侯海燕　赵鼎　白光安

[摘要]信息安全技能竞赛是全国大学生信息安全综合赛事，是国家工业和信息化部信息安全协调指导的综合网络类竞技比赛。竞赛影响力很大，是各地人力资源和社会保障部门认可的竞技比赛，为信息安全相关企业输送了大量人才。目前高校开设的计算机网络安全类课程偏重理论教学，课程缺乏综合性的实训实践平台支撑，信息安全中常见的攻防实验和渗透实验无法开展。本文研究设计并实现了基于云服务器安装与部署的信息安全攻防实训平台。在云服务器上镜像出特定的网络操作系统，可进行系统防御、系统加固、系统渗透实验。

[关键词]信息安全；云服务器；设计

1背景技术

1.1云计算技术

云计算是一种Ⅱ资源的交付和使用模式，通过网络以按需、易扩展的方式获得所需的硬件、平台、软件及服务等资源。“云”的计算能力通常是由分布式的大规模集群和服务器虚拟化软件搭建。云计算技术具有以下特点：①云计算系统提供的是服务。服务实现机制对用户透明，用户无需了解云计算工作原理，就可获得所需服务。②按需、自动服务。用户可以根据自己的需求，通过网络申请服务、调研。当不需要服务时，服务方可以及时进行资源的回收及重新配置。③快速、弹性。可以动态伸缩，满足应用和用户变化的需求。服务方可以根据访问用户的多少增减资源（包括CPU、存储、宽带和软件应用等），从而可以快速并弹性地为用户提供不同的服务。④虚拟化。云计算技术将硬件设备通过虚拟技术形成资源池，部署在物理服务器中，用户使用云服务时无需了解这些服务具体在哪一台物理设备上。云服务器的存在是为了解决硬件资源利用率低下分配不合理等而产生的，它是以提高物理资源利用率和降低整体拥有成本为目的。此外，还提供了完备的高可用性、动态资源调整、动态资源扩展等高级功能，本项目以云服務器为关键组件。

1.2虚拟化技术

虚拟化技术为云计算服务提供基础架构层面的支撑，是ICT服务快速走向云计算的最主要驱动力。虚拟化是一种在软件中仿真计算机硬件，以虚拟资源为用户提供服务的计算形式。旨在合理调配计算机资源，使其更高效地提供服务。它把应用系统各硬件间的物理划分打破，从而实现架构的动态化，实现物理资源的集中管理和使用。虚拟化的最大好处是增强系统的弹性和灵活性，降低成本、改进服务、提高资源利用效率。

在虚拟化技术领域中，以X86体系结构虚拟化为代表。VMware公司目前在大力发展用于云计算基础架构的虚拟化技术，推出了面向云计算的一系列产品，用于云计算基础架构的部署与配置。采用虚拟化技术可以缓解信息安全面临的难题，主要表现在：①高可用性。在不影响用户的情况下对物理资源进行删除、升级、更改。②高扩展性。虚拟化技术采用动态方式部署，可以根据不同产品对资源的需求支持比物理资源小或大得多的虚拟资源。③高安全性。虚拟化技术可以实现简单的共享机制，这便于实现对数据和服务的控制和安全访问。

2信息安全攻防平台的设计与实现

2.1硬件平台框图设计

该设计可实现在实验室内网环境中利用虚拟机技术进行系统防御、系统加固、系统渗透等实验。创新团队自主设计信息安全实验和实验环境，在实训平台中部署多个实验靶机，供学生端访问而不干扰，保证实验环境安全无破坏。结构框图如图1。

图1是一种基于云服务器的信息安全实验教学平台的网络拓扑图，其包括云服务器或者云服务器群1、防火墙2/3、教师机4、学生机7/8、核心交换机5、模拟外网的路由器6、LAN A、LAN B。LAN A和LAN B学生接入的两个内部网络，连接到LAN A的学生端7可通过核心交换机5访问云服务器或云服务器群1上的虚拟靶机和文件服务器，连接到LAN B的教师端4、连接LAN B的学生端8通过防火墙2/3构建的VPN网络同时访问云服务器端的虚拟靶机和文件服务器。防火墙2和防火墙3通过路由器6模拟的外网相连，可供LANA和LAN B的学生双方进行防火墙安全类实验，包括防火墙基本配置、防火墙高级配置、防火墙VPN隧道配置、防火墙过滤类实验配置。LAN A和LAN B的学生机安装有Windows server 2003、Windows XP、Linux操作系统。可进行本地系统加固、网络嗅探等实验，也可同时进行场外网络攻防对抗类实验。教师端4接人到LAN B中，经由防火墙VPN链路接人到云服务器中，将实验指导书云存储到云服务器中。学生端7/8可经由网络从云服务器中下载实验指导书并上传实验成果至云服务器中，防火墙采用神码FW1800S，核心交换机采用神码交换机$5900。

2.2云服务搭建与部署

该实验教学平台通过网络组网技术将云服务器、防火墙、交换路由设备、学生端和教师端构成一个物理互通网络，其中云服务器底层云服务支持是H3Cloud。H3Cloud云计算解决方案通过标准的IEEE802.10bg（EVB）技术，将网络管理边界延伸至虚拟机和虚拟交换机。在云服务器中创建多种操作系统（Windows XP，Windows server 2003和Linux）做实验操作系统模板，模拟各操作系统可能出现的安全实验环境。①同一操作系统属于同一虚拟网段，每种操作系统又可镜像克隆出多个虚拟主机。②教师端通过管理地址登录到云服务器，为学生端创建登录用户名和实验操作系统模板。③学生端由教师分配的用户名登录云服务器的虚拟靶机中进行安全实验，保证多终端远程登录同一实验环境且互不干扰。④云服务器中还需要安装文件服务器，教师通过云端将实验指导书和实验素材上传云端，供学生端下载和上传。教师可根据特定的实验要求灵活制作特定的操作系统实验镜像文件，在云服务器上克隆出足够的虚拟机做实验靶机，满足学生同时进行同一实验的要求，且对学生端和教师端的安装和配置没有要求。

为了避免用户之间的干扰每个用户必须有独立的接人账号。H3CCloud原来的账号控制，开发了适合我们实际学习环境的账号控制系统，系统由mysql提供后台数据支撑用户密码采用rod5方式加密后存储，一个用户可以有多个角色，每个角色有且只有一个对应环境模板。用户的概念就相当于每个使用者包括老师。学生等等，角色的概念就相当于每一节课的学习内容，老师的账号可以操作学生的账号，包括更改角色。密码、别名等等如图2更改角色。上课前老师批量把学生角色该成对应上课类容的角色，学生上课的时候拿着自己的用户名和密码去登陆账号控制系统，验证通过后我们会直接将页面调到H3Cloud的CIC管理页面，然后学生直接运行老师之前部署好的该节课对应的学习环境，整个过程是透明的，所以不会影响学生的用户体验。等下课后老师统一回收上节课的资源然后重新部署这样对别的班的学生过来上一样的课程则没有任何影响，并且我们的账号控制也是基于B/S架构所以和CIC控制界面的过度非常友好。

3结语

基于云服务器的虚拟靶机构成的信息安全实训平台可以实现一个安全的实验环境，实现本地网络安全实验环境和远程网络对抗安全实验环境。该实训平台还可以实现实验指导书和实验成果的发放和上交，形成一个实时教学实验教学平台。云服务器中可以根据信息安全实验要求灵活制作靶机镜像文件，部署靶机环境，达到统一实验、安全实验的目的。

[责任编辑：杨玉洁]