引言

目前，计算机网络已广泛应用于各个领域，网络给人们带来了极大的便利，但网络安全问题也越来越突出，网络安全问题受到世界各国的高度重视[1]。在中国，2015年设立了网络空间安全一级学科，2016年通过了《中华人民共和国网络安全法》，体现了国家对网络安全的重视。中国还成立了中央网络安全与信息化领导小组，全力打造网络安全强国。因此，培养高素质的网络安全人才，必须引起高校相关专业的重视。在网络安全课程实验中，行业热点更新快，实验内容相对滞后。同时，实验对网络安全设备要求多，资金投入大，攻防实验、病毒实验对设备、操作系统和网络软件环境具有破坏性，维护恢复实验环境工作量大，给管理带来不便[2]。因此，目前大多数网络安全实验只进行示范实验和简单验证实验，不能进行综合设计实验。随着虚拟化技术和云计算的发展和应用，研究发现，在网络安全实验环境建设中，利用虚拟化技术解决现有问题[3]。通过建立硬件资源池，学生可以在虚拟机上进行实验，实现各种操作系统环境，不仅可以尽可能利用硬件资源，减少投资，而且管理方便，易于维护和升级。

1现状及问题

与最早的主机相比+网络安全设备模式，目前，网络安全实验室使用了一些虚拟仿真软件，做了一定的优化，主要有两种组织方式，一种是单机虚拟PC+网络安全设备。利用vmware，用户可以创建多个虚拟PC，模拟出windows\linux多系统环境，无需系统重启切换，可进一步减少投资，解决计算机设置数量问题和软件环境维护问题[4]，但由于虚拟PC与真实环境中的设备通信存在问题，故障率高，而且网络安全设备的投入还是很大的，升级慢。另一种是单机+模拟安全设备，使用packettracer，GNS3等模拟器模拟一些防火墙[5]、路由器等设备。然而，由于这些软件主要用于拓扑、路由管理和维护网络实验，模拟网络安全设备运行不稳定，功能少，实验类型非常有限，只能进行简单的访问控制和其他实验。而且不能模拟服务器，linux多系统环境，实验限制较大。由于上述实验条件的限制，网络安全教学普遍强调理论，而不是实验，这与课程的特点不一致。理论知识过于枯燥抽象，导致学生对学习不感兴趣。然而，网络安全设备更新快，价格昂贵，实验环境投资大，维护困难，导致设备设备数量不足，同一设备大量购买，资金投资大，场地占用大。综上所述，目前网络安全实验存在的问题有：实验对网络安全设备的要求较多，资金投入较大，实验过程破坏设备、实验操作系统和网络软件环境，维护和恢复实验环境工作量大，给管理带来不便。目前，一些研究人员提出利用云计算虚拟机技术来解决这些问题，取得更好的效果[6]。

2实验平台设计与实施

2.1平台设计原理

虚拟化技术是一种资源管理技术，对物理硬件资源（服务器、存储、网络等）进行抽象、重组，形成相同的资源池。在此基础上，虚拟化了多个逻辑独立的设备。多台虚拟机可以在物理机器上运行，互不影响，大大提高了资源利用率，降低了维护成本。虚拟化技术的运行原理如图1所示。图1虚拟化技术图利用这一特性，实验平台可以在物理资源池的基础上虚拟化各种操作系统：windows，linux，以及网络设备和网络安全设备，因此虚拟化技术在网络安全实验平台上的应用可以更好地解决现有的问题。目前主流有KVM，Xen通过比较等虚拟化技术，Xen它具有开源免费、性能高的优点，因此本文选择了Xen虚拟化技术。

2.2设计思路

利用成熟的虚拟化技术，构建虚拟化网络安全实验平台该平台具有可扩展性。首先，它是硬件资源的可扩展性。根据实验需要，可以调整/扩展资源池。资源池中有许多虚拟安全组件，如虚拟防御⽕火墙，虚拟WAF，虚拟⽹页面防篡改等。，这些安全设备是可扩展的；二是实验内容的可扩展性，可根据教学需要进行调整，增加实验资源包。最后，该平台应具有远程实验功能，不受时间和空间的限制；还应具有实验管理功能，管理用户、资源、实验过程等。

2.3平台实施

根据虚拟化技术原理，平台结构如图2所示。用户层主要提供标准web访问、页面显示和访问入口。业务层主要是功能实现、数据处理和数据操作接口。基础服务层为业务层提供服务和接口，包括虚拟/实际设备管理、拓扑设计和管理以及公共服务。虚拟化层通过虚拟化技术生成虚拟机，提供基本的虚拟化功能。硬件资源层为平台提供运行所需的硬件环境。平台集成了网络安全、信息系统安全、云计算、密码学、安全运输、语言开发、移动安全理论等8个培训模块。培训课程资源、实验项目包括恶意代码检测、安全漏洞挖掘、逆向工程、密码学、操作系统安全、web安全研发、安全研发、数据库安全……平台管理功能主要分为门户管理、后台管理、资源管理三部分，如图3所示。

3实验设计与效果

部署网络安全实验平台后，很好地解决了设备的数量、类型和环境约束，以防火墙QoS以流量控制实验为例，实验设计如下：QoS流量监督是控制流量，通过监督进入网络端口的流量速率，处理超出部分的流量（可丢弃或延迟），使进入端口的流量限制在合理范围内，解决网络拥堵问题。实验环境设计：虚拟防火墙、虚拟防火墙、虚拟防火墙windows一台靶机(模拟内网主机)Linux靶机(模拟外网主机)。实验过程：进入管理中心，分别启动虚拟防火墙、虚拟防火墙windows靶机，虚拟Linux靶机。设置IP地址，使网络环境符合实验要求。windows靶机IP和防火墙的eth1处于内网段192.168.100.0，防火墙的eth2和Linux靶机IP处于外网172.22.10.0。实验拓扑结构如图4所示。进入windows虚拟机，选择目标设备linux，通过win-dows向linux在这里发送数据linux连接虚拟防火墙的eth2口。在防火墙上设置下行带宽和上行带宽，增加服务质量规则，选择好源主机(表示要启动操作)IP地址或网段，这里是地址或网段，这里是windows主机)和目的网络IP(表示与源主机通信的目的网络，这里是与源主机通信的目的网络linux主机)，选择本服务所使用的协议和端口。实验验证：在规则生效前后，复制远程文件，比较传输速度的差异，验证流量控制效果。本实验涉及两种操作系统环境、内外网络和防火墙，难以满足传统实验室环境。利用这个平台可以满足需求，每个人都可以单独进行实验，提高学生的热情和实践能力。此外，学生还可以通过远程登录进行实验，满足部分学生的自学需求。目前，学校利用该平台对学生进行网络安全技能培训，在信息安全竞赛、网络安全竞赛中，CTF在比赛中多次获奖。

4结束语

本文分析了传统网络安全课程实验环境的不足，设计了基于虚拟化技术的网络安全实验平台。该平台能更好地满足网络安全实验对设备环境的特殊要求，减少资金投入，突破实验时间和空间限制。该平台还支持硬件平台和实验内容资源的升级和扩展。在实际应用中，证明使用该平台可以激发学生学习网络安全的积极性，提高学生的实践能力。同时，作为信息安全学科竞赛的培训平台，取得了良好的效果。