基于超融合架构的网络攻防虚拟仿真系统的制作方法

本发明涉及网络安全领域，具体涉及一种基于超融合架构的网络攻防虚拟仿真系统。

背景技术：

网络安全实验本身具有一定的风险，如果在真实网络中开展病毒注入和网络攻击等破坏性实验，会严重威胁实验室中的硬件安全、软件安全和管理安全。虚拟化技术的出现，为开展网络安全实验提供了解决方案，在虚拟机中开展网络安全实验，不会影响物理主机的安全。随着云技术的发展，在云计算环境下建立的网络安全实验系统，允许实验人员通过网络远程访问。利用云计算技术建立的网络安全虚拟仿真系统，对网络安全教学和科研起到了良好的推动作用，但是仍然存在一些不足：

(1)扩展性不强，无法对计算资源、网络资源和存储资源统一管理，大部分虚拟仿真系统只能对计算资源统一管理，这就导致虚拟仿真系统的升级受限于所采用的网络连接设备和存储设备的体系结构。

(2)效费比偏低，据统计，在搭建虚拟仿真实验平台时，存储设备投资在硬件投入中占比一般在15％到40％之间，甚至更高，降低了投资的效费比。

(3)管理难度大，一般情况下一台存储设备会为多台计算节点提供存储服务，存在着单点故障隐患，一旦存储设备损坏，将影响整个仿真系统的运行。

技术实现要素：

本发明所要解决现有的网络安全虚拟仿真系统扩展性差、效率比偏低以及管理困难等问题，提供一种基于超融合架构的网络攻防虚拟仿真系统。

基于超融合架构的网络攻防虚拟仿真系统，包括Web应用模块、协议转发模块、实验配置模块、实验运行模块、节点配置模块、镜像同步模块和性能监控模块；

Web应用模块：允许网络用户和管理员通过浏览器访问系统，管理员通过web应用模块访问节点配置模块、镜像同步模块和实验配置模块；网络用户通过所述Web应用模块访问协议转发模块和实验运行模块；

所述协议转发模块用于为Web应用模块提供网络协议转换，支持服务器与浏览器双向通信的Web Socket，允许网络用户通过浏览器访问实验运行模块；

实验配置模块：管理员通过Web应用模块上传镜像文件，根据网络安全实验的目的，选择镜像文件，配置网络拓扑结构，将配置文件保存成一个实验项目；

所述实验运行模块用于根据网络用户选择的实验，读取所选实验的配置文件，启动实验所需要的虚拟攻击机、虚拟靶机和虚拟路由器，自动配置虚拟网络，提供仿真实验运行环境；

节点配置模块用于当系统新增加服务器节点后，添加所述新增服务器节点的IP地址；镜像同步模块会自动将其它服务器节点上的镜像同步到新增服务器节点；

所述镜像同步模块还负责同步系统中所有服务器节点的镜像文件，并确保镜像文件的一致性；

性能监控模块用于监控不同节点运行的虚拟机数量，并能按照调度算法自动均衡服务器节点运行的虚拟机数量。

本发明的有益效果：

本发明采用超融合架构建设网络攻防虚拟仿真实验系统，多台服务器节点通过高速网络互联，服务器节点既是计算节点，又是存储节点，在硬件上舍弃专用存储设备，显著降低了硬件成本。由于不受存储设备的限制，要提升系统的服务能力，可以水平方向接入新的服务器节点，因此可以通过增加服务器节点的数量水平扩展系统的服务能力；系统中有多个服务器节点，当其中部分服务器节点发生软硬件故障时，不会影响系统的运行，可以接入新的服务器节点替换发生故障的服务器节点；当新增服务器节点时，系统会自动向新增服务器节点同步镜像资源，可快速增加系统的服务能力，尤其是对所采用的服务器并无特殊的品牌和型号要求；

本系统不但对计算和网络进行虚拟化管理，同时可以对存储进行统一的池化管理，因此能有效的降低后期管理和维护的成本；利用Web应用模块提供实验访问环境，网络用户可以使用PC、手机、平板等多种设备的浏览器访问实验资源，不需要安装任何客户端，方便实验资源的共享，实现随时随地按需学习；网络用户不但可以运行管理员配置好的实验项目，还可以通过Web应用模块访问实验配置模块，自行配置实验所要使用虚拟机、路由器、虚拟局域网及网络配置开展实验，可以快速的搭建出实验环境开展实验。

附图说明

图1为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的功能结构框图；

图2为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的硬件结构；

图3为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的体系结构。

具体实施方式

具体实施方式一、结合图1至图3说明本实施方式，基于超融合架构的网络攻防虚拟仿真系统，包括Web应用模块、镜像管理模块、实验配置模块、节点扩展模块、分布式存储管理模块、镜像同步模块、协议转发模块和性能监控模块。所述Web应用模块：允许网络用户和管理员通过浏览器访问系统，管理员通过web应用模块访问节点配置模块、镜像同步模块和实验配置模块；网络用户通过所述Web应用模块访问协议转发模块和实验运行模块；

所述协议转发模块：用于为Web应用模块提供网络协议转换，支持服务器与浏览器双向通信的Web Socket，允许网络用户通过浏览器访问实验运行模块开展实验；实验运行模块：用于根据网络用户选择的实验，读取所选实验的配置信息，启动实验所需要的虚拟攻击机、虚拟靶机、虚拟路由器，自动配置虚拟网络，提供仿真实验运行环境；性能监控模块：用于监控不同服务器节点运行的虚拟机数量，并能按照调度算法自动均衡服务器节点运行的虚拟机数量；节点配置模块：当系统新增加服务器节点后，添加新节点的IP地址；镜像同步模块：负责同步系统中所有服务器节点的镜像文件，并确保镜像文件的一致性；实验配置模块：管理员通过Web应用模块上传镜像文件，根据网络安全实验的目的，选择不同的镜像文件，设置网络拓扑结构，将配置文件保存成一个实验项目。

结合图2说明本实施方式，本实施方式中的硬件设备包括网络连接设备、防火墙和服务器节点；

所述网络连接设备为高速的光纤交换机或万兆交换机，服务器节点通过网络连接设备互联，服务器节点的数量受限于单个网络连接设备的端口数；

当需要扩充计算能力增加服务器节点时，还可以由多个网络连接设备级联，网络连接设备连接到防火墙，由防火墙为系统提供网络安全防护；

防火墙并不是不可替代的网络安全防护设备，也可以使用其它类型的网络安全防护设备；

网络用户和管理员通过防火墙访问服务器节点；所有服务器节点都保存了具有操作系统漏洞和应用程序漏洞的操作系统镜像文件，而且还存储着已安装攻击工具的操作系统镜像文件，以及虚拟路由器交换机的镜像文件；

分布式存储管理模块用于系统对存储资源的统一管理；当新增服务器节点后，在新增服务器节点上安装分布式存储管理模块，然后管理员通过节点配置模块设置新增节点的IP地址，镜像同步模块会自动将其它服务器节点上的镜像同步到新增服务器节点。

结合图3说明本实施方式，本实施方式所述的仿真系统的体系结构中包括存储虚拟化——分布式存储管理模块、计算虚拟化——KVM、网络虚拟化——OpenSwitch、虚拟机管理、Opentstatck控制节点——服务器节点和web应用模块；

KVM是一个Linux内核模块实现，在虚拟环境下Linux内核集成管理程序将其作为一个可加载的模块，使用KVM来实现计算资源的虚拟化，KVM通过加载kvm.ko内核模块将Linux内核转换为一个虚拟机监控器VMM；

分布式存储通过扩展KVM模块实现，以确保对所有服务器节点存储资源的统一管理；

Open vSwitch是一个可以运行在KVM虚拟化平台上的虚拟交换机，用于虚拟攻击机和虚拟靶机间的通信和实现虚拟机与外网的通信；

QEMU通过软件仿真处理器的取指、解码和执行，它是一种用动态翻译技术实现的快速指令集层虚拟机，支持整个计算机系统的模拟。QEMU-KVM是用硬件虚拟化技术代替了QEMU的动态翻译技术，实现了虚拟机操作系统代码直接由硬件处理从而提高系统性能；本发明中使用QEMU-KVM和Libvirt实现虚拟机的管理和调度，通过它为网络用户提供虚拟攻击机和虚拟靶机；

为了允许网络用户使用浏览器访问虚拟机，在Openstack中启用支持远程访问虚拟化桌面的独立计算环境简单协议SPICE(Simple Protocol for Independent Computing Environment)，同时在nova中配置nova-vncproxy，实现虚拟机的VNC(Virtual Network Computer)代理到支持服务器与浏览器双向通信的Web Socket，以支持虚拟机访问的Web化；

用Glance提供虚拟机实例化时需要的镜像；

Web应用模块利用PHP开发，使用Mysql储存网络用户帐号信息和实验题目等信息，主要包括场景管理、实验题目管理、网络用户管理、靶场管理、靶场比赛、成绩管理、系统监控、成绩浏览、网络拓扑管理、虚拟化管理、虚拟机管理和服务器节点配置等功能；

网络用户使用浏览器访问Web应用模块，选择要开展实验项目后，web应用模块将实验请求转发给实验运行模块；

实验运行模块利用Nova调派资源在1台服务器节点上实例化实验所需要的虚拟机；

性能监控模块周期性监测所有服务器节点上运行的虚拟机数量，选择运行虚拟机数量的服务器节点，在该节点上实例化网络用户开展实验所要用到的虚拟机。

当网络用户开展实验所需要的环境被创建成功后，网络用户可以在支持HTML5和WebSocket的浏览器中直接操作虚拟机开展实验。

本实施方式所述的超融合架构支持在同一套单元设备中同时提供计算、网络和存储资源的池化管理。单元设备之间使用低延迟万兆铜缆或光纤互联，避免了服务器和存储设备的重度耦合，省去了部署专用存储设备的成本。因此，采用超融合架构可以建立扩展性强、可靠性高、易管理和低成本的网络安全虚拟仿真系统。