基于虚拟化实验环境的网络信息安全课程的实践教学改革

朱晓静, 林元乖

(琼州学院 电子信息工程学院,海南 三亚 572022)



基于虚拟化实验环境的网络信息安全课程的实践教学改革

朱晓静, 林元乖

(琼州学院 电子信息工程学院,海南 三亚 572022)

实验教学是计算机类专业教学的一个重要环节,是培养学生实践能力和解决实际问题能力的关键途径.随着高校扩招学生数量的增加,学校的实验设备很难满足学生实验需求.另外,由于网络信息安全实验的复杂性和破坏性均对实验教学环境提出很高的要求,目前学校的实验室已无法满足这类实验的需求.针对高校网络信息安全课程实践环境中存在的问题,提出基于虚拟化技术构建实验环境的解决方法,突破传统实验室的限制,使得学生能够不受时间、空间以及传统的教学模式的限制,通过虚拟化实验环境,满足教师多维互动实践教学,提高学生的实践能力,满足学生实践学习的各种需求,推动网络信息安全技术课程实验的教学,不仅提高学生的实践能力,还节约了设备投入、场地投入、固定实验场所日常维护和管理等办学经费.

虚拟化；实践教学；虚拟实验室；网络信息安全；实验环境

0 引言

随着教育部提出“强化实践教学 提高高校办学质量”,各高校计算机相关专业对课程的实践教学要求也越来越高[1].《网络信息安全技术》是高校计算机专业一门实践性很强的课程,不仅强调对网络信息安全技术原理的掌握,更注重学生网络信息安全实践能力的培养.因此,实验室便成为学生提高实践能力的关键地方,但是在高校的实践教学过程中,实验室的物理环境限制了课程实践活动的开展范围.无论在时间,地点,还是有限的硬件设备上,都没有办法很好地支撑教师和学生实践多维互动的需求及良好实践能力的培养.而要提高实践能力及创建一种多维互动的教学模式,就应该建立一个不受时间,地点限制的实验环境,虚拟化的实验环境就能很好地解决这个问题.

1 实践教学环境限制

网络信息安全课程内容丰富,涉及的知识点较多,知识更新很快,并且各个知识点之间存在着很大关联,对学生的实践动手能力要求很高,有效的实验环境和实验设备,直接影响到网络信息安全实践教学的最终效果[2].

很多高校为了加强实践教学,纷纷建设了计算机网络及网络安全实验室,购置了相应的实验设备,网络信息安全实践教学对实验环境要求具有特殊性和复杂性,但实验室基本上没有办法组建较复杂的网络环境,一般网络拓扑环境大都较简单,而且基本都是固定的,基于这种实验环境的网络，信息安全实验项目大多数都是验证型的.另外,由于实验项目具有破坏性,对于极具破坏性的实验大都由教师演示.还有网络设备数量也有限,无法让每个同学人手一台网络设备和安全设备进行实践操作.而且,实验室仅在实验课的时候开放,平时学生很少接触到网络设备和安全设备,对于学生课外的实践学习造成较大的限制；网络的攻击和防御技术类实验项目都不能根据实际的情况去灵活地部署网络结构.网络线路经常进行变动插拔,线路接口容易出现松动,甚至损坏的问题.学生每次实验都要先花大量的时间来连接线路和检测网络线路故障[3],在时间有限的实践课堂中很难完成较复杂的实验项目.另外,大多数的网络攻击实验都会对网络设备造成或多或少的损害,并且攻击过后的实验设备的维护也很麻烦,所以很多实验室的管理员,限制了网络设备的权限,学生很难进行危害较大的攻击实验.另外,由于多专业多班级教学,教学任务繁忙,造成实验室拥挤,实验硬件资源变得短缺,实验设备类型不完备.网络及网络信息安全实验存在的问题越来越突出,极大的影响了网络信息安全实践教学.

2 虚拟化实验环境构建

利用虚拟化技术构建网络信息安全实验环境,可以很好地解决上面陈述的传统网络及网络信息安全实验室存在的问题.

2.1 虚拟化实验环境的原理

图1 虚拟机系统结构

虚拟化是从逻辑上对资源进行分配和利用的一种方法,它通常采用软硬件分区、合并、整机模拟、分时等方法组合或划分计算机资源,向用户提供一个或多个计算环境的技术[4].虚拟化技术是通过在物理机的系统结构中间增加了一层VMM (虚拟机监视器),由VMM负责计算机的硬件资源如CPU、内存、网络及存储的分配和使用.虚拟化的CPU可以用单个CPU模拟多个CPU的并行,允许一个平台上同时运行多个不同的操作系统,而且这些不同操作系统上的应用程序可以在各自相互独立空间内运行互不影响[5].如图1所示虚拟机系统结构.

通常,可以通过在一台普通的计算机上安装虚拟化软件,仿真出多个独立的计算机及服务器.虚拟软件在计算机的真实CPU和内存基础之上为虚拟机提供虚拟硬件仿真,从操作系统的运行特性来看,虚拟出的硬件和真实的硬件没有本质上的差别.

而对于专业的网络及网络安全设备,无论是思科、华为、或者锐捷的产品,都是根据嵌入式设备的工作原理,把设备分为两个构件,一是专业的高性能的硬件载体,另外一个则是体现各大厂商核心技术的IOS(Internet Operating System)操作系统.它提供配置与实现网络设备各种功能的接口,它是网络设备真正的核心.虚拟实验环境下的高仿真度的设备就是把真实网络安全设备的核心IOS载入到普通PC主机上来完成[3].具体工作原理如下图2网络设备核心IOS到普通计算机所示.把IOS从真实网络或网络安全设备上导出,然后加载到普通的计算机上,使普通的计算机成为IOS的硬件载体,如果忽略硬件方面的性能,单单从实践教学方面而言,运载IOS的普通计算机就成为了一台网络或网络安全设备.通过加载不同网络设备的IOS,从而可以仿真成路由器和交换机,甚至可以仿真成防火墙,IPS等.仿真的这些网络或网络安全设备,只更换了硬件载体而已,所以真实网络设备支持的功能,其都支持,而且灵活性更高.

图2 网络设备核心IOS到普通计算机

要提高学生的实践机会和实践能力,要构建多维互动的教学模式,就需要利用虚拟化技术构建实验环境.虚拟化的实验环境可以超越时间,地方的限制,让学生在课堂和课外,教室和宿舍都可以进行实践学习,为多维互动的教学提供基础[6].虚拟化实验环境不是一个单纯的软件,是由多个使用虚拟化技术的仿真软件构成的集成平台,一般使用这种技术的平台,仿真程度与真实设备基本相同.虚拟实验环境的部署除了必须有高仿真的网络设备或者网络安全以外,还需要有各种不同操作系统的服务器。充分利用具有较好集成能力的网络仿真软件,部署虚拟化的实验环境,可以很好的解决网络环境及信息安全实践教学中的问题,让教师与学生都可以拥有与真实高端网络信息安全设备及真实网络环境一样的实践教学环境,并且具备更强大的灵活性.

2.2 虚拟化实验环境的部署

大多数高校教学中所使用的网络设备模拟器[7],如Packet Tracer、Boson NetSim、Hw-RouteSim等都是比较简单的独立软件,本身并不提供与其它仿真软件的集成,一般无法与真实网络环境连接融合,只是为了让网络设备的学习者或者用户熟悉网络设备的指令配置,而编写的模仿真实设备IOS的应用程序,并没有把真实设备的IOS载入到该主机上.虽然它具备与真实设备一样的IOS配置界面,但是运行态状并不是真实的,不能完整执行IOS中的全部功能与指令.因为在模拟程序的开发过程中已嵌入的IOS指令就可以被执行,如果某些指令没有被事先嵌入,就不能执行[3].便无法很好地部署较复杂真实的网络信息安全实践教学环境.

而虚拟化实验环境就是主要采用基于硬件抽象层技术的VMware虚拟机技术和具有图形化界面可以运行在多平台的网络虚拟软件GNS3,以及从专业的网络及网络安全设备中分离出来的IOS操作系统.利用虚拟化软件相互结合,以及和真实网络环境相互结合,可以在任何地点,任意一台普通的计算机上构建出具备真实网络及网络安全设备功能的网络实验环境.

VMware是一种基于硬件抽象层技术的虚拟机软件,能100%仿真出多个独立的计算机系统,并能仿真出多个网络.GNS3是思科的一款优秀的具有图形化界面可以运行在多平台的网络虚拟软件.可以高仿真网络的路由器、二层交换机、三层交换机、思科的IPX及ASA防火墙、思科的入侵检测设备等,并且可以和VMware系统配合使用,并提供了相应的桥接功能,可以把真实的网络系统成功的加载到一台计算机上,为网络信息安全实践教学提供较好的实践环境.

在这种虚拟化的实验环境下,可以完成计算机网络及信息安全的所有教学实验,没有设备限制,环境限制,可以保证每个学生都能建立一个良好的网络信息安全实验环境.一般的网络设备的配置、基于不同操作系统服务器的配置、病毒分析、入侵检测、入侵防御、攻防演示、数据加密、IPv6部署与研究等实验都可以完成.

3 网络信息安全实验设计

在虚拟化实验环境中,网络拓扑可随任课教师和学生根据课程与实验需求灵活的部署.在真实设备上能做的实验,在虚拟化实验环境中也能完成,由于其整个部署过程可以被实施到一台物理计算机上,所以当面对网络环境中的多台计算机或者设备执行配置时,可以集中演示出完整的过程.对于网络信息安全中具有破坏性的实验项目如病毒分析、木马分析等,将被限制到虚拟实验设备中,不至于对真实的网络及网络设备造成损害,更不至于殃及整个校园网.

防火墙技术和入侵检测技术(IDS)是网络安全中最重要的技术,但是真实的网络实验室中硬件防火墙和IDS的数量一般仅有几台,大多数情况下都是教师演示或者一个小组一台,同学们大都很少亲自进行配置操作,而在虚拟化实验环境中,每个同学都可以拥有一台真正的防火墙和IDS,从设备启动到命令配置都和真实的防火墙设备一模一样.实验中的拓扑结构,可以根据自己需要的实验内容和实验目的来定.实验环境可以采用思科的模拟软件GNS3,虚拟机软件VMware,路由器的IOS可以使用c3600系列和 c7200系列,由于c3600系列的路由器具有16个交换口模块,所以可以当交换机来使用.终端主机可以使用虚拟机VMware,具体的操作系统可以根据自己的实验要求,在虚拟机VMware中安装Windows XP、Windows 7、Windows Server 2008及Linux等操作系统.在加载IPS的IOS及防火墙系列PIX及ASA.

IPS的相关实践项目实例：三台Cisco c3640 路由器 添加一个NM-16ESW模块,来模拟交换机；IPS采用的Cisco IDS-4215；管理主机IDM使用真实主机,而攻击主机和受害主机采用VMware 虚拟机完成.在GNS中的网络拓扑图如图3所示.

PIX的相关实践项目实例：三台Cisco c3640 路由器 添加一个NM-16ESW模块,来模拟交换机；PIX采用的Cisco PIX 525；分为DMZ、内网和外网,分别采用VMware 虚拟机完成.在GNS中的网络拓扑图如图4所示.可以完成关于防火墙的实验,还可以完成NAT,增加防火墙也可完成VPN实验.

4 结论

虚拟实验技术是通过网络虚拟软件GNS3和VMware集成其他设备来模拟实验的,实验内容不受实验室网络设备和实验时间的限制[8],可以很方便地增加和扩展实验内容.虚拟实验室除了能进行课程要求的实验外,还可根据实际情况确定课外学习内容和完成学生不同的实践教学内容,从而可以最大限度地满足学生的不同需要,整个实践教学的过程均可在课外实现和完成.虚拟技术改善了教育、教学环境,扩大了教学承载能力, 扩大了实验室的空间和时间,扩大了学生学习的空间和时间, 培养了学生的实践能力和学习能力,并激发学生对实践教学的主动性与积极性[9].虚拟化实验环境可以有效的推动网络信息安全技术课程实验的改革.

[1]王涌,李国丽,应艳杰,贾立新. 建设网络虚拟实验室, 深化实验教学改革[J].实验技术与管理,2010,27(9):85-87.

[2]欧庆于,朱婷婷,张昌宏.关于信息安全实验教学的几点思考[J].计算机教育,2010(10):123-125.

[3]谌玺. 虚拟化实验室推进计算机网络专业实践教学的解决方案[EB/OL].[2013-10-11].http://7658423.blog.51cto.com/7648423/1307675.

[4]侯玥.操作系统级虚拟化技术在网络教学环境中的应用[D]北京:北京工业大学,2012.

[5]杜镇.基于虚拟化的计算机网络实验平台的研究与实现[D].湖南:中南大学,2014.

[6]朱晓静,林元乖.基于多维互动的计算机网络课程教学改革[J].中国科技信息,2010(24):190-191.

[7]林元乖.创新型计算机网络实验教学研究[J].实验技术与管理,2010，27(12):174-177.

[8]吕守林.以虚拟实验室建设为契机, 推进实验教学改革[J].实验技术与管理,2009,26(11):85-87.

[9]曹子建,喻钧,容晓峰.网络安全理论与技术课程实践教学[J].计算机教育,2012(22):100-102.

Practical Teaching Reform for the Course of Network Information Security Based on the Virtual Experiment Environment

ZHU Xiao-jing, LIN Yuan-guai

(College of Electronic Information Engineering, Qiongzhou University, Sanya Hainan, 572022, China)

Experimental teaching is an important part of computer teaching, and the key way to cultivate students' practical ability and improve their ability to solve the actual problem. With the increase in the number of students enrolled in the college, the school experimental equipment is difficult to meet students' experimental demand. In addition, due to the complexity and destructive experiment of network information security, the very high requirements are put forward for experiment teaching environment. Consequently, at present the school laboratory has been unable to meet the demand of this kind of experiment. In view of the existing practice of environment of university network information security curriculum problems, solutions are proposed to construct the experiment environment based on virtualization technology as a breakthrough of the traditional laboratory limit, so the students can learn through virtual experimental environment which is not affected by time, space and the limit of the traditional teaching mode, meets the teachers’ multidimensional and interactive practice teaching, improves students' practice ability, meets a variety of the needs of the students’ practice, promotes the experiment of network information security technology course teaching. Not only is the students' ability of practice improved, but also are the equipment investment, investment of the fixed experiment place, daily maintenance and management of educational funds saved.

virtualization; practice teaching; virtual laboratory; network information security; the experimental environment

2015-03-05

海南省自然科学基金资助(20156222); 海南省高等学校教育教学改革项目(HNJG2014-47);琼州学院2013年度本科实践教学改革项目(QYSJ2013-042); 琼州学院2013年校级青年科学基金项目(QYQN201330);2014年三亚市院地科技合作项目(2014YD33)

朱晓静(1980 - )，女，陕西省周至县人，琼州学院计算机副教授，硕士,研究方向为计算机网络、信息技术应用、网络信息安全技术.

S 668.4

A

1008-6722(2015) 05-0120-05

10.13307/j.issn.1008-6722．2015．05．25