虚拟化仿真在网络安全课程教学中的应用研究

◆温海波

(安徽交通职业技术学院 安徽 230051)

虚拟化仿真在网络安全课程教学中的应用研究

◆温海波

(安徽交通职业技术学院 安徽 230051)

在网络安全课程虚拟化仿真教学中，如何搭建复杂的虚拟化网络工程环境，如何进行教学过程设计是课程教学的关键点。本文通过分析VMware、GNS3、sniffer等虚拟化软件的基本原理，详述各软件配置及相互配合，并研究了VMware虚拟机与GNS3虚拟的网络设备互联的关键技术。最后以“WEB页面信息安全课程单元”为例，介绍了虚拟化仿真技术在网络安全实例教学中的设计和实现。

虚拟机；网络安全；课程教学；VMware；GNS3

0 引言

随着互联网的迅猛发展，尤其在互联网+，大数据、云计算的时代背景下，网络安全日益受到重视。各高校计算机及相关专业已开设网络安全等课程，这门课程实践性很强，在教学中往往遇到一些问题：（1）相关教学设备较为昂贵，很难做到每个学生都能使用；（2）由于设备实际配置数量有限，通常是分组教学，教学效果不理想；（3）网络安全课程内容更新较快，需要设备也要随之更新。将虚拟化仿真技术应用于网络安全课程中，可以实现情景化教学需求，同时大大降低教学中所需软硬件成本，满足该课程教学的必备环境[1-3]。

1 虚拟化仿真软件

目前虚拟系统软件主要有VMware、Virtual PC等软件；网络模拟器软件有思科的 Packet Tracer，GNS3等软件以及华三的LITO，eNSP等软件；网络检测分析工具软件有科来、Sniffer和WireShark等软件。

1.1 虚拟机VMware

虚拟机VMware软件可以在宿主机上模拟多台不同操作系统的虚拟计算机，为组建网络提供计算机平台。VMWare软件是一款功能强大的虚拟机软件，可以模拟工作站和服务器平台，以及支持平台上大部分设备的功能。

VMware具备三种工作模式[4]，具体描述和网络连接如下所示。

（1）桥接(Bridged)模式：在此模式下，VMware软件虚拟出交换机Vmnet0。该虚拟机相当于和host主机同处在局域网中的一台主机，有该局域网下的独立IP地址。在图1中host主机A、主机B和虚拟机C1之间可相互通信。

（2）NAT模式：在此模式下，VMware软件虚拟出交换机Vmnet8。虚拟机可以与host主机和其它“NAT模式”的虚拟机相互通信，但只能单向访问与 host主机在同一局域网中的其他计算机，不可反向访问。在图1中虚拟机C2可以和主机A互相通信，虚拟机C2可以单向访问主机B。

（3）主机(Host-Only)模式：在此模式下，VMware软件虚拟出交换机 Vmnet1。虚拟机只可以同 host主机和其它“主机模式”的虚拟机相互通信。在图1中虚拟机C3可以和host主机A互相通信。

1.2 GNS3

GNS3是可以运行在多个操作系统平台之上的图形化用户界面网络虚拟软件[5]。GNS3能模拟思科路由、交换机、PIX防火墙、PC机等设备，为虚拟真实复杂的网络环境提供基础。

1.3 VMware与GNS3互联

在网络安全课程中的模拟环境较为复杂，虚拟机VMware它能够很好地模拟网络中的PC机，而它提供Vmnet虚拟交换机只是该软件内部虚拟的，既没法操作也没法灵活配置，更不能模拟路由器和防火墙等网络连接设备。GNS3能很好地模拟丰富的网络连接设备，但是它用VPCs模拟的PC机只能和用户通过简单的命令行方式进行交互，不能满足真实计算机的复杂操作。

图1 虚拟机三种模式的网络连接分析图

在GNS3中交换机等网络互联设备无法直接连接虚拟机中的虚拟交换机或虚拟计算机。如何将虚拟机VMware与GNS3相结合起来，仿真出真实复杂的网络环境是虚拟化教学的关键。通过分析宿主机、GNS3软件和VMware虚拟机软件的连接原理，可以通过宿主机添加回环卡，将 VMnet虚拟交换机与回环卡相连，将GNS3虚拟的云设备连接到回环卡上，然后通过虚拟交换机连接虚拟计算机[6-8]。

1.4 网络检测分析工具

科来网络分析系统、Sniffer软件和WireShark软件都是专业的通过抓取网络数据包进行网络检测、网络协议分析的工具，它们都可以可实时监测网络传输数据，全面透视整个网络的动态信息。

2 课程实验

以“WEB页面信息安全课程”单元中黑客窃取页面密码过程为例，通过VMWare和GNS3软件构建虚拟仿真网络环境，利用Sniffer软件进行抓包分析数据。整个网络拓扑如图2所示。

图2 WEB页面信息安全课程实验网络拓扑图

2.1 实验环境

实验机器为联想 Lenovo V480 20143，CPU：Intel Core3 i5-3210M，RAM：8G，硬盘：WDC 1TB，Windows 7旗舰版64位SP1。安装了VMware Workstation 11.1.0，GNS3 1.3.1和Sniffer Pro 4.70.530英文版软件。

2.2 虚拟设备环境配置

2.2.1 回环卡添加

（1）打开宿主机win7操作系统中的控制面板/所有控制面板项/系统/设备管理器，选择“操作”菜单/添加过时设备/手动方式/网络适配器，在“厂商”列表中选择“Microsoft”，在“网络适配器”列添加 Microsoft Loopback Adapter（回环卡 1） 和Microsoft Loopback Adapter#2（回环卡2）两个回环卡。

（2）在控制面板/网络和 Internet/网络连接中将这两个回环网卡分别重命名为：回环卡1和回环卡2。

2.2.2 设置虚拟机环境

在虚拟机中建立名称为 Web服务器，客户机，黑客机三个虚拟机并打开。在“编辑”菜单的“虚拟网络编辑器”中设置虚拟机网络，新添加两个的虚拟交换机（桥接模式）：虚拟机VMnet10 连接Microsoft Loopback Adapter和虚拟机VMnet11连接Microsoft Loopback Adapter#2；网络连接都设置为桥接方式，结果如图3所示。

图3 虚拟机网络设置图

2.2.3 构建网络环境

（1）在GNS3中添加如图2所示设备（除去3台PC机），并将其按图示连接起来，启动所有设备。如图4所示，在Cloud1的Configure选项中添加连接回环卡1。同样设置Cloud2连接回环卡2。

（2）在VMware虚拟机中添加Web服务器，客户机，黑客机三台虚拟机，并按表1分别设置各虚拟机网络适配器的连接方式（都设置为自定义的桥接模式，按图2所示连接到虚拟交换机VMnet10或VMnet11）、IP地址、子网掩码及网关地址。

图4 Cloud1连接回环卡1配置图

2.2.4 配置路由器

在GNS3中，打开虚拟的路由器设备，输入以下命令配置端口地址：

en

conf t

int f0/0

ip add 60.0.0.1 255.0.0.0

no shut

end

en

conf t

int f0/1

ip add 192.168.11.1 255.255.255.0

no shut

end

2.3 构建web服务器及配置Sniffer软件

在 http服务器虚拟机上构架 asp web服务，将登录网页上传。黑客机上安装Sniffer软件并进行配置。打开sniffer软件，进入Capture --〉 Define Filter中进行配置。

（1）设置地址过滤：为获取所有网内逻辑地址之间的数据，在address选项卡中Address设为IP，方向为any-any。

（2）设置抓包类型：因为网页数据包传输类型为 HTTP类型，在advanced选项卡中设置http，Packet type为normal，Packet size为all。

表1 虚拟机网络参数设置表

（3）设置包内数据类型：在Data Pattern 选项卡中，如图5所示进行设置：

a）为过滤出http类型包中的应答包及快速传输数据（即PSH和ACK标记位为1）的包，添加AND条件，将TCP的 Flags 标记位设为 18， Offset为设2F。

b）过滤出访问目标端口为80（http web页面访问标准端口号）的数据；添加AND条件，将TCP的Destination port 设为80 ， Offset设为24。

图5 Sniffer 自定义过滤器模式设置图

图6 Sniffer抓包分析图

2.4 攻击实现与分析

设置完成后，在黑客机端启动 capture按钮。在客户机上访问登录页面，输入用户名：“admin”和密码：“zm123”并提交。在黑客机端停止Sniffer俘获，在Sniffer中选择encode选项，就可以看到如图6所示抓到的数据报，在summry中找到类型为post的包，在包信息中可以看到usename和password后面就是刚才输入的用户名和密码。

3 结束语

网络虚拟化仿真软件VMware和GNS3软件相互配合使用可以构建出复杂的网络环境。实验证明，配合网络分析工具等软件，完全可以将其应用于网络安全课程教学实践中。该方案具有可行性、灵活性和易操作性，为其他类似课程教学和实验实训提供了参考。

[1]迟国栋．浅谈虚拟机技术在高职计算机网络安全教学中的应用[J]．价值工程，2013．

[2]朱辉，刘北水，李晖，刘乃安．基于虚拟化技术的信息安全实验平台开发与应用[J]．武汉大学学报：理学版，2012．

[3]贺惠萍，荣彦，张兰．虚拟机软件在网络安全教学中的应用[J]．实验技术与管理，2011．

[4]VMware虚拟机三种网络模式详解[EB/OL]．http：//blog．csdn．net/noob_f/article/details/51099040/， 2016．

[5]曾刚．GNS3在网络安全实践教学中的应用[J]．网络安全技术与应用，2014．

[6]王凤娥，温高磊，霍杰标．基于Vmware与GNS3网络仿真环境的搭建[J]．科技视界，2015．

[7]龙艳军，欧阳建权，俞佳曦．基于GNS3和VMware的虚拟网络系统集成实验室研究[J]．实验技术与管理，2013．

[8]顾春峰，李伟斌，兰秀风．基于VMware、GNS3实现虚拟网络实验室[J]．实验室研究与探索，2012．

安徽省教学研究项目(2016mooc126)；安徽省自然科学基金重点项目（KJ2016A159）。