一、 信息安全及人才培养的现状

如今，信息化在带来巨大发展机遇的同时也带来了严峻的挑战,防止各种信息泄密、黑客攻击的信息安全人才的短缺就是挑战之一。相对于专业信息安全领域的初步形成，以及信息化建设和信息安全产业发展速度而言,行业的信息安全人才培养机制和手段更加显得匮乏。

网络攻防与其他课程的不同特点就是跨界，尤其体现在学科间的交叉、科内知识细分上。真正的安全研究员，既要了解计算机基础、网络技术、电子和通讯，甚至数学、法律和心理学，又必须精通web渗透、逆向工程、漏洞病毒原理及其利用和防御手段，以及各种溯源、取证、防躲避、操作系统、虚拟化技术乃至安全运维。然而，做到对以上领域样样精通的大牛少之又少，网上流传的书籍也多是针对专业性人才的培养，要想成为复合型人才，还得依靠不断的实践和内化。

然而，由于网络安全技能的特殊性，如何在合法的平台下进行实践和操作，是普通机构和学员难以解决的问题。攻防实战平台很好的解决了这个困扰：它既能与校内课程结合、补充，又可以提供在线教育平台，以及承办CTF之类的赛事。2013年左右，攻防平台的发展可谓如火如荼，而今，借着云计算的东风，基于虚拟化架构的攻防平台成为该领域的最佳实践。本文将梳理攻防平台的发展历程并分享H3C攻防平台的整体设计方案。

二、 传统对抗平台的设计及存在的问题

一些开源的靶机平台（如DVWA、Metasploit、OWASP Broken Web Applications Project等）也能够很好的支撑初学者的需求，但毕竟脱离网络拓扑，单机操作与真正的网络实战还存在差距，并且个人学习者也不容易获得高性能服务器、IPS防御系统等资源。早期的攻防平台能够较好的解决这些问题。

早期的攻防平台多采用实验终端、服务器区、虚拟蜜罐系统搭建。其中防御模型设计如下。这些攻防平台可以支撑简单的攻击如DDoS及病毒的教学演示 ，通过查看被攻击机上的资源使用情况，如CPU、硬盘读写负载等观察受攻击情况。传统框架存在很明显的缺陷：

1、 可扩展性小。攻击机、靶机采用实体机，扩展成本高，无法支持多人同时教学的需求；

2、 可展示效果差：通过靶机上检测PC资源来观察受攻击情况，效果不直观。

3、 教学内容单一：早期的攻防平台多采用传统FW或IPS/IDS ，在性能和四七层安全能力上的瓶颈限制了教学内容和演示效果。

图1：传统攻防平台的架构

图2：传统攻防平台组网

三、 安全攻防平台的进阶阶段

1、 当前攻防平台的基本特征

2013年随着棱镜门事件的爆出，安全厂商在攻防领域内的加大投入，攻防平台也迎来了进阶版。2015年6月，i春秋的高调发布炒热了在线攻防教育，各大CTF赛事的举办也掀起了各安全厂商搭建自己攻防实战靶场的热潮。

此阶段的攻防平台主要以B/S架构为主，利用实验平台资源搭建信息安全教学实训平台，完成理论教学与实训教学的充分结合。这一阶段的攻防平台一般有如下特征：

• 支持方便灵活的实验调用，提高了管理效率；
• 支持远程多人学习、协同实验；
• 支持课程环境自动加载，教学快捷方便；
• 实验数据在内部虚拟化系统传输，最大程度保证信息化教学的安全，不会受外部网络环境造成影响。

此时的攻防平台大多支持瘦客户机配置、多人同时实验，更重要的是，能真实的的反应出网络环境中系统及应用被攻破的动态过程，让学员针对系统本身存在的漏洞、管理权限的设定来进行攻击和加固。

2、 基本框架结构设计

目前主流攻防平台的设计基本如下图所示，通常可以分为渗透区域、靶机区域及管理监控区。管理监控区由防御区域加监控区域组成，其中防御区域也可以裁剪或者Bypass。

图3：典型的攻防平台架构

• 渗透区域

集成windows、windows server、Linux Kali等主流系统以及端口扫描工具、WEB攻击脚本（跨站攻击、SQL注入等），缓冲区溢出，拒绝服务攻击，欺骗攻击，口令破解等攻击手段和工具。可以使用Metasploitable、OWASPBWA等攻击平台对靶机系统渗透，有些课程还可以使用傀儡主机和代理服务器。

• 靶机区域

靶机服务器模拟网络中的主流操作系统，包括windows主机系统、windows server系统、Linux系统、Unix系统等。提供可定制的虚拟攻击目标、实验所需要的权限和漏洞以支持实验。

模拟应用服务器包括：典型的数据库靶机系统、主流web服务器靶机系统、邮件靶机系统、文件服务器靶机系统等应用服务器系统，必要时还可以加入诱骗靶机，蜜罐服务器已预先装好各种主机系统和应用服务器系统，并提供可定制的虚拟攻击目标以及相应的漏洞。

• 管理监控区

管理和监控区，主要由各个管理、监控模块和防御设备组成。其中，任务调度模块用于生成实验，监控模块用于记录、监视当前网络活动及流量，防御告警模块通常可以由一台或多台IPS、IDS、NGFW或WAF设备来组成，根据定义好的规则来过滤攻击流量，提供实时报警，事件记录。通过日志分析，确定事件发生的位置，通过追踪来源，可以更多的了解攻击者，同时也有助于确定防御方案。

管理监控区通过与渗透平台、靶机平台的联动，可以实时地监控整个攻击过程，并根据设置的评分标准对整个攻击过程的渗透主机进行评分和排名，也可以根据靶机系统的加固过程进行评分和排名。

3、 主要功能亮点

上面架构的攻防平台，已经对早期的平台做了很大的改进，基本上能够做到：

• 全程自主操作：从攻击渗透到加固防御、从设备拦截策略设置到日志分析、攻击溯源，学员亲自动手，自主可控。
• 攻防环境真实：完全自主的输入和输出，真实的网络环境和靶机服务器，摆脱了老平台一步一动、固定输入和输出的模式，学员的能力在真实演练中得以挑战和提升。
• 操作过程简单：用户可以通过浏览器直接访问靶场，通过点击网页上的链接来进行实验部署。支持多人同时使用、实验场景动态分配，使用完毕的系统可以简单恢复。

4、 新平台的技术挑战

• 必须拥有先进的计算机架构，具备强大的处理能力

采用的处理器必须在硬件层面上高度支持虚拟技术，从而确保可以提供强大的并行数据处理能力，能够在根本上支撑虚拟系统的高效运转。

• 必须支持64位计算系统，易于升级

内存不足将严重影响虚拟系统的性能，并会直接限制虚拟机的数量，为了能够尽可能地扩展内存的空间，设备需要采用64位计算系统。64位带宽能够突破传统的4GB内存限制，可以轻松升级，让实训平台部署更多的虚拟机，让每台虚拟机可以处理更多的事务。

• 必须提供高效的虚拟化调度算法

能够快速调度和虚拟化出计算机教学所需的各种实验操作环境。虚拟平台调度方便快捷，达到资源共享。

四、 基于虚拟化技术的最佳实践

借鉴H3C在云计算虚拟化领域的领先成果，将CAS技术与攻防平台的设计有机结合，H3C攻防平台不仅能够很好地解决传统平台的问题，更能够支持多样化的教学场景和灵活定制。并具有如下优势：

1、 管理易、部署快

虚拟化技术的使用大大简化了攻防平台的部署难度，通过一根网线接入到实验室网络中，客户端无须安装软件。学生通过web页面访问平台并进行实验，教师和管理员通过web页面进行实验和设备的管理。

整个系统通过云计算虚拟化调度和管理，支持各种实验环境的快速生成，并让学生亲自能对各种计算机、网络设备和安全设备进行实际操作，真实体验操作系统、网络设备、漏洞病毒、攻防手段和实际操演过程的结合。不同虚拟实验环境之间相互隔离，

互不干扰。教学过程中，老师也可以随时中止和干预。实验完毕，一键还原初始设置。依赖CAS业界首创的计算负载均衡算法，动态的用云终端空闲的计算能力分担云主机的计算压力，轻松应对重载应用。

图4：基于CAS技术的攻防平台

图5：实验流程示意图

2、 教学功能丰富

针对虚拟化场景深度优化的多媒体教学管理组件，提供丰富、全面的教学功能，例如：屏幕广播、视频广播、屏幕转播、远程控制、电子白板、电子点名、电子抢答、在线考试等，满足教师日常教学需要，提高教学质量。

3、 教学过程一体化

除了传统的靶场，H3C攻防平台也融入了视频教程、攻防文章、漏洞分析、前沿资讯等模块，通过“案例导入->理论学习->实战操作->巩固内化”的全方位学习，掌握攻击方法、漏洞影响和原理，进一步深化教学实践效果。

4、 动态拓扑生成

通过html5等技术的使用实现通过拖拽图标来搭建复杂网络功能。动态拓扑生成和多种网络设备的加入，最大程度地模拟了真实网络环境，强调了以交互的方式体现网络攻击和防御的实际过程。

云主机和云终端均配置高速固态硬盘，结合H3C的存储分层技术和应用加速技术，极大的加快了系统启动和应用打开的速度，提升用户体验。

5、 开放式平台共建

提供题库管理、内容管理等多种扩展接口，方便定制添加实验内容，同时支持平台的二次开发及开放式的平台共建。

6、 模块化的灵活部署

支持独立部署和融合部署。既能单独接入终端机器进行安全实验，也可以配合客户已有的各类产品，如防火墙、UTM、IDS、内网安全管理系统、交换机、路由器、接入认证系统等安全设备，组合成为真实攻防的全局环境。

图6：课程内容覆盖

五、结束语

虽然在不同的场景中，攻防平台方案的具体需求以及对客户的价值有所不同，但不变的是对这个平台的内容和可操控性、以及性能和扩展的要求。攻防平台的建设应与虚拟化等新技术更加紧密的结合，为越来越多的企业和高校用户提供演练、教学和实训解决方案，为国家培养更多的网安专业人才。