专业网络安全防护模拟训练系统方案研究

摘 要：专业网络安全防护模拟训练系统是采用软硬件系统结合使用的方法，用网络安全防护模拟设备代替实装，实现与实装基本一致的操作使用效果；用管理控制软件系统实现演示教学、操作训练管理等功能。本文从模拟训练系统的研制内容、基本设计思路和总体方案设计三个方面，阐述了专业网络安全防护模拟训练系统研制设计方案，为下一步项目研制打下理论基础。

关键词：模拟训练系统；研究内容；基本思路；方案设计

由于系统安全防护性高、传输速度快等特点，专业网络在任职岗位已经广泛使用，并为信息传输和综合运用提供信道。安全防护子系统是专业网络的重要组成部分，为网络的安全性能提供了重要的技术手段和安全防护支撑。网络的安全维护是岗位任职技能的一个重要内容，目前专业教学尚无安防系统软、硬件设备，无法满足该项内容演示教学与实践训练需要。因此，考虑通过计算机软件设计与单片机硬件编程相结合的方式，研制专业网络安全防护模拟训练系统，解决专业教学训练中的实际问题，提高教学训练质量和效益。

1 专业网络安全防护模拟训练系统研制内容

（一）搭建专业网络三级节点架构

专业网络包括三级节点网络拓扑结构，在每级节点路由器之间加装保密设备，在每级节点网络内部，部署相应的安全防护分系统。网络安全防护模拟训练系统在实现过程中，首先需要按照专业网络设备型号要求，自购路由器、交换机和计算机等设备构成三级网络环境。

（二）研制安全防护模拟训练系统

在专业网络三级节点网络环境基础上，自主研发防火墙、入侵检测、漏洞扫描、安全认证、密码保护等模拟分系统，实现设备硬件外观、操作步骤和软件流程控制模拟。系统核心是管理主机，研制训练管理软件在管理主机上运行，负责对模拟训练系统的各部分工作进行监控和协调，通过自主研发方式实现。

（三）形成安全防护模拟训练系统应用方案

本模拟训练系统包括硬件训练设备和训练管理软件两部分，在操作训练环节，通过搭建近似岗位任职实际的网络安防系统环境，学生可以自己动手对安防设备进行线缆连接与操作使用，体会各种设备在网络中的安全防护功能，从而进一步理解专业网络的组成架构和信号流程，提高岗位任职技能。

教师使用安全防护模拟训练系统可进行新内容的演示讲授、示范操作，通过投影使学生清楚明白地观察设备外形、按键位置、显示屏内容以及教师对训练设备的具体操作，改善了由于实装体型较小，学生不易观察的问题，大大提高教学效果。

此外，模拟训练系统可以对学生的操作训练数据进行采集、评判、分析，通过点看与回放操作，帮助教师查找学生操作的错误原因，分析学生学习的薄弱环节，提出改进意见，达到更好的训练效果。

2 专业网络安全防护模拟训练系统设计思路

网络安全防护模拟训练系统在实现时，在各节点网络内部网络计算机终端上安装代理软件（Agent），通过代理软件收集网内各计算机的各种操作行为，并将行为所表示的信号传输给管理主机，在管理主机内对此操作行为进行分析，以判断该行为是否与各安防分系统的规则策略匹配，最后由管理主机向各终端计算机发出命令以控制各终端计算机的操作行为，比如关闭端口、断开连接等。

3 网络安全防护模拟训练系统设计方案

（一）代理程序设计与实现

由于防火墙、入侵检测、漏洞扫描三个模拟训练分系统，在实现过程中都需要对各节点访问网络的行为进行实时监测，并根据检测结果进行进一步的控制。因此，需要分别编写对应的代理程序，安装在网络终端上，与服务器配合完成安全防护功能。

实现方法：

通过windows系统下的MFC程序设计编写代理（Agent）程序，实现对各终端计算机发送和接收数据包的检测，从而分析得到计算机是否有违规发送或接收数据的行为。根据用户的相关网络安全设置对相应的端口进行关闭或打开处理，以模拟出实装网络防火墙、入侵检测和漏洞扫描系统等指控安防系统的基本功能。

（二）网络环境下自定义网络通信设计与实现

由于本项目中的安防系统结合专网三级网络结构搭建起一个虚拟网络环境，各节点之间的线路通断常常依靠主控机程序判断实现，因此，需要设计一个专用的协议来实现主控程序软件与模拟设备之间的协同通信。

实现方法：

1. 构建通信协议采用四层参考模型

通信协议的四层参考模型最底层的物理层通过以太网通信实现，采用标准的局域网IEEE802.3协议；为满足系统数据通信和软件响应的实时性，传输层考虑采用UDP协议实现；在UDP协议之上使用自研专用数据交互通信GCP协议，实现对各种信息的传输。

2. 设计专用通信线程

设计系统专用通信线程，主要负责采集各个代理程序传送过来的数据，接受并对其进行分析、判断、显示。

3. 研制专用数据交互通信GCP协议

为了方便软硬件系统之间信息含义的解析，在TCP端口基础上规划设计专用的数据交互通信协议GCP（General Communication Protocol）协议，通过定义协议的语义、语法和时序来简化数据交互的复杂性。

专用通信协议GCP协议包格式如下图所示，主要包括top、length、keynum三个主要字段。

top字段为包类型字段，长度为4bit，top=0000代表按键数据包，top=0001代表同步数据包，top=0010代表时间数据包，top=0011代表初始化数据包，其他值备用。

length字段为数据包长度字段，长度为12bit，代表除去数据包头字段之外的数据包长度，以bit为单位。

keynum字段为内容字段，代表数据包的具体内容。

（三）AVR单片机控制系统设计

系统中模拟训练设备的操作、显示以及与管理主机的数据交互的控制均由AVR单片机系统实现，硬件部分控制核心芯片采用AVR128系列单片机。单片机控制模块置于模拟设备机箱内，通过AVR单片机系统编程对模拟设备的操作进行模拟响应控制，完成对实装基本功能的模拟，实现与实装操作感观基本一致的操作效果，满足模拟设备单机教学、训练需求；研制数据、话音模拟信道通模块，在AVR单片机系统的控制下单片机以太网接口电路、键盘按键电路和显示输出电路等，实现模拟设备功能响应与语音通道通断控制，模拟实装实现话音、数据信号的传输。

作者简介

张鹏（1974-）女，汉，山东省青州市人，第二炮兵工程大学士官学院，副教授（现有职称），研究生学历，网络管理方向。