基于PVE的中职网络攻防技术课程云实训平台的设计与实现

基于

PVE

的中职网络攻防技术课程

云实训平台的设计与实现

文

/

珠海市第一中等职业学校高安邦

一

、引言

有网络安全就没有国家安全

，

就没有经

固

、

Linux

操作系统渗透测试及加固等

）

、

济社会稳定运行

，广大人民群众利益也

难以得到保障

。

2018

年

4

月

，

教育部

Web

应用渗透测试及加固

（SQL

注入

、

随着信息技术的发展

，

互联网已经

命令注入

、

文件上传等漏洞渗透测试及

加固

）

、

BT5

和

KaliLinux

系统常见工具的

渗透到我们社会生活的方方面面

。

互联

网在给我们的工作

、

生活带来便利的同

公布最新

《

学位授予和人才培养学科

目录

》

增设

“

网络空间安全

”

一级学

使用等

。

在课程实训过程中

，

学生需要

使用到

WindowsXP

、

Windows2003

、

Win-

时

，

网络空间安全的形势也越来越严

峻

。

尤其是最近几年，

网络安全事件层

岀不穷

，

例如

2013

年的斯诺登事件

、

科

。

在此基础上

，

很多大学增设了网络

空间安全学院

，

网络空间安全人才培养

体系逐步完善

，

网络安全人才培养方兴

未艾

。

dows7

、

Windows2008R2

等

Windows

系

列

的操作系统

，

以及

BackTrack5

、

Kali

2017

年的

Wannacry

勒索病毒

，

等等

。

这些网络安全事件给我们的隐私安全

、

社会安全带来了极大的威胁

，同时也给

Linux

、

ubuntu

、CentOS

等

Linux

系列的操

中职网络安全教育起步晚

，

基础薄

弱

，

面临着教学内容繁复

、

实验条件缺

作系统

。

相比于网络攻防技术课程对实训

环境的较高要求

，

我们当前的单机实训

我们的网络空间安全教育敲响了警钟

。

习近平总书记在

2018

年

4

月

21

日全国

网络安全和信息化工作会议上指岀

，

没

乏等现实问题

。中职网络攻防技术课程

的主要内容涵盖：

操作系统渗透测试及

方式已经显露岀了很多缺陷和不足

。然

加固

（

Windows

操作系统渗透测试及加

而

，

要购买公司全套安全产品建立网络

自动化作业

，

机器人工作区域又不能超

岀其奇点范围

。因此

，

工作台的尺寸受

到限制

，

必需严格控制在机器人的奇点

范围之内

，

否则机器人将不能正常运

生碰撞

，

造成事故

。

发近似实际生产要求的教学实训实践平

台

，

突破因场地

、

时长和安全等因素对

以上提岀在

“

冲压流水线自动化

生产线工作台

”

设计与实际应用过程

技能教学实践的影响

，

给学生创造跟更

多的自动化生产实践机会

，

方能更好地

中岀现的问题和解决的办法

，

为以后的

工业机器人自动化生产线工作平台设

计与开发提供参考

。

行

。

2

.

除了各个工作区域需要遵循以上

为社会输送符合实际岗位需求的自动化

技能型人才

。

“

冲压流水线自动化生产线教学实

要求之外

，

机器人运行过程中所涉及的

四

、结语

随着智能领域和自动化深入的发

各个示教点和运行路径也必须控制在

奇点范围内

。

训平台的设计

”

以冲压流水自动化生

产线为例

，

讲述了整个自动化系统如何

采用西门子

PLC

进行自动控制

，

运用

展，

未来机器人在智能制造

、

工业自动

化和家居智能化等方面将发挥不可替

代的作用

。

3.

机器人运行过程中不能与工作台

任何部位产生碰撞

，

否则不仅会造成生

ABB

工业机器代替人工进行物料搬运

产线事故

，

也会损坏机器人

。例如

，

为了服务社会的发展和企业自动

化岗位的需求

，

各大职业院校已经相继

和自动加工的全过程

，

系统描述了整个

自动化生产线实训平台的设计与开发的

过程，

为工业机器人自动化实训教学平

“冲压流水线自动化生产线工作台

”

中

的机器人

，

完成气缸放料后从该点运行

到下次取料检测位的过程中，

需要绕过

开设了工业机器人方向的自动化专业

，

如何培养有专业技能水平

、

能解决实际

生产问题的自动化技能型人才

，

需要各

台开发提供了参考

。

责任编辑

朱守锂

一个较高的冲压工作区

，

此时机器人运

行路径设计不好就会与冲压工作区发

职业院校的技能实训教学与时俱进

，

开

70

广东教育

•

职教

2021

年第

3

期

安全实训室花费巨大（

100

万元左右

）

。

基于以上原因

，

我们引入

Proxmox

VE

（

下文简称

PVE

）

开源云计算平台

，

利

用学校闲置计算资源

，

为网络攻防技术

课程提供虚拟化实训环境

，

并探索该实

训环境在网络攻防技术课程实训中的

应用模式和应用策略

，

进而评价这种应

用模式的效用

，

更好地变革我们的课程

和实训模式

。

本文从系统架构设计

、

系统实现

、

系统应用实践等角度分析了使用开源

云计算系统

ProxmoxVE

搭建中职网络

攻防技术课程云实训平台的必要性

、

可

行性和效用性

，

对于解决当前中职学校

网络攻防技术课程实训环境缺乏提供

了一种可供借鉴的解决方案

。

二、

概念界定

1.

PVE

PVE

的全称为

Proxmox

Virtual

En-

vironment。

它是一款完全开源的虚拟化

和云计算平台

，

基于

Debian

Linux

开

发

，

涵盖了基于内核的虚拟机

（

KVM

）

和基于容器的虚拟化

（

LXC

）两种虚拟

化技术

。

PVE

采用

Web界面进行管理

，

不需要额外安装客户端程序就能够对

虚拟化环境进行很好的管理。

它具有以

下优势

：

开源软件

，

无需购买

；

基于

Linux内核

，

运行高效

；

支持多种硬件

平台

；

快速安装和易于使用

；

基于

Web

管理界面

；

有社区支持

；

管理成

本低

，

部署简单等特点

。

PVE

在生产

环境下的使用和部署丝毫不逊于

VM

­

ware

公司的

VMware

vSphere

。

2

.

云实训

云实训

，

顾名思义是在云端开展实

训

，

即通过云计算技术支持的环境进行

实训学习

。

换句话说这是一种采用虚拟

化和云计算技术为基础搭建起来的以支

持学生学习与实训为目的的虚拟实训环

境

。

相较于传统机房单机的实训环境,

云实训只需要在有网络连接的环境下

，

登录浏览器就可以进入实训环境

，

因而

具有安全彳更捷

、

突破时空等突岀优点

。

GUANG

DONG

JIAO

YU

三

、

云平台系统架构

和校园网

，

提供在校园网环境下对云实

训平台的访问和管理

。

虚拟交换机是

1

.

系统网络拓扑设计

PVE

集群提供的用于在虚拟主机

（

包

我们采用

3

台普通台式机

、

1

台惠

括

KVM

和LXC

主机

）

之间提供通信连

普服务器以及

1

台千兆交换机完成整个

接的虚拟设备

。

值得一提的是，

我们可

系统的搭建

，

其网络拓扑图如图

1

所

以通过对虚拟交换机的设置决定一台虚

示

。

拟机是否可以跟校园网直接通信

。

该功

能能够为我们提供一个隔离的实训环

校园网

境

，

方便我们做一些具有破坏性的攻防

实验

，

相关设备的配置如表

1

所示

。

接入交换机

2.

系统

IP

规划

本系统中

，

3

台

PVE

服务器和

1

台

NFS

存储服务器的

IP

地址采用校园统一

服务器

分配的

IP

地址

，

以保证能够跟校园网互

通

，

方便学生在校园任意机房都可以访

虚拟交换机

问云实训平台

。

KVM

虚拟机和

LXC

容器

KVM

虚拟机和

采用单独的

IP

地址规划

，

拟采用

172.16.

LXC

容器

1.0/24

（

共计

254

个

IP

地址

，

并配置一台

图

1

PVE

云实训平台的系统设计

DHCP

服务器用于分配

IP

地址

，

后期如

果

IP

地址不够

，

可重新规划

）

，

具体的

其中

3

台主机安装

PVE

系统作为

IP

地址规划如表

2

所示

。

PVE

服务器

，构成

PVE

集群

。

惠普服

务器安装

Centos

系统作为

NFS

服务器

四

、

攻击机和靶机设置

为

PVE

提供共享存储

，

用于存放虚拟

1.

攻击机配置

机文件

。

1

台物理交换机用于连接主机

基于

PVE

的云实训平台搭建完成

表

1

设备参数

设备

CPU

内存

硬盘

PVE01

i5-3470,

3.2GHz

32G

500SSD+2THD

PVE02

i5-3470,

3.2GHz

12G

500SSD+1THD

PVE03

i5-3470,

3.2GHz

16G

500SSD+1THD

CentOS

(

NFS)

E5504

,

2GHz

32G

2THD

表

2

PVE

服务器

IP

地址规划

设备

IP

地址

（

段

）

操作系统

是否可访问校园网

PVE01

10.11.124.110

Proxmox6.2

是

PVE02

10.11.124.111

Proxmox6.2

是

PVE03

10.11.124.112

Proxmox6.2

是

CentOS

(

NFS)

10.11.124.114

Centos7.5

是

虚拟机或容器

172.16.0.0/24

Linux

、

Winddows

否

广东教育

•

职教

2021

年第

3

期

71

之后

，

为了开展网络攻防实验

，

我们

还需要准备好攻击机和靶机的模板

。为

了降低大量虚拟机运行对资源的消耗

，

我们的攻击机以

PVE

官网下载的

Debi-

an10

的

LXC

镜像为基础

，

自行添加渗

透测试工具

。

基于

Debian10的

LXC

镜

像仅有

225MB

大小

，

创建虚拟机之后

仅需分配

512MB

的内存就可以流畅运

行

。

此外

，LXC

虚拟机启动速度特别

快

，

仅需几秒钟的时间就可以完成启

动

，

大大降低了学生开启虚拟机所需要

的等待时间

。

网络攻防实验中可以选用的工具特

别多，

我们选取了其中比较经典的几款

软件安装到

Debian

虚拟机，

这些软件包

括

：

nmap

、

p0f

、arping

、

fping

、

hping3

、

ncat

、

nikto

、

sqlmap

、

crunch

、

medusa

、

ncrack

、

hydra

、

metasploit

、

weevely

等

。

攻击机配置完成之后

，

我们将该虚

拟机转化成模板

，

然后使用

shell

脚本

批量克隆略大于学生数量的虚拟机

，

使

用的代码如表

3

所示

。

另外

，

我们还可以下载专门的渗透

测试操作系统

，

通过创建

KVM

虚拟机

的方式制备攻击机模板

，

这些系统包

括

：

KaliLinux

、

BT5

、

BlackArch

、

Par-

rotOS

等

。

2

.

靶机配置

网络攻防技术云平台的靶机资源

主要有两种类型

：

Windows

虚拟机和

Linux

虚拟机

。

Windows

虚拟机的制备

相对比较麻烦

，

Windows

的系统版本包

括

Windows2000

、

WindowsXP

、

Win-

dows2003

和

Windows7

。

这些系统安装

完成之后需要关闭防火墙

，

无需安装安

全补丁

。

此外

，

我们还要人为安装部署

一些漏洞软件和网站

。

例如

，

我们在

WindowsXP

虚

拟

机

上

安

装

了

office

、

flash

、

phpstudy

、

IE6

、

Serv-U

等具有已

知漏洞的软件

，

部署了

DVWA

、

pikachu

、

72

广东教育

•

职教

2021

年第

3

期

表

3

#!

/bin/bash

#

功能

：

复制

LXC

虚拟机

#

输入模板机

，

根据模板机克隆指定数量的虚拟机

pctClone()|

#

定义克隆函数

read

-p

"

请输入虚拟机模板

id

:

"

template

#

输入虚拟机模板

read

-p

"

请输入

LXC

虚拟机的起始

id

:"

started

#

输入克隆虚拟机起始

id

read

-p

"

请输入

LXC

虚拟机的结束

id

:"

endid

#

输入克隆虚拟机结束

id

read

-p

"

请输入

LXC

虚拟机的名字

：

"

pctname

#

输入虚拟机的主机名

for

ct

in

$

(

seq

$

startid

$

endid)

do

pct

clone

$

template

$

ct

--hostname

$

pctname

#

循环克隆虚拟机

done

pctClone

#

调用该克隆函数

wordpress

、

joomla

等带有已知漏洞的渗

多种形式的攻防实训

，

不仅为学生提供

透测试网站

。

了接近真实情形的训练环境

，

同时也增

对于

Linux

系统

，

我们选用了业界

加了实训课程的趣味性

。

比较岀名的

Metasploitable2

作为渗透测

测

试

发

现

，

在

同

时

提

供

100

台

试平台

，

该平台集成了弱口令

、

Sam

­

Linux

攻击机

、

100

台

WindowsXP

靶机

ba.

vsFTpd

、PHP

CGI

、

Druby

等软件

的实战场景下

，

PVE

服务器集群的资

漏洞

，

以及几个

Web

渗透测试网站

，

源消耗分别为

：

CPU

(41%)

、

内存

如

Mutillidae

、

DVWA

、

TWiki

等

。

这里

(45%)

、

存储

(

6%)

。

其中

100

台攻击

需要特别说明的是

，

Metasploitable2

是

机使用的是

LXC

模板

，

每台给定内存

以

VMWare

虚拟机的方式发行的

，

我们

为

512MB

，

经测试可以流畅使用

；

100

从网上下载打包文件

，

导入

VMWare

软

台

WindowsXP

虚拟机给定内存也是

件即可直接使用

。

但是如果需要将该文

512MB

，

由于是作为靶机

，

只需要正常

件导入

PVE

平台

，

我们首先需要从

开机就可以了

，

不需要进行操作

。

因

VMWare

导岀

该虚拟机的

OVF

格式文

此

，

本云实训平台不仅可以满足两个班

件

，

然后使用

UltraISO

制备岀该文件的

(

每班

50人

)

同时上课

，

还具有很大

iso

文件

，

再利用

PVE

的

web

界面上传

的扩展空间

。

经测试发现

，

本云实训平

到

PVE

服务器

，

并最终使用

qmimpor-

台能够有效支持学生开展网络攻防技术

tovf

命令还原成

PVE

平台的虚拟机

。

课程的相关实验条件

，

满足学生单兵作

五

、

云实训平台的应用

战

、

夺旗

、

混战等多种实训场景

，

其可

行性

、

适用性和效用性符合预期

。

在完成了

PVE

云实训平台的搭建

之后

，

我们可以使用自己创建的攻击机

［

基金项目

：

珠海市教育科研

“

十

和靶机完成相应的渗透测试实验

。

PVE

三五

”

规划第四批课题

“

基于

Proxmox

云实训平台除了可以支持单个学生自

VE

构建网络攻防技术课程云实训环

主训练网络攻防实验之外

，

还可以支持

境

”

(

课题编号

：

2019KTG108)

。

］

夺旗

(

CTF)

、

混战等相关实验

。

通过

责任编辑

何丽华