一种微服务化的网络安全实验系统的制作方法

本发明涉及云计算和网络安全技术，特别涉及一种微服务化的网络安全实验系统。

背景技术：

随着云计算技术的兴起，虚拟网络环境正在逐渐取代传统真实网络环境，成为高校或研究机构进行网络安全教学和研究的新型解决方案。此类方案采用虚拟网络技术，克服了真实网络环境的硬件购置和维护成本昂贵以及网络漏洞存在风险等缺点，在规模庞大、结构复杂的网络场景中，如高校网络安全实验室教学，有着非常明显的优势。于2009年6月10日公开的名称为“一种基于真实组网环境的虚拟组网实验平台的构建方法”的发明专利cn101452649a，提供了基于真实网络环境的半虚拟化网络环境构建方法。于2014年4月2日公开的名称为“基于虚拟化和云技术的远程网络攻防虚拟仿真系统”的发明专利cn103701777a，通过分别配置虚拟机作为攻击机和靶机让学生进行攻防实验。

已有的基于云计算技术的虚拟网络安全实验系统通常采用虚拟机和虚拟私有网络结合的方式，为每个使用者搭建逻辑上相互隔离的一整套实验环境，虽然一定程度上降低了硬件设备投入的数量和成本，但是无法进行包含多种网络设备的复杂网络安全实验，而且大批量虚拟机的部署速度缓慢，占用额外资源多。

技术实现要素：

为了解决现有技术中所存在的技术问题，本发明提出一种微服务化的网络安全实验系统，利用基于容器集群的微服务分配和管理多种虚拟网络安全功能，通过采用容器及虚拟机按需构建、池化虚拟安全设备，利用软件定义网络配置虚拟安全设备转发路径，结合虚拟机的客户端，支持批量、每个用户独享的、复杂多样的网络安全实验场景。

本发明采用的技术方案如下：一种微服务化的网络安全实验系统，包括云计算服务子系统、网络安全实验资源池配置子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统；网络安全实验资源池配置子系统分别与云计算服务子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统连接；实验所需云服务资源按需调度服务子系统分别与用户安全实验服务子系统、网络安全实验方案配置管理子系统连接。

优选地，云计算服务子系统包括提供标准化云服务的硬件和系统软件运行环境，支持按需提供虚拟机、容器服务及基于软件定义支持的网络联接服务，将虚拟机或者容器按照软件定义要求联接起来，形成可供用户使用的实验教学环境资源。

优选地，网络安全实验资源池配置子系统按照网络安全实验要求，调度云计算服务子系统的计算、存储、网络及接口资源，构建具备多个网络接口的虚拟安全设备池；虚拟安全设备为虚拟交换机、虚拟防火墙、虚拟网络入侵保护系统、虚拟防内容泄露系统、虚拟攻击机器、虚拟waf、虚拟受攻击主机、虚拟数据库服务器或虚拟网页服务器。

优选地，相同虚拟安全设备由实验所需云服务资源按需调度服务子系统结合实例化模板产生，构成按需服务的该类虚拟安全设备池；所述实例化模板用来创建实验所需云服务资源按需调度服务子系统管理的容器或者虚拟机资源，模板内容包含容器或者虚拟机的镜像类型、cpu性能、内存大小以及网络端口映射。

优选地，网络安全实验方案配置管理子系统支持管理者采用软件定义方式，为实验者配置安全实验方案；依据安全实验方案，产生支持实验所需云服务资源按需调度服务接口要求的配置参数及资源调度方案。

优选地，实验所需云服务资源按需调度服务子系统依据网络安全实验方案配置管理子系统产生的实验模板所要求的服务资源、配置参数及资源调度方案，调用云计算服务子系统，配置相关资源，支持虚拟安全实验方案的按需构建、批量构建、更改与删除；按需产生服务环境给每个实验用户，提供由用户独享控制的当前安全实验的服务环境。

优选地，用户安全实验服务子系统由实验所需云服务资源按需调度服务子系统构建服务资源，形成用户展开实验所需的完整实验环境；完整实验环境包括实验所需的硬件、系统软件、服务软件、虚拟安全设备间的网络联接方案、用户登录及实验环境显示、安全设备配置及控制方案、实验步骤及实验方法支持、实验结果显示与提交。

优选地，网络安全实验方案配置管理子系统的授权用户通过系统交互界面创建属于某个实验的环境配置信息，形成安全实验教学模板，包括如下步骤：

步骤1：创建将要进行的实验模板基本信息；基本信息包括实验名字、实验基本内容、实验详细信息、实验相关信息链接；将实验模板状态设置为初始化；

步骤2：优化配置安全相关实验设备列表、实验网络联接拓扑图、实验安全设备要求的配置信息；

步骤3：网络安全实验方案配置管理子系统自动检测实验模板创建的合理性、完整性与可用性，并自动产生一个供用户测试的实验所需的完整安全实验环境及其相关用户测试账号；产生的实验环境包括所需调度的资源信息及其匹配的资源池信息，利用调度的资源配置虚拟安全设备及网络联接方案，形成完整的实验环境；将实验模板状态设置为待测试；

步骤4：利用自动产生的用户测试账号，测试并确认实验环境的合理性、完整性与可用性，并将测试结果反馈给用户；

步骤5：如果测试通过，网络安全实验方案配置管理子系统自动将该安全实验环境配置模板状态调整为可用，并释放测试用配置资源；如果测试不通过，释放测试用配置资源，回到步骤2重新配置。

优选地，网络安全实验方案配置管理子系统的授权用户通过系统交互界面修改属于某个实验的环境配置信息，更改安全实验教学模板，包括如下步骤：

步骤1：修改实验模板基本信息；将实验模板状态设置为初始化；

步骤2：优化修改配置安全相关实验设备列表、实验网络联接拓扑图、实验安全设备要求的配置信息；

步骤3：网络安全实验方案配置管理子系统自动检测实验模板创建的合理性、完整性与可用性，并自动产生一个可供用户测试的实验所需的完整实验环境及其相关用户测试账号。产生的实验环境包括所需调度的资源信息及其匹配的资源池信息，利用调度的资源配置虚拟安全设备及网络联接方案，形成完整的实验环境；将实验模板状态设置为待测试；

步骤4：利用自动产生的用户测试账号，测试并确认实验环境的合理性、完整性与可用性，将测试情况反馈给用户；

步骤5：如果测试通过，网络安全实验方案配置管理子系统自动将该安全实验环境配置模板状态调整为可用，并释放测试用配置资源；如果测试不通过，释放测试用配置资源，回到步骤2重新配置。

优选地，实验所需云服务资源按需调度服务子系统依据网络安全实验方案配置管理子系统产生的实验模板，支持按个人、按群组批量调度云资源，形成给每个实验人员独享的安全实验环境；根据实验要求和相关实验用户信息，在预定时间自动生成并分配内置网络安全相关工具的虚拟机或者容器配置，自动按照实验模板选择实验所需网络功能微服务，分配并配置好容器或者虚拟机资源；将获分配的容器或者虚拟机资源依次配置成具有与实验模板一致的数据转发路径的实验环境；其中转发路径由源地址、目的地址和转发器组成，系统根据用户的配置信息，修改虚拟交换机的转发规则，在虚拟网络二层对匹配的数据包进行拦截和转发，覆盖虚拟网络三层的路由转发策略，从而确保源地址的数据包依次经过转发器处理后到达目的地址。

本发明相对于现有技术具有如下的优点及效果：

1、通过网络功能虚拟化提供的虚拟网络设备代替传统物理网络设备，构建虚拟网络安全实验系统，节约硬件成本，提高资源利用率。

2、通过基于容器集群的微服务提供网络功能的统一分配和管理，按需对资源进行实时的动态伸缩，轻量、灵活且节约资源。

3、通过配置转发路径，支持复杂多样的网络安全实验场景。

附图说明

图1是本发明网络安全实验系统的结构框图；

图2是本发明网络安全实验系统的核心业务时序图；

图3是本发明一个实施例的实验方案配置流程图；

图4是本发明一个实施例的多用户应用场景示意图；

图5是本发明一个实施例的单用户实验管理示意图；

图6是本发明一个实施例的单用户实验显示示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，根据下面说明和权利要求书，本发明的优点和特征将更加清楚，但本发明的实施方式不限于此。

实施例

如图1，本发明微服务化的网络安全实验系统，包括云计算服务子系统、网络安全实验资源池配置子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统；网络安全实验资源池配置子系统分别与云计算服务子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统连接；实验所需云服务资源按需调度服务子系统分别与用户安全实验服务子系统、网络安全实验方案配置管理子系统连接。

云计算服务子系统包括提供标准化云服务的硬件(如物理服务器集群、网络系统)和系统软件运行环境，支持按需提供虚拟机、容器服务及基于软件定义支持的网络联接服务，将这些虚拟机或者容器按照软件定义要求联接起来，形成可供用户使用的实验教学环境资源。云计算服务子系统采用的云计算操作系统为通用开源或者商业化云计算操作系统，包括vmware、openstack、cloudstack、windowsazure、amazonec2兼容的云操作系统；采用的服务器为通用商业化服务器；采用的网络设备为通用的可支持或不支持软件定义网络的商业化网络设备。

网络安全实验资源池配置子系统按照网络安全实验要求，调度云计算服务子系统的计算、存储、网络及接口资源，构建具备多个网络接口的具有特定安全功能的虚拟安全设备池。虚拟安全设备按照其功能与性能指标，可采用虚拟云桌面、虚拟云主机或者容器及按需混合方案。虚拟安全设备可为虚拟交换机、虚拟防火墙、虚拟网络入侵保护系统、虚拟防内容泄露系统、虚拟攻击机器、虚拟waf(网络应用防火墙)、虚拟受攻击主机、虚拟数据库服务器、虚拟网页服务器。相同虚拟安全设备由微服务(即实验所需云服务资源按需调度服务子系统)结合实例化模板产生，构成按需服务的该类虚拟安全设备池。所述实例化模板用来创建微服务管理的容器或者虚拟机资源，模板内容包含容器或者虚拟机的镜像类型、cpu性能、内存大小以及网络端口映射等配置信息。

网络安全实验方案配置管理子系统支持管理者采用软件定义方式，为实验者配置安全实验方案，形成实验所用虚拟安全设备清单、相关虚拟安全设备具体配置与技术参数、虚拟安全设备之间的网络联接方案、虚拟安全设备的控制方法、实验显示方案、实验步骤与方法、实验结果自动判别方案、实验记录自动产生方案。依据安全实验方案，产生支持实验所需云服务资源按需调度服务接口要求的配置参数及资源调度方案；支持管理员、教师用户或者实验人员创建实验所需的微服务和实例化模板，设置实验时长、实验人数、具体实验人员信息。

实验所需云服务资源按需调度服务子系统依据网络安全实验方案配置管理子系统产生的实验模板所要求的服务资源、配置参数及资源调度方案，调用云计算服务子系统，配置相关资源，支持虚拟安全实验方案的按需构建、批量构建、更改与删除；按需产生服务环境给每个实验用户，提供由用户独享控制的当前安全实验的服务环境。

用户安全实验服务子系统由实验所需云服务资源按需调度服务子系统构建服务资源，形成用户展开实验所需的完整实验环境。完整实验环境包括实验所需的硬件、系统软件、服务软件、虚拟安全设备间的网络联接方案、用户登录及实验环境显示、安全设备配置及控制方案、实验步骤及实验方法支持、实验结果显示与提交。

图2为本发明微服务化的网络安全实验系统的核心业务时序图。时序图显示虚拟网络安全实验室的资源准备、实验模板准备及实验三个典型业务的模块间交互过程。云计算服务子系统、网络安全实验资源池配置子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统紧密合作，有机完成虚拟安全实验的相关工作。

在本实施例中，实验所需云服务资源按需调度服务子系统作为前端统一访问点和负载均衡器，负责对应网络安全资源的分配和管理。在用户申请资源时，直接分配空闲资源或者调度创建后分配新资源，同时修改资源状态为使用中；在用户使用结束后，根据系统负载能力直接销毁资源或者修改资源状态为未使用。实验所需云服务资源按需调度服务子系统通过系统资源初始化模块，在物理服务器集群中融合部署云计算管理平台和容器管理平台，构建出一个虚拟机集群与容器集群网络互通的云服务混合环境，提供实验所需的计算、网络和存储等基础虚拟资源。

如图3所示，网络安全实验方案配置管理子系统的授权用户通过系统交互界面创建属于某个实验的环境配置信息，形成安全实验教学模板。包括如下步骤：

步骤1：用户登录实验系统，创建将要进行的实验模板基本信息；基本信息包括实验名字、实验基本内容、实验详细信息、实验相关信息链接；将实验模板状态设置为初始化；

步骤2：优化配置安全相关实验设备列表、实验网络联接拓扑图、实验安全设备要求的配置信息；

步骤3：网络安全实验方案配置管理子系统自动检测实验模板创建的合理性、完整性与可用性，并自动产生一个可供用户测试的实验所需的完整安全实验环境及其相关用户测试账号。产生的实验环境包括所需调度的资源信息及其匹配的资源池信息，利用调度的资源配置虚拟安全设备及网络联接方案，形成完整的实验环境。将实验模板状态设置为待测试；

步骤4：利用自动产生的用户测试账号，测试并确认实验环境的合理性、完整性与可用性，并将测试结果反馈给用户。

步骤5：如果测试通过，网络安全实验方案配置管理子系统自动将该安全实验环境配置模板状态调整为可用，并释放测试用配置资源；如果测试不通过，释放测试用配置资源，回到步骤2重新配置。

网络安全实验方案配置管理子系统的授权用户通过系统交互界面修改属于某个实验的环境配置信息，更改安全实验教学模板。包括如下步骤：

步骤1：用户登录实验系统，修改实验模板基本信息；将实验模板状态设置为初始化；

步骤2：优化修改配置安全相关实验设备列表、实验网络联接拓扑图、实验安全设备要求的配置信息；

步骤3：网络安全实验方案配置管理子系统自动检测实验模板创建的合理性、完整性与可用性，并自动产生一个可供用户测试的实验所需的完整实验环境及其相关用户测试账号。产生的实验环境包括所需调度的资源信息及其匹配的资源池信息，利用调度的资源配置虚拟安全设备及网络联接方案，形成完整的实验环境。将实验模板状态设置为待测试；

步骤4：利用自动产生的用户测试账号，测试并确认实验环境的合理性、完整性与可用性，将测试情况反馈给用户。

步骤5：如果测试通过，网络安全实验方案配置管理子系统自动将该安全实验环境配置模板状态调整为可用，并释放测试用配置资源；如果测试不通过，释放测试用配置资源，回到步骤2重新配置。

网络安全实验方案配置管理子系统的授权用户通过系统交互界面可删除属于某个实验的环境配置信息：

步骤1：用户登录实验系统，删除实验模板；

步骤2：如果模板在在用状态，删除失败。否则，删除成功。

如图4所示，实验所需云服务资源按需调度服务子系统依据网络安全实验方案配置管理子系统产生的实验模板，支持按个人、按群组批量调度云资源，形成给每个实验人员独享的安全实验环境。根据实验要求和相关实验用户信息，在预定时间自动生成并分配内置网络安全相关工具的虚拟机或者容器配置，自动按照实验模板选择实验所需网络功能微服务，分配并配置好容器或者虚拟机资源；将获分配的容器或者虚拟机资源依次配置成具有与实验模板一致的数据转发路径的实验环境。其中转发路径由源地址、目的地址和转发器组成，系统根据用户的配置信息，修改虚拟交换机的转发规则(openflow流表)，在虚拟网络二层对匹配的数据包进行拦截和转发，覆盖虚拟网络三层的路由转发策略，从而确保源地址的数据包依次经过转发器处理后到达目的地址。

如图5和图6所示，单个用户通过用户安全实验服务子系统查看和管理属于自己的安全实验，进行包括实验环境拓扑展示、实验结果记录、实验说明书查看和实验报告管理等操作。其中实验拓扑展示了当前实验环境设备及其连接方式，通过点击实验环境拓扑中的设备图标，可以进入该设备的命令行或桌面进行设置或者查看设备运行日志；实验结果记录着实验进行中保存的截图、日志等数据；实验说明书主要包括实验目的、实验步骤等内容；实验报告作为实验成绩的评判依据，供教师或系统进行实验成绩考核。

由以上技术方案可知，本发明利用基于容器集群的微服务分配和管理多种虚拟网络安全功能，通过采用容器及虚拟机构建和池化虚拟安全设备，利用软件定义网络配置虚拟安全设备转发路径，结合基于虚拟机的客户端，支持批量、每个用户独享的、复杂多样的网络安全实验场景，具有良好的灵活性和动态伸缩性，提高资源利用率。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。