[发明专利]一种微服务化的网络安全实验系统

说明书

本发明公开了一种微服务化的网络安全实验系统，涉及云计算和网络安全技术，包括云计算服务子系统、网络安全实验资源池配置子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统。本发明利用基于容器集群的微服务分配和管理多种虚拟网络安全功能，通过采用容器及虚拟机构建和池化虚拟安全设备，利用软件定义网络配置虚拟安全设备转发路径，结合基于虚拟机的客户端，支持批量、每个用户独享的、复杂多样的网络安全实验场景，具有良好的灵活性和动态伸缩性，提高资源利用率。

技术领域

本发明涉及云计算和网络安全技术，特别涉及一种微服务化的网络安全实验系统。

背景技术

随着云计算技术的兴起，虚拟网络环境正在逐渐取代传统真实网络环境，成为高校或研究机构进行网络安全教学和研究的新型解决方案。此类方案采用虚拟网络技术，克服了真实网络环境的硬件购置和维护成本昂贵以及网络漏洞存在风险等缺点，在规模庞大、结构复杂的网络场景中，如高校网络安全实验室教学，有着非常明显的优势。于2009年6月10日公开的名称为“一种基于真实组网环境的虚拟组网实验平台的构建方法”的发明专利CN101452649A，提供了基于真实网络环境的半虚拟化网络环境构建方法。于2014年4月2日公开的名称为“基于虚拟化和云技术的远程网络攻防虚拟仿真系统”的发明专利CN103701777A，通过分别配置虚拟机作为攻击机和靶机让学生进行攻防实验。

已有的基于云计算技术的虚拟网络安全实验系统通常采用虚拟机和虚拟私有网络结合的方式，为每个使用者搭建逻辑上相互隔离的一整套实验环境，虽然一定程度上降低了硬件设备投入的数量和成本，但是无法进行包含多种网络设备的复杂网络安全实验，而且大批量虚拟机的部署速度缓慢，占用额外资源多。

发明内容

为了解决现有技术中所存在的技术问题，本发明提出一种微服务化的网络安全实验系统，利用基于容器集群的微服务分配和管理多种虚拟网络安全功能，通过采用容器及虚拟机按需构建、池化虚拟安全设备，利用软件定义网络配置虚拟安全设备转发路径，结合虚拟机的客户端，支持批量、每个用户独享的、复杂多样的网络安全实验场景。

本发明采用的技术方案如下：一种微服务化的网络安全实验系统，包括云计算服务子系统、网络安全实验资源池配置子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统；网络安全实验资源池配置子系统分别与云计算服务子系统、网络安全实验方案配置管理子系统、实验所需云服务资源按需调度服务子系统和用户安全实验服务子系统连接；实验所需云服务资源按需调度服务子系统分别与用户安全实验服务子系统、网络安全实验方案配置管理子系统连接。

优选地，云计算服务子系统包括提供标准化云服务的硬件和系统软件运行环境，支持按需提供虚拟机、容器服务及基于软件定义支持的网络联接服务，将虚拟机或者容器按照软件定义要求联接起来，形成可供用户使用的实验教学环境资源。

优选地，网络安全实验资源池配置子系统按照网络安全实验要求，调度云计算服务子系统的计算、存储、网络及接口资源，构建具备多个网络接口的虚拟安全设备池；虚拟安全设备为虚拟交换机、虚拟防火墙、虚拟网络入侵保护系统、虚拟防内容泄露系统、虚拟攻击机器、虚拟WAF、虚拟受攻击主机、虚拟数据库服务器或虚拟网页服务器。

优选地，相同虚拟安全设备由实验所需云服务资源按需调度服务子系统结合实例化模板产生，构成按需服务的该类虚拟安全设备池；所述实例化模板用来创建实验所需云服务资源按需调度服务子系统管理的容器或者虚拟机资源，模板内容包含容器或者虚拟机的镜像类型、CPU性能、内存大小以及网络端口映射。

优选地，网络安全实验方案配置管理子系统支持管理者采用软件定义方式，为实验者配置安全实验方案；依据安全实验方案，产生支持实验所需云服务资源按需调度服务接口要求的配置参数及资源调度方案。