基于PVE 的中职网络攻防技术课程
云实训平台的设计与实现
文/珠海市第一中等职业学校高安邦
一、引言
随着信息技术的发展, 互联网已经 渗透到我们社会生活的方方面面。 互联 网在给我们的工作、生活带来便利的同
时, 网络空间安全的形势也越来越严 峻。尤其是最近几年,网络安全事件层 岀不穷,例如2013年的斯诺登事件、
2017年的Wannacry 病毒,等等。 这些网络安全事件给我们的隐私安全、 社会安全带来了极大的威胁,同时也给
我们的网络空间安全教育敲响了警钟。 习近平总书记在2018年4月21日全国 网络安全和信息化工作会议上指岀,没
有网络安全就没有国家安全, 就没有经 济社会稳定运行,广大人民众利益也 难以得到保障。2018年4月,教育部
公布最新《学位授予和人才培养学科 目录》增设“网络空间安全” 一级学
科。 在此基础上, 很多大学增设了网络 空间安全学院, 网络空间安全人才培养 体系逐步完善,网络安全人才培养方兴 未艾。
中职网络安全教育起步晚,基础薄 弱,面临着教学内容繁复、实验条件缺
乏等现实问题。中职网络攻防技术课程 的主要内容涵盖:操作系统渗透测试及
加固(Windows 操作系统渗透测试及加 固、Linux 操作系统渗透测试及加固等)、
Web 应用渗透测试及加固(SQL 注入、
命令注入、文件上传等漏洞渗透测试及 加固)、BT5和KaliLinux 系统常见工具的
使用等。 在课程实训过程中, 学生需要 使用到 WindowsXP 、Windows2003、Win-
dows7、 Windows2008R2 等 Windows  系 列 的操作系统,以及BackTrack5、Kali
Linux 、ubuntu 、CentOS  等 Linux  系列的操
作系统。
相比于网络攻防技术课程对实训 环境的较高要求,我们当前的单机实训
方式已经显露岀了很多缺陷和不足。然
而,要购买公司全套安全产品建立网络
自动化作业, 机器人工作区域又不能超 岀其奇点范围。因此,工作台的尺寸受 到限制,必需严格控制在机器人的奇点 范围之内, 否则机器人将不能正常运
行。
2. 除了各个工作区域需要遵循以上
要求之外, 机器人运行过程中所涉及的 各个示教点和运行路径也必须控制在 奇点范围内。
3. 机器人运行过程中不能与工作台 任何部位产生碰撞,否则不仅会造成生
产线事故,也会损坏机器人。例如, “冲压流水线自动化生产线工作台” 中 的机器人,完成气缸放料后从该点运行 到下次取料检测位的过程中,需要绕过
一个较高的冲压工作区, 此时机器人运 行路径设计不好就会与冲压工作区发
生碰撞, 造成事故。以上提岀在“冲压流水线自动化 生产线工作台” 设计与实际应用过程
中岀现的问题和解决的办法, 为以后的 工业机器人自动化生产线工作平台设 计与开发提供参考。
四、结语
随着智能领域和自动化深入的发
展,未来机器人在智能制造、工业自动 化和家居智能化等方面将发挥不可替 代的作用。
为了服务社会的发展和企业自动 化岗位的需求, 各大职业院校已经相继
开设了工业机器人方向的自动化专业, 如何培养有专业技能水平、 能解决实际 生产问题的自动化技能型人才, 需要各
职业院校的技能实训教学与时俱进,开
发近似实际生产要求的教学实训实践平 台,突破因场地、时长和安全等因素对
技能教学实践的影响,给学生创造跟更 多的自动化生产实践机会, 方能更好地
为社会输送符合实际岗位需求的自动化 技能型人才。
“冲压流水线自动化生产线教学实
训平台的设计”以冲压流水自动化生 产线为例,讲述了整个自动化系统如何 采用西门子PLC 进行自动控制,运用
ABB 工业机器代替人工进行物料搬运
和自动加工的全过程,系统描述了整个 自动化生产线实训平台的设计与开发的 过程, 为工业机器人自动化实训教学平
台开发提供了参考。
责任编辑朱守锂
70
广东教育•职教2021年第3
GUANG DONG JIAO YU
安全实训室花费巨大(100万元左右)。基于以上原因,我们引入Proxmox VE (下文简称PVE)开源云计算平台,利用学校闲置计算资源,为网络攻防技术课程提供虚拟化实训环境,并探索该实训环境在网络攻防技术课程实训中的应用模式和应用策略,进而评价这种应用模式的效用,更好地变革我们的课程和实训模式。
本文从系统架构设计、系统实现、系统应用实践等角度分析了使用开源云计算系统ProxmoxVE搭建中职网络攻防技术课程云实训平台的必要性、可行性和效用性,对于解决当前中职学校网络攻防技术课程实训环境缺乏提供了一种可供借鉴的解决方案。
二、概念界定
1.PVE
PVE的全称为Proxmox Virtual En-vironment。它是一款完全开源的虚拟化和云计算平台,基于Debian Linux开发,涵盖了基于内核的虚拟机(KVM)和基于容器的虚拟化(LXC)两种虚拟化技术。PVE采用Web界面进行管理,不需要额外安装客户端程序就能够对虚拟化环境进行很好的管理。它具有以下优势:开源软件,无需购买;基于Linux内核,运行高效;支持多种硬件平台;快速安装和易于使用;基于Web管理界面;有社区支持;管理成本低,部署简单等特点。PVE在生产环境下的使用和部署丝毫不逊于VM­ware公司的VMware vSphere。
2.云实训
云实训,顾名思义是在云端开展实训,即通过云计算技术支持的环境进行实训学习。换句话说这是一种采用虚拟化和云计算技术为基础搭建起来的以支持学生学习与实训为目的的虚拟实训环境。相较于传统机房单机的实训环境,云实训只需要在有网络连接的环境下,登录浏览器就可以进入实训环境,因而具有安全彳更捷、突破时空等突岀优点。
三、云平台系统架构
1.系统网络拓扑设计
我们采用3台普通台式机、1台惠
普服务器以及1台千兆交换机完成整个
系统的搭建,其网络拓扑图如图1所
示。
校园网
接入交换机
服务器
虚拟交换机
KVM虚拟机和
LXC容器
图1PVE云实训平台的系统设计
其中3台主机安装PVE系统作为
PVE服务器,构成PVE集。惠普服
务器安装Centos系统作为NFS服务器
为PVE提供共享存储,用于存放虚拟
机文件。1台物理交换机用于连接主机
表1设备参数
设备CPU内存硬盘
PVE01i5-3470,  3.2GHz32G500SSD+2THD
PVE02i5-3470,  3.2GHz12G500SSD+1THD
PVE03i5-3470,  3.2GHz16G500SSD+1THD CentOS(NFS)E5504,2GHz32G2THD
表2PVE服务器IP地址规划
设备IP地址(段)操作系统是否可访问校园网
PVE0110.11.124.110Proxmox6.2是
PVE0210.11.124.111Proxmox6.2是
PVE0310.11.124.112Proxmox6.2是CentOS(NFS)10.11.124.114Centos7.5是
虚拟机或容器172.16.0.0/24Linux、Winddows否
和校园网,提供在校园网环境下对云实
训平台的访问和管理。虚拟交换机是
PVE集提供的用于在虚拟主机(包
括KVM和LXC主机)之间提供通信连
接的虚拟设备。值得一提的是,我们可
以通过对虚拟交换机的设置决定一台虚
拟机是否可以跟校园网直接通信。该功
能能够为我们提供一个隔离的实训环
境,方便我们做一些具有破坏性的攻防
实验,相关设备的配置如表1所示。
2.系统IP规划
本系统中,3台 PVE服务器和1台
NFS存储服务器的IP地址采用校园统一
分配的IP地址,以保证能够跟校园网互
通,方便学生在校园任意机房都可以访
问云实训平台。KVM虚拟机和LXC容器
采用单独的IP地址规划,拟采用172.16.
1.0/24(共计254个IP地址,并配置一台
DHCP服务器用于分配IP地址,后期如
果IP地址不够,可重新规划),具体的
IP地址规划如表2所示。
四、攻击机和靶机设置
1.攻击机配置
基于PVE的云实训平台搭建完成
广东教育•职教2021年第3期
71
之后,为了开展网络攻防实验,我们 还需要准备好攻击机和靶机的模板。为
了降低大量虚拟机运行对资源的消耗, 我们的攻击机以PVE 下载的Debi-
an10的LXC 镜像为基础,自行添加渗 透测试工具。基于Debian10的LXC 镜
像仅有225MB 大小,创建虚拟机之后 仅需分配512MB 的内存就可以流畅运
行。此外,LXC 虚拟机启动速度特别
快,仅需几秒钟的时间就可以完成启
动, 大大降低了学生开启虚拟机所需要 的等待时间。
网络攻防实验中可以选用的工具特
别多,我们选取了其中比较经典的几款 软件安装到 Debian  虚拟机, 这些软件包
括: nmap 、p0f 、arping 、fping 、hping3、 ncat 、nikto 、 sqlmap 、 crunch 、 medusa 、
ncrack 、hydra 、metasploit 、weevely  等。攻击机配置完成之后, 我们将该虚 拟机转化成模板, 然后使用 shell  脚本
批量克隆略大于学生数量的虚拟机,使 用的代码如表3所示。
另外, 我们还可以下载专门的渗透
测试操作系统,通过创建KVM 虚拟机 的方式制备攻击机模板, 这些系统包 括: KaliLinux 、 BT5、 BlackArch 、 Par- rotOS  等。
2.靶机配置
网络攻防技术云平台的靶机资源
主要有两种类型:Windows 虚拟机和 Linux 虚拟机。Windows 虚拟机的制备 相对比较麻烦,Windows 的系统版本包
括 Windows2000、 WindowsXP  、 Win-
dows2003 和 Windows7。 这些系统安装 完成之后需要关闭防火墙,无需安装安
全补丁。此外,我们还要人为安装部署 一些漏洞软件和网站。例如,我们在 WindowsXP  虚 拟 机 上 安 装 了 office 、 flash 、 phpstudy 、 IE6、 Serv-U  等具有已
知漏洞的软件, 部署了 DVWA 、 pikachu 、表3
#! /bin/bash
#功能:复制LXC 虚拟机
#输入模板机,根据模板机克隆指定数量的虚拟机
pctClone()|
#定义克隆函数read  -p  "请输入虚拟机模板id  : " template  #输入虚拟机模板read  -p  "请输入LXC 虚拟机的起始id  :" started  #输入克隆虚拟机起始id read  -p  "请输入LXC 虚拟机的结束id :" endid  #输入克隆虚拟机结束id read  -p  "请输入LXC 虚拟机的名字:"pctname
#输入虚拟机的主机名
for  ct  in  $ ( seq  $startid  $endid) do
pct  clone  $template  $ct  --hostname  $pctname  #循环克隆虚拟机
done
pctClone  #调用该克隆函数
wordpress 、joomla 等带有已知漏洞的渗 透测试网站。
对于Linux 系统,我们选用了业界
比较岀名的Metasploitable2作为渗透测 试平台,该平台集成了弱口令、Sam ­
ba. vsFTpd 、PHP  CGI 、Druby  等软件 漏洞,以及几个Web 渗透测试网站, 如 Mutillidae 、DVWA 、TWiki  等。这里
需要特别说明的是,Metasploitable2是
以 VMWare  虚拟机的方式发行的, 我们 从网上下载打包文件,导入VMWare 软
件即可直接使用。 但是如果需要将该文 件导入PVE 平台,我们首先需要从
VMWare  导岀 该虚拟机的 OVF  格式文 件, 然后使用 UltraISO  制备岀该文件的 iso 文件,再利用PVE 的web 界面上传
到PVE 服务器,并最终使用qmimpor-
用phpstudy搭建网站
tovf 命令还原成PVE 平台的虚拟机。
五、云实训平台的应用
在完成了 PVE  云实训平台的搭建
之后, 我们可以使用自己创建的攻击机
和靶机完成相应的渗透测试实验。 PVE
云实训平台除了可以支持单个学生自 主训练网络攻防实验之外, 还可以支持
夺旗(CTF)、混战等相关实验。通过
多种形式的攻防实训, 不仅为学生提供 了接近真实情形的训练环境, 同时也增
加了实训课程的趣味性。
测 试 发 现, 在 同 时 提 供 100 台
Linux 攻击机、100台WindowsXP 靶机 的实战场景下,PVE 服务器集的资
源消耗分别为:CPU  (41%)、内存 (45%)、存储(6%)。其中100台攻击 机使用的是LXC 模板,每台给定内存
为 512MB , 经测试可以流畅使用; 100
台 WindowsXP  虚拟机给定内存也是
512MB , 由于是作为靶机, 只需要正常 开机就可以了,不需要进行操作。因
此, 本云实训平台不仅可以满足两个班 (每班50人)同时上课,还具有很大
的扩展空间。经测试发现,本云实训平 台能够有效支持学生开展网络攻防技术 课程的相关实验条件,满足学生单兵作 战、 夺旗、 混战等多种实训场景, 其可
行性、 适用性和效用性符合预期。
[基金项目:珠海市教育科研“十 三五”规划第四批课题“基于Proxmox
VE 构建网络攻防技术课程云实训环 境”(课题编号:2019KTG108)。]
责任编辑何丽华
72广东教育•职教2021年第3