的各类软件以及各相关组件的集合。虚拟化保护环境依据管理权限划分为不同的管理范围，管理员对各自的管理范围的安全负责。其中，虚拟化平台等级保护的定级、备案、等级测评、安全整改等具體实施由虚拟化平台的管理者负责;各虚拟化用户对其申请的虚拟资源上的系统负责，该系统的定级和等级保护开展工作由虚拟化用户负责。虚拟化平台上可以有多个不同等级的虚拟化用户信息系统，这些虚拟化用户信息系统的安全保护的等级不能高于平台的安全等级应。

在各高校中，一般是由信息中心作为虚拟化平台的管理者，由信息中心根据平台的用途和重要性确定平台的保护等级，并根据平台的保护等级的要求实施安全等保。在高校中，虚拟化用户通常是指高校内的各个业务单位，各业务单位在保障业务工作的同时，也需要保障相应系统的安全。

虚拟化环境中可能具有多种虚拟化服务模式，根据服务模式的不同，虚拟化平台的管理者和虚拟化用户的安全责任边界是不同的。虚拟化服务模式可分为基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS。在不同的服务模式下，虚拟化用户的安全责任边界是不同的。对于IaaS的基础设施服务模式，虚拟化用户的职责范围包括虚拟机操作系统和操作系统上的所有应用以及数据库和中间件;对于PaaS平台即是服务模式，虚拟化用户的责任对象为软件开发平台中间件、应用和数据;对于SaaS软件即服务模式，虚拟化用户的职责范围主要为用户访问和用户账号安全。除去虚拟化用户的安全责任范围，平台剩下的安全责任都由平台管理员的承担。

3虚拟化平台的安全风险

虚拟化平台具有高可用、可扩展、支持多种操作系统持续运行、空间和资源消耗小等多种优点，但是在引入优势的同时，也带来了许多新的安全风险。

1）虚拟流量交换的安全风险，虚拟化流量分为两种[3]，一种是南北向流量，一种是东西向流量。南北向流量是指虚拟化平台与外部的流量，针对这种流量的安全可以采用常见的外部防护墙等防护手段，防护来自虚拟化平台之外的攻击和破坏。东西向流量指的是虚拟化平台上各个虚拟机之间的流量。在虚拟环境中，虚拟机与虚拟机之间是通过虚拟交换机进行通信的，传统的防火墙以及IPS等安全设备是无法感知到这种通信流量的。这种情况下，如果一台虚拟机感染病毒，这台感染病毒的虚拟机会对平台上的其他虚拟机发起攻击，引起虚拟机和平台的多种安全风险。为了应对这种攻击，我们需要对这种东西向的流量进行监控，并且设置各个虚拟机之间的安全策略来降低这种安全风险。

2）虚拟化引入的安全风险。虚拟化平台中，宿主机操作系统，虚拟化平台软件等都可能存在安全漏洞，利用这些安全漏洞，攻击者可以对虚拟化宿主机或者虚拟化平台进行攻击，进而对平台上的虚拟机进行任意的配置破坏，造成虚拟机系统的不可用或者虚拟机上的数据泄露。这种风险需要及时对虚拟化系统进行系统升级，同时采用访问控制的策略管理虚拟化软件层的访问权限，将系统设置为只针对个别IP开放需要的端口。

3）资源分配风险。处于虚拟资源池中的多个虚拟机共享同一套硬件资源，可能会出现恶意抢占网络、存储、计算等资源的情况，不仅影响了平台资源的可用性，还影响了整个平台的性能，导致平台资源耗尽，影响其他关键业务系统的正常运行，造成安全风险。并且由于多个虚拟机共享资源，各个虚拟机在共享资源的同时，可能会造成数据泄露。目前主流的虚拟化系统都已经具备主机监控的功能，当主机或者虚拟机的资源消耗超过一定的阈值时，系统会报警。

4）虚拟化环境下的动态负载，虚拟机的动态漂移技术，保证了虚拟机上业务系统的持续性，但是也给虚拟化安全带来了新的挑战。为了保障各虚拟机的安全策略实施有效，这就需要安全策略、安全防护措施能够随着虚拟机进行漂移。

5）平台层面对数据安全造成的风险。首先终端用户把数据通过虚拟化存储交付给虚拟化平台后，从某种意义上说，数据的访问权限已经开放给了虚拟化平台的管理员，如何从平台管理员的角度保障数据的保密性是第一个挑战。其次，在虚拟化环境下，数据存储是通过碎片化的方式，这种碎片化存储方式给数据的可恢复性带来挑战。同时因为数据是碎片化存放的，无法在存储层面上做隔离，如何保障这些碎片化的数据不被平台上的其他系统访问到这也是个很大的挑战。

4等保2.0下虚拟化平台的安全防护

虚拟化平台是由大量的物理服务器和存储资源组成的共享的IT资源池。虚拟化技术在资源动态分配和保障业务连续性等方面具有显著的优势。为了保证虚拟化平台的安全，提高虚拟化平台的整体防护能力，我们需要对虚拟化平台进行等保安全测评。虚拟化平台的等保安全测评是衡量虚拟化平台安全的重要手段，通过虚拟化平台的安全等保测评工作可以指导虚拟化平台的安全建设，维护虚拟化平台的安全性。

针对虚拟化平台面临的安全威胁和安全需求，基于等级保护“一个中心，三重防护”的纵深防护思想，从通信网络到区域边界再到计算环境进行重重防护，其中安全管理中心对平台的系统管理、安全管理和安全审计进行集中管控。

4.1虚拟化的安全计算环境

用户通过安全的通信网络以网络直接访问、API接口访问和Web服务器等方式安全的访问虚拟化平台提供的计算机安全环境。安全计算环境包括基础设施层安全和服务器层安全。其中，基础设施层分为硬件设施和虚拟设施。硬件设施的安全设计主要涉及物理主机、光纤交换机、存储设备等物理实体的安全。虚拟设施的安全主要涉及服务器虚拟化软件、存储虚拟化软件、网络虚拟化软件、虚拟化平台管理软件等，其中，镜像和快照也属于虚拟设施层。服务层是虚拟化平台提供给用户的虚拟资源的实现，根据服务模式的不同，虚拟化平台提供者和用户承担的安全责任不同。服务层安全首先需要明确虚拟化平台管理者的责任安全范围，根据安全责任范围和安全等级要求得出安全设计技术要求。

4.2虚拟化的安全区域边界

在安全区域边界方面，除了传统的物理区域的边界安全，还增加了由于虚拟引入的边界问题。首先将整个平台分为管理区域和业务区域。管理区域与业务区域网络进行隔离设计，其中运维平台、安全管理平台、虚拟化管理平台仅允许管理区域内的管理终端访问，避免远程管理引入的系统风险。

在业务区域中，需要在虚拟化系统规划时，就在计算、存储和网络三个层面对平台上将要运行的虚拟机、数据库和中间件等资源按业务的重要程度进行物理模块的隔离划分。具体的划分和隔离方法如下：

数据库层面上，按业务逻辑将数据库分为核心数据库和交互数据库。数据库需要专门建立一个单独的计算池，该计算池配置2个以上的高性能计算节点均衡计算负载，在存储上单独创建2个数据卷分别用来存核心数据库和交互数据库，核心的数据库存放业务系统使用的核心数据，仅限相关的业务的访问，拒绝其他访问，配置策略要严格很多。交互数据库用于存放应用系统之间的交换数据，配置的安全访问策略较为宽松，用于过滤应用层带来的安全问题，实现核心数据库和应用之间的逻辑隔离。网络层面上划分两个子网，核心数据库子网网段和交互数据库子网网段，实现网络层面的安全隔离。

中间件部分，根据业务量的大小，创建一个单独的计算池，该计算池可以由2个以上高性能节点和一个单独的数据卷构成;

在虚拟机层面上，对虚拟机按照业务的重要的程度再次进行划分，分为非常重要的虚拟机，重要的虚拟机和一般虚拟机以及临时虚拟机四个等级的虚拟机，将这四个等级的虚拟机放在一个计算池中，并且将这四个等级的虚拟机分别存储在不同的数据卷上。网络层面上，对应于四种等级的虚拟机，可以划分四个不同的子网，并且这四个子网分隔较远，方便后期对流量的监控和分析。

4.3虚拟化安全管理中心

虚拟化环境的系统管理、安全管理和安全审计由安全管理中心统一集中管控。安全管理中心可以是一个机构，也可以是个平台，安全管理中心对系统管理、安全管理和审计管理负责。由于虚拟化系统复杂，需要管理的內容比较多，在等保2.0中，需要将这些管理接口单独划分到一个区域中，与生产网分离，实现独立且集中的管理。在安全管理方面，安全管理中心制定平台安全管理规范和管理员安全操作守则。为了保障系统管理的安全性，系统管理员需要依据操作手册对平台系统进行维护，并且需要详细记录操作日志。在用户权限方面，严格遵循最低权限原则，管理人员的权限需要与其工作职责范围匹配，禁止共享账号，当管理员发生人员变动时，即刻更新管理员账号和密码，将旧的管理员账号进行删除。同样，安全设备和安全组件的管理接口也需要设置独立的网段进行集中管理，并且平台上所有的数据库、中间件、虚拟机的安全策略配置和漏洞管理可以集中配置和管理。在安全审计方面，平台上的所有的登陆除了需要通过身份认证外，还需要通过堡垒机等，实现系统登录的多重防护。平台上数据库、中间件和虚拟机的日志需要定期发到审计服务器上，该日志审计服务器需要保存平台上各个数据库、中间件和虚拟机的6个月全流量操作日志，并且该日志有备份。

5结束语

高校信息化建设需要将网络信息安全放在首位，《中华人民共和国网络安全法》的发布将网络安全等级保护上升到了法律层面。通过网络安全等级保护建设可以加强高校的网络安全防护体系的建设。本文以高校虚拟化平台为例，确定了虚拟化平台系统的安全责任边界、分析了虚拟化系统的安全风险。针对虚拟化平台面临的安全威胁和安全需求，参考国家安全等级保护建设和测评的标准和规范，基于等级保护“一个中心，三重防护”的纵深防护思想，分别从虚拟化系统的区域边界、计算环境以及安全管理中心三个方面来介绍如何通过虚拟化等级保护来加强虚拟化平台的安全。

作者：户利利

虚拟化云网络安全论文 篇2：

基于虚拟云桌面构建高校财务网络的探讨

【摘 要】 随着云计算技术的不断发展和完善，虚拟云桌面的优势日益显现，基于虚拟云桌面构建大型网络的趋势已见端倪，但虚拟云桌面在高校财务网络建设中的应用鲜有分析和研究。文章在简要介绍虚拟云桌面的基础上，以某高校为例对虚拟云桌面构建财务专网的应用实践作了介绍和分析，并对其优势进行了总结，以期能够对其他高校建设财务专网有所帮助。

【关键词】 虚拟化； 云桌面； 高校财务； 信息化

一、引言

随着高校精细化管理的不断推进和高校师生对财务信息需求的日益增强，高校财务信息化建设越来越受到重视。高效、安全的财务网络是高校财务信息化建设的基础和保障，过去大部分高校基于成本效益的考量，财务网络建设方面的投入严重不足，财务网络建设比较落后。有些高校的财务系统仍在完全封闭的局域网内运行，数据不能及时传输，也难以共享，师生的信息需求得不到满足。有些高校配备专门的数据服务器、Web服务器和防火墙，建立专门的财务局域网，终端配置双主机，校外通过VPN访问，但由于网络及其安全设备的落后和计算机专业人才的缺乏，财务部门日常管理仍经常面临跨校区办公、服务器故障、电脑故障、网络故障、电脑病毒、黑客攻击和软硬件升级等问题的困扰。本文立足于学校服务器和网络资源，探讨采用虚拟云桌面技术，以低成本方式构建高效、安全的财务网络。

二、虚拟云桌面的定义

虚拟化（Virtualization）是一种资源管理技术，是将计算机的各种实体资源，如服务器、内存及存储等，予以抽象、转换后呈现出来，打破实体结构不可分割的障碍，使这些资源能够得到更好的应用[ 1 ]。虚拟化技术最早可追溯至20世纪60年代的IBM大型机系统中，其在20世纪70年代的System370系列中逐渐流行起来。今天，虚拟化已逐步从服务器的虚拟化发展到了桌面的虚拟化和应用的虚拟化。

虚拟云桌面通常又称为云桌面、虚拟化桌面和桌面云。什么是虚拟云桌面？简单来讲就是将桌面或者客户端操作系统与原来的物理硬件进行分离，实现更灵活的使用[ 2 ]。使用虚拟云桌面，可以借助电脑、手机等终端设备，在任何地点和任何时间通过网络访问属于个人的桌面系统，并打开各种软件进行办公，完成工作后，又可以切换到终端设备自带的系统桌面，两个桌面完全独立，相互之间没有任何影响。

三、虚拟云桌面的优势

白伟（2013）认为虚拟云桌面具有以下优势：简化日常管理与维护工作，降低管理与维护成本；安全性更高；更易对桌面及数据进行备份与容灾；提高资源利用率等[ 3 ]。李洪南（2013）认为虚拟云桌面的优势有：硬件投入成本更低；程序有专人统一管理与维护，能有效控制风险，维护时间也大大减少；数据在后台统一备份，安全性高；新人入职和老人离职不用重新装机，可通过克隆模式，快速完成部署；兼容性大幅提高；耗电量大大降低。鄢涛（2013）认为虚拟云桌面与传统PC桌面对比具有以下优势：可管理性强，终端用户可以使用所有的资源；对本地硬件要求较低；数据不在网络中流动，没有被截获的危险，传输的屏幕信息经过高位加密，安全性更高；没有软驱和光驱，能有效防止病毒从内部对系统的侵害；终端设备升级压力小等[ 4 ]。何海银（2015）归纳整理后认为虚拟云桌面与传统PC桌面比较有很多优势，如：资源利用率提升10倍；设备更换频率下降70%；维护效率提升9倍；数据安全保障系数更高；账号登录，有利于移动办公；耗电量大幅降低。

四、虚拟云桌面在高校财务网络中的应用

（一）财务网络的构建

高校的财务管理系统对于网络和数据安全的要求越来越高，如何充分利用学校服务器和网络等资源，以较低成本的方式建立高效、安全的财务专网，是高校财务管理面临的一大难题。随着虚拟化、云计算技术的发展，云桌面系统的应用越来越广泛，笔者所在单位将云桌面和财务系统结合构建了基于云桌面和虚拟化的高校财务系统架构，具体架构图和示意图如图1、图2、图3。

（二）网络安全的保障

采用虚拟云桌面构建的财务系统，其安全可通过以下方式予以保障：一是采用网段隔离保障网络安全，财务的数据库服务器和财务云桌面分别建立单独的专网；二是使用防火墙保护，在服务器和云桌面前端都部署了分布式防火墙；三是应用域管理方式保障用户安全，只有合法的域用户才能够访问财务云桌面；四是实行三因子认证，每个用户必须要有合法的证书与正确的用户名和密码才能登入财务云桌面，同时财务云桌面上的应用软件都设置了用户名和密码。

（三）应用软件的安装

财务云桌面的应用软件可以统一管理，统一安装。实施时，财务云桌面除安装Office办公软件、常用的输入法、压缩软件外，还需安装财务管理系统、工资管理系统、个人收入管理系统、预算管理系统和收费管理系统等财务软件，无需安装QQ聊天和杀毒软件。国库集中支付系统使用财政专网，其产生的数据存储在上级财政部门，不在学校，其在云桌面上操作速度比传统桌面稍慢一点，因此不建议将其纳入云桌面。税务票据系统由于经常需要异地开票，建议纳入云桌面。为保障数据安全，建议部门决算和部门预算等单机版软件也纳入云桌面，但不建议所有的云桌面都安装。财务云桌面初始化时应先在主桌面上安装相关软件，设置好参数并做好调试工作，然后再克隆到其他桌面。

（四）数据传输的实现

云桌面和本地办公电脑之间如果需要进行数据的传输，必须通过第三方介质进行传输，例如U盘、云存储等。数据传输示意图如图4。

（五）数据备份的设置

财务数据一般要求采用多方式备份：一是在学校数据中心内对财务数据库服务器进行整体备份，同时提供异地备份；二是数据库系统本身需设置对财务数据库进行定时备份；三是数据中心的分布式存储架构本身就保证了财务数据库和云桌面具备多个副本。

五、结语

笔者所在单位，已应用虚拟云桌面构建财务专网，实现了“虚拟化双网”的应用，财务云桌面用户体验与传统桌面基本一致。从财务云桌面的实施来看，其优点有：一是财务云桌面和办公PC是隔离的，双方不干扰，能有效防止病毒对财务系统的侵害，同时能防止办公PC故障和突然断电所引起的数据丢失；二是财务云桌面实行账号登录，移动办公非常方便；三是财务云桌面由学校网络中心集中管理，维护人员专业，维护响应快，效率高；四是可以更好地实现数据权限控制，财务云桌面可以根据工作需要将某个或某几个终端设置为不能导入和导出财务数据；五是财务系统后期如需扩容或办公场所需要调整，网络基础架构无需更改就可以轻松实现。从学校层面来看，实行云桌面后网络与数据的安全得到大大加强，服务器和网络资源的利用率大幅提高，管理与维护工作更为简化，运行与维护成本大大降低。

信息化建设是推进高校财务精细化管理和提升高校财务管理与服务水平的重要手段。当今高校财务管理的各个领域和各个环节基本上都实行了软件管理，各种应用软件还在不断地升级更新，数据库也越来越大，无论从管理、服务和安全角度来看，财务专网的建设越来越重要。综上所述，笔者认为采用虚拟云桌面构建高校财务专网是个很好的选择，也将是大趋势。

【参考文献】

[1] 成静静.基于虚拟化的云桌面技术方案研究与设计[J].广东通信技术，2011（6）：36-39.

[2] 刘永，吴杰，宁玉富，等.高校虚拟化桌面实施研究[J].计算机技术与发展，2016（2）：140-143.

[3] 白伟，李凤英.浅谈桌面虚拟化技术发展与应用现状[J].中小企业管理与科技，2013（12）：280-281.

[4] 鄢涛，李丹.虚拟云桌面技术的研究与实现[J].成都大学学报（自然科学版），2013（2）：145-147.

作者：黄厚生　涂淑娟　王玲

虚拟化云网络安全论文 篇3：

基于OpenStack的网络安全实验平台

[摘要]

为了解决网络安全实验受到硬件条件和虚拟化技术限制的问题，设计实现了基于OpenStack的网络安全实验平台。该平台采用抽象分层模式，通过整合实验项目设计虚拟网络拓扑结构，并在OpenStack中使用SDN网络虚拟化技术搭建。通过教学实践表明，该平台具有真实性、可编程性、隔离性和扩展性等特点，为用户提供了一个良好的网络安全实验教学环境，具有一定的研究和应用价值。

[关键词]OpenStack;虚拟网络;网络安全;实验平台

0引言

网络安全课程是计算机专业的一门专业主干课程。实验教学是本门课程的重要环节，是培养学生实践能力和创新意识的重要手段[1]。目前，各高校的网络安全实验基本采用两种方式来搭建网络攻防环境：（1）基于硬件设备搭建真实网络; （2）基于VMware搭建虚拟网络[2]。网络安全实验涉及到各种网络设备，需要构建特定的、复杂的网络拓扑结构，实验以攻防为主，具有一定的攻击性和破坏性。采用方式一构建真实网络，受到实验室的硬件资源限制，存在成本高、易瘫痪等问题;采用方式二构建虚拟网络，受到虚拟化技术限制，VMware允许用户创建自己的虚拟机，但无法虚拟其它网络设备，存在虚拟网络设备不足、网络环境简单等问题[3-5]。由此可见，采用以上两种方式搭建实验平台，都不能完全满足网络安全实验的需求，实验环境的构建成为阻碍网络安全教学的一大因素，搭建新型网络安全实验平台具有重要意义。

为了解决网络安全实验需求与网络环境限制这一矛盾，黑龙江科技大学展开相关研究，搭建了基于OpenStack的网络安全实验平台。该平台提供了真实的、隔离的、可扩展的、可编程的实验环境，并实现虚拟资源的统一管理。该平台已在黑龙江科技大学投入使用，并应用于网络安全课程教学中，支持网络安全创新实验。

1基于OpenStack的网络安全实验平台

设计与搭建

实验平台采用抽象分层模式，根据网络安全实验项目，设计一个可满足实验需求的网络拓扑结构，使用SDN网络虚拟化技术在OpenStack中完成实验平台搭建。

1.1实验平台结构设计

实验平台按照资源、管控和应用三个方面进行抽象，自下而上进行分层的结构设计，将复杂的平台设计简单化。采用抽象分层的设计模式，逻辑上进行集中管理和控制，可使实验用户从复杂的实验环境配置中分离出来，实现个性化定制实验网络拓扑结构[6-8]。

实验平台抽象为3层结构：面向底层虚拟化的硬件资源管理层，面向OpenStack的网络虚拟化层，以及面向用户的实验应用层。经过抽象分层后，实验平台结构如图1所示。实验用户注册后，申请实验资源，将用户的需求转化为虚拟网络拓扑描述语言，传递给网络虚拟化层。网络虚拟化层根据硬件资源使用情况和用户提出的实验资源申请，生成满足用户需求的虚拟网络，并通过映射来完成对虚拟节点的配置，并反馈给用户，用户即可在平台中进行实验。

1.2实验平台拓扑结构设计

网络安全实验教学内容主要包括攻击和防御两部分，攻击实验项目包括：代理跳板隐藏IP、扫描服务器漏洞、暴力破解工作主机的SAM数据库、远程入侵Web服务器、远程入侵数据库服务器、DDoS攻击等;防御实验项目包括：防火墙配置、DDoS攻击检测、漏洞补丁、数据备份与恢复、数据加密等。

整合攻防实验项目所需的网络环境，设计实验平台中虚拟网络拓扑结构，如图2所示，搭建出一个完整的网络安全实验场景。在实验场景拓扑图中，整个实验网络划分为公司内网和外网，其中公司内网由内网（net1）与非军事化保护区DMZ（net2）组成。net1包含网络管理服务器server1、数据库服务器server2、密钥服务器server3、网络管理员主机pc1和工作人员主机pc2。net2包含Web服务器server4、邮件服务器server5、FTP服务器server6、DNS服务器server7和入侵检测系统IDS。外网中包含攻击者主机pc3和普通用户主机pc4。内网通过交换机S1与F1相连，防火墙F1和F2之间为DMZ区，外网通过路由器R1和防火墙F2相连。

图2实验场景拓扑图

1.3实验平台搭建

在OpenStack中使用SDN网络虚拟化技术，通过Neutron组件来创建和配置虚拟网络，实现网络安全实验平台搭建。

虚拟网络是指采用网络虚拟化技术，在底层物理设施之上，将虚拟节点与虚拟链路进行逻辑连接的虚拟拓扑集合[9-11]。SDN是一种新兴的基于软件的网络架构及技术，SDN的一个重要价值是实现网络虚拟化。

开源云计算管理平台OpenStack工作在SDN应用层。首先，在其网络资源管理组件中增加Neutron组件，然后使用Neutron组件提供的虚拟网络、子网、端口抽象等API，分别创建虚拟网络、路由器、负载均衡等各种网络节点，最后根据实验需求对虚拟节点进行配置和管理，最终完成创建图2所示的虚拟网络拓扑，实现网络安全实验平台的搭建[12]。

在OpenStack中使用SDN虚拟化技术搭建实验平台的优势如下。

1）在SDN虚拟网络中，虚拟机的增加、删除、迁移等都不依赖于物理设备，更不需要对物理网络做任何修改，所有的网络设备创建、改动等操作都由软件来定义。

2）可模拟真实的网络环境搭建虚拟网络拓扑，实现网络安全防御功能，比如负载均衡、防火墙、VPN等。

3）支持用户自定义虚拟网络，网络规则和控制策略。因此，利用SDN虚拟化技术搭建网络安全实验平台，具有良好的可扩展性、实现真实网络环境和深度可编程性等优点，完全能够满足网络安全实验需求[13-15]。

1.4实验平台特点

1）真实性。实验平台由软件定义的虚拟网络构建，能够反映网络实际运行状况，营造真实的网络环境，实验中的代码几乎可以无缝迁移到真实的硬件环境中。

2）可编程性。实验平台采用SDN网络虚拟化技术，可以保障实验平台的可编程性。在结构上，支持用户根据实验虚求自定义网络拓扑结构;在应用上，支持用户自定义各种网络安全配置。

3）隔离性。实验平台在OpenStack中运行，支持不同实验共享虚拟网络资源，支持多个实验并行开展，保证不同实验流量的互不影响和有效隔离。

4）可扩展性。实验平台采用抽象分层的模式，提供标准化的管理接口，方便软硬件的移植和扩展。

2实验流程

用户（学生或教师）在实验平台中进行网络安全实验之前，需要注册并通过平台管理员审核。审核通过后，用户提交资源使用申请，管理员按照实验项目进行资源分配。项目申请通过后，用户在实验网络中进行创建镜像、设计协议、配置虚拟节点等操作，完成后即可进行实验。实验流程如图3所示。

图3实验流程

3网络安全实验教学

实验平台已在黑龙江科技大学网络安全实验教学中得到具体应用，下面仅以防火墙配置实验项目中一个任务作为实例演示。本实验任务要求学生通过linux下的iptables工具配置流表规则，完成在pc1中配置禁止SSH数据包的过滤服务。通过本实验，了解控制器与防火墙之间的消息交换流程，理解基于OpenFlow防火墙的工作原理。在实验中，学生可在实验场景拓扑结构中，选择pc1作为OpenFlow控制器，pc2作为用户主机A，pc4作为用户主机B，s1作为OpenFlow交换机，该实验的网络拓扑图如图4所示。学生在实验网络中利用OpenFlow协议中的流表项构建ACL，实现防火墙功能，并使用Wireshark网络封包分析软件抓取数据包。

图4防火墙实验虚拟网络拓扑图

3.1实验原理

主机A和主机B之间经过OpenFlow交换机进行通信，主机A向交换机发出访问主机B的请求，如果该请求在交换机中无匹配的转发规则，则转发该请求数据包的副本到OpenFlow控制器，控制器的防火墙应用模块进行访问策略检查，并且将响应结果返回给交换机，如果交换机收到规则“来自主机A的数据包可以被发送给主机B”，则交换机响应主机A的请求，数据从主机A转发到交换机，再从交换机转发到主机B。在使用SDN虚拟化技术构建的虚拟实验网络中，防火墙以反应模式进行工作，控制部分作为一个程序应用转移到控制器中，转发部分则驻留在交换机中。

3.2实验操作

实验要求防火墙实现禁止SSH数据包的过滤服务，SSH 是建立在应用层和传输层基础上的安全协议，使用TCP协议，默认监听端口为22。因此，本实验需要关闭所有TCP端口22的访问，流表项形式的防火墙ACL如图5所示。

1）清除原有规则。iptables-F 清除预设表filter中的所有规则链的规则;iptables-X 清除预设表filter中使用者自定链中的规则。

2）关闭ssh服务，默认端口号为22：iptables-A INPUT-p tcp-dport 22-j DROP;iptables-A OUTPUT-p tcp-sport 22-j DROP。

至此，通过防火墙实验项目中一个简单任务案例，详细的介绍了基于OpenStack的网络安全实验的过程，验证了使用OpenStack平台搭建虚拟网络实验环境，进行网络安全实验教学的可行性。

4结束语

课题组分析了常用的网络安全实验环境构建方案的不足，提出了基于OpenStack的网络安全实验教学平台设计方案。该平台采用抽象分层模式，通过整合网络安全实验项目设计网络拓扑结构，在OpenStack中采用SDN网络虚拟化技术创建虚拟网络，搭建出具有真实性、可编程性、隔离性和可扩展性的网络安全实验平台。通过在黑龙江科技大学网络安全实验教学中的应用，发现该平台完全能够满足网络安全课程实验环境需求，并且可以推广到其它网络相关课程的实验教学中。

目前，基于OpenStack的网络安全实验平台仅提供实验应用，未来进一步的开发工作将集中在如下2个方面：（1）提供更高性能的实验环境构建，即支持大规模网络拓扑的快速和自动化部署;（2）提供实时监测功能，对实验中的关键节点进行实时数据、流量和状态监测。今后将扩大该平台的应用部署范围，加强实践应用和改进，使该平台成为具有广泛认同度的网络安全实验平台。

参考文献

[1]  吴迪，薛政，潘嵘.基于XEN云平台的网络安全实验教学[J].实验室研究与探索，2013，32（7）：62-66.

[2] 姚青.网络虚拟化的关键技术研究[D].南京：南京邮电大学，2013.

[3] 史景慧.网络安全虚拟实验系统的设计与实践[D].北京：北京邮电大学，2012.

[4] 王芳，李勇，周烨.基于分层抽象思想的虚拟化网络实验平台设计[J].清华大学学报：自然科学版，2012，52（11）：1535-1539.

[5] 周烨，李勇，王芳.基于OpenFlow的网络实验平台技术[J].清华大学学报：自然科学版，2012，52（11）：1540-1544.

[6] 汪渊，杨槐，朱安国.基于插件的网络攻防训练模拟系统设计与实现[J].计算机技术与发展，2010，20（7）：172-174.

[7] 翟继强，陈宜冬.虚拟网络安全实验平台[J].实验室研究与探索，2009，28（6）：79-82.

[8] 康辰，朱志祥.基于云计算技术的网络攻防实验平台[J].西安邮电大学学报，2013，18（3）：87-91.

[9] N K Chowdhury，R Boutaba.Network virtualization：state of the art and research challenges[J]，JEEE Communieations Magazine. 2009，47（7）：20-26.

[10] Wen H，Tiwary P K，Le-Ngoc T.Network Virtualization Technologies and Techniques[M]. New York：Springer International Publishing，2013：25-40.

[11] Bonner S，Pulley C，Kureshi I，et al. Using OpenStack to improve student experience in an HE environment[C].Science and Information Conference （SAI）. IEEE，2013：888-893.

[12] 龚宇，李帅，李勇.基于云计算的网络创新实验平台[J].计算机工程，2012，38（24）：5-13.

[13] Hua Q. Using virtual machine technology to establish Network Security teaching platform[C].Electronics， Computer and Applications， 2014： 707-709.

[14] Braga R， Mota E， Passito A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C].Local Computer Networks （LCN）， 2010 IEEE 35th Conference， 2010： 408-415.

[15] Corradi A， Fanelli M， Foschini L. VM consolidation：a real case based on openstack cloud[J]. Future Generation Computer Systems， 2014， 32： 118-127.

OpenStack-based experimental platform for network security

LIAN Long-ying，WANG Xi-bin，LIU Wen-qiang，CHEN Rong-li

（School of Computer and Information Engineering，Heilongjiang University of Science

and Technology，Harbin，Heilongjiang150022，China）

Key wordsOpenStack;virtual network;network security;experimental platform

作者：廉龙颖 王希斌 刘文强 陈荣丽