本發明涉及網絡安全領域，具體涉及一種基于超融合架構的網絡攻防虛擬仿真系統。

背景技術：

網絡安全實驗本身具有一定的風險，如果在真實網絡中開展病毒注入和網絡攻擊等破壞性實驗，會嚴重威脅實驗室中的硬件安全、軟件安全和管理安全。虛擬化技術的出現，為開展網絡安全實驗提供了解決方案，在虛擬機中開展網絡安全實驗，不會影響物理主機的安全。隨著云技術的發展，在云計算環境下建立的網絡安全實驗系統，允許實驗人員通過網絡遠程訪問。利用云計算技術建立的網絡安全虛擬仿真系統，對網絡安全教學和科研起到了良好的推動作用，但是仍然存在一些不足：

(1)擴展性不強，無法對計算資源、網絡資源和存儲資源統一管理，大部分虛擬仿真系統只能對計算資源統一管理，這就導致虛擬仿真系統的升級受限于所采用的網絡連接設備和存儲設備的體系結構。

(2)效費比偏低，據統計，在搭建虛擬仿真實驗平臺時，存儲設備投資在硬件投入中占比一般在15％到40％之間，甚至更高，降低了投資的效費比。

(3)管理難度大，一般情況下一臺存儲設備會為多臺計算節點提供存儲服務，存在著單點故障隱患，一旦存儲設備損壞，將影響整個仿真系統的運行。

技術實現要素：

本發明所要解決現有的網絡安全虛擬仿真系統擴展性差、效率比偏低以及管理困難等問題，提供一種基于超融合架構的網絡攻防虛擬仿真系統。

基于超融合架構的網絡攻防虛擬仿真系統，包括Web應用模塊、協議轉發模塊、實驗配置模塊、實驗運行模塊、節點配置模塊、鏡像同步模塊和性能監控模塊；

Web應用模塊：允許網絡用戶和管理員通過瀏覽器訪問系統，管理員通過web應用模塊訪問節點配置模塊、鏡像同步模塊和實驗配置模塊；網絡用戶通過所述Web應用模塊訪問協議轉發模塊和實驗運行模塊；

所述協議轉發模塊用于為Web應用模塊提供網絡協議轉換，支持服務器與瀏覽器雙向通信的Web Socket，允許網絡用戶通過瀏覽器訪問實驗運行模塊；

實驗配置模塊：管理員通過Web應用模塊上傳鏡像文件，根據網絡安全實驗的目的，選擇鏡像文件，配置網絡拓撲結構，將配置文件保存成一個實驗項目；

所述實驗運行模塊用于根據網絡用戶選擇的實驗，讀取所選實驗的配置文件，啟動實驗所需要的虛擬攻擊機、虛擬靶機和虛擬路由器，自動配置虛擬網絡，提供仿真實驗運行環境；

節點配置模塊用于當系統新增加服務器節點后，添加所述新增服務器節點的IP地址；鏡像同步模塊會自動將其它服務器節點上的鏡像同步到新增服務器節點；

所述鏡像同步模塊還負責同步系統中所有服務器節點的鏡像文件，并確保鏡像文件的一致性；

性能監控模塊用于監控不同節點運行的虛擬機數量，并能按照調度算法自動均衡服務器節點運行的虛擬機數量。

本發明的有益效果：

本發明采用超融合架構建設網絡攻防虛擬仿真實驗系統，多臺服務器節點通過高速網絡互聯，服務器節點既是計算節點，又是存儲節點，在硬件上舍棄專用存儲設備，顯著降低了硬件成本。由于不受存儲設備的限制，要提升系統的服務能力，可以水平方向接入新的服務器節點，因此可以通過增加服務器節點的數量水平擴展系統的服務能力；系統中有多個服務器節點，當其中部分服務器節點發生軟硬件故障時，不會影響系統的運行，可以接入新的服務器節點替換發生故障的服務器節點；當新增服務器節點時，系統會自動向新增服務器節點同步鏡像資源，可快速增加系統的服務能力，尤其是對所采用的服務器并無特殊的品牌和型號要求；

本系統不但對計算和網絡進行虛擬化管理，同時可以對存儲進行統一的池化管理，因此能有效的降低后期管理和維護的成本；利用Web應用模塊提供實驗訪問環境，網絡用戶可以使用PC、手機、平板等多種設備的瀏覽器訪問實驗資源，不需要安裝任何客戶端，方便實驗資源的共享，實現隨時隨地按需學習；網絡用戶不但可以運行管理員配置好的實驗項目，還可以通過Web應用模塊訪問實驗配置模塊，自行配置實驗所要使用虛擬機、路由器、虛擬局域網及網絡配置開展實驗，可以快速的搭建出實驗環境開展實驗。

附圖說明

圖1為本發明所述的基于超融合架構的網絡攻防虛擬仿真系統的功能結構框圖；

圖2為本發明所述的基于超融合架構的網絡攻防虛擬仿真系統的硬件結構；

圖3為本發明所述的基于超融合架構的網絡攻防虛擬仿真系統的體系結構。

具體實施方式

具體實施方式一、結合圖1至圖3說明本實施方式，基于超融合架構的網絡攻防虛擬仿真系統，包括Web應用模塊、鏡像管理模塊、實驗配置模塊、節點擴展模塊、分布式存儲管理模塊、鏡像同步模塊、協議轉發模塊和性能監控模塊。所述Web應用模塊：允許網絡用戶和管理員通過瀏覽器訪問系統，管理員通過web應用模塊訪問節點配置模塊、鏡像同步模塊和實驗配置模塊；網絡用戶通過所述Web應用模塊訪問協議轉發模塊和實驗運行模塊；

所述協議轉發模塊：用于為Web應用模塊提供網絡協議轉換，支持服務器與瀏覽器雙向通信的Web Socket，允許網絡用戶通過瀏覽器訪問實驗運行模塊開展實驗；實驗運行模塊：用于根據網絡用戶選擇的實驗，讀取所選實驗的配置信息，啟動實驗所需要的虛擬攻擊機、虛擬靶機、虛擬路由器，自動配置虛擬網絡，提供仿真實驗運行環境；性能監控模塊：用于監控不同服務器節點運行的虛擬機數量，并能按照調度算法自動均衡服務器節點運行的虛擬機數量；節點配置模塊：當系統新增加服務器節點后，添加新節點的IP地址；鏡像同步模塊：負責同步系統中所有服務器節點的鏡像文件，并確保鏡像文件的一致性；實驗配置模塊：管理員通過Web應用模塊上傳鏡像文件，根據網絡安全實驗的目的，選擇不同的鏡像文件，設置網絡拓撲結構，將配置文件保存成一個實驗項目。

結合圖2說明本實施方式，本實施方式中的硬件設備包括網絡連接設備、防火墻和服務器節點；

所述網絡連接設備為高速的光纖交換機或萬兆交換機，服務器節點通過網絡連接設備互聯，服務器節點的數量受限于單個網絡連接設備的端口數；

當需要擴充計算能力增加服務器節點時，還可以由多個網絡連接設備級聯，網絡連接設備連接到防火墻，由防火墻為系統提供網絡安全防護；

防火墻并不是不可替代的網絡安全防護設備，也可以使用其它類型的網絡安全防護設備；

網絡用戶和管理員通過防火墻訪問服務器節點；所有服務器節點都保存了具有操作系統漏洞和應用程序漏洞的操作系統鏡像文件，而且還存儲著已安裝攻擊工具的操作系統鏡像文件，以及虛擬路由器交換機的鏡像文件；

分布式存儲管理模塊用于系統對存儲資源的統一管理；當新增服務器節點后，在新增服務器節點上安裝分布式存儲管理模塊，然后管理員通過節點配置模塊設置新增節點的IP地址，鏡像同步模塊會自動將其它服務器節點上的鏡像同步到新增服務器節點。

結合圖3說明本實施方式，本實施方式所述的仿真系統的體系結構中包括存儲虛擬化——分布式存儲管理模塊、計算虛擬化——KVM、網絡虛擬化——OpenSwitch、虛擬機管理、Opentstatck控制節點——服務器節點和web應用模塊；

KVM是一個Linux內核模塊實現，在虛擬環境下Linux內核集成管理程序將其作為一個可加載的模塊，使用KVM來實現計算資源的虛擬化，KVM通過加載kvm.ko內核模塊將Linux內核轉換為一個虛擬機監控器VMM；

分布式存儲通過擴展KVM模塊實現，以確保對所有服務器節點存儲資源的統一管理；

Open vSwitch是一個可以運行在KVM虛擬化平臺上的虛擬交換機，用于虛擬攻擊機和虛擬靶機間的通信和實現虛擬機與外網的通信；

QEMU通過軟件仿真處理器的取指、解碼和執行，它是一種用動態翻譯技術實現的快速指令集層虛擬機，支持整個計算機系統的模擬。QEMU-KVM是用硬件虛擬化技術代替了QEMU的動態翻譯技術，實現了虛擬機操作系統代碼直接由硬件處理從而提高系統性能；本發明中使用QEMU-KVM和Libvirt實現虛擬機的管理和調度，通過它為網絡用戶提供虛擬攻擊機和虛擬靶機；

為了允許網絡用戶使用瀏覽器訪問虛擬機，在Openstack中啟用支持遠程訪問虛擬化桌面的獨立計算環境簡單協議SPICE(Simple Protocol for Independent Computing Environment)，同時在nova中配置nova-vncproxy，實現虛擬機的VNC(Virtual Network Computer)代理到支持服務器與瀏覽器雙向通信的Web Socket，以支持虛擬機訪問的Web化；

用Glance提供虛擬機實例化時需要的鏡像；

Web應用模塊利用PHP開發，使用Mysql儲存網絡用戶帳號信息和實驗題目等信息，主要包括場景管理、實驗題目管理、網絡用戶管理、靶場管理、靶場比賽、成績管理、系統監控、成績瀏覽、網絡拓撲管理、虛擬化管理、虛擬機管理和服務器節點配置等功能；

網絡用戶使用瀏覽器訪問Web應用模塊，選擇要開展實驗項目后，web應用模塊將實驗請求轉發給實驗運行模塊；

實驗運行模塊利用Nova調派資源在1臺服務器節點上實例化實驗所需要的虛擬機；

性能監控模塊周期性監測所有服務器節點上運行的虛擬機數量，選擇運行虛擬機數量的服務器節點，在該節點上實例化網絡用戶開展實驗所要用到的虛擬機。

當網絡用戶開展實驗所需要的環境被創建成功后，網絡用戶可以在支持HTML5和WebSocket的瀏覽器中直接操作虛擬機開展實驗。

本實施方式所述的超融合架構支持在同一套單元設備中同時提供計算、網絡和存儲資源的池化管理。單元設備之間使用低延遲萬兆銅纜或光纖互聯，避免了服務器和存儲設備的重度耦合，省去了部署專用存儲設備的成本。因此，采用超融合架構可以建立擴展性強、可靠性高、易管理和低成本的網絡安全虛擬仿真系統。