虚拟云主机在网络安全的应用探索

摘要：

随着《中华人民共和国网络安全法》出台并正式实施，而后到了2019年12月网络安全等级保护标准2.0正式开始推广执行。以上两个事件标志着我国网络安全建设进入主动防御时代。上至政府机关、国有企业，下到中小型创新企业，乃至每一个公民的的网络安全有了保障！

在这种大环境下，网络安全行业将无疑将迎来稳健的发展，但同时，对网络安全从业人员可以说是机遇与挑战并存。我所研究的《虚拟云主机在网络安全的应用探索》这一课题，旨在研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进，从而对现有的安全检查方式进行转型升级，使之多方结合，各取其优，继而跟上网络信息安全等保2.0时代升级的步伐。

关键词： 网络安全、虚拟云主机、等保2.0、主动防御。

---

Exploration of Application of Virtual Cloud Host in Network Security

Abstract：

With the "People's Republic of China Cyber Security Law" promulgated and officially implemented, then in December 2019, the Multi-level Protection Scheme (“MLPS”) 2.0 system was officially promoted and implemented. The above two events signify that China's network security construction has entered an era of active defense. From government agencies, state-owned enterprises, to small and medium-sized innovative enterprises, and even the network security of every citizen is guaranteed!

In this general environment, the network security industry will undoubtedly usher in steady development, but at the same time, it can be said that opportunities and challenges coexist for network security practitioners. My research topic "Exploration of Virtual Cloud Hosting in Network Security" aims to study how to deploy the virtual cloud host to the intranet, and integrate the existing security detection tools into the virtual cloud host and improve it. Therefore, the existing security inspection methods will be transformed and upgraded, so that they can be combined in multiple ways, and each will be optimized, and then keep up with the pace of upgrading in the era of the Multi-level Protection Scheme (“MLPS”) 2.0 system.

Keywords： Network Security，Cloud Base Virtua Hosts ,“MLPS”2.0，Active Defense

目录

第1章 绪论11.1 研究的背景和意义11.1.1 国内外背景11.1.2 探索意义21.2 虚拟云部署的目的和原则31.2.1 实现目的31.2.2 遵守原则31.3 论文的主体结构、研究方法31.3.1 主体结构31.3.2 研究方法4第2章 需求分析52.1 网络安全行业的需求52.2 企业的需求62.3 职业人员的需求6第3章 相关技术和工具83.1 应用中的相关技术83.1.1 对等式网络（peer-to-peer）83.1.2 虚拟专用网络（Virtual Private Network）83.1.3 云服务器ECS（Elastic Compute Service）83.2 需要使用的工具93.2.1 云翼计划-ECS服务器93.2.2 树莓派 （Raspberry Pi）93.2.3 N2N93.2.4 Network Mapper103.2.5 AVWS漏洞扫描器(Web Vulnerability Scanner)10第4章 设计实现114.1 总体的设计方案114.1.1 异地组建虚拟局域网方案114.1.2 虚拟局域网内的IP分配124.2 实现流程展示124.2.1 前期准备124.2.1.1 ECS云服务器准备124.2.1.2 树莓派3b准备154.2.1.3 下载安装N2N164.2.2 虚拟局域网搭建174.2.3 内网接入204.2.4 在S-Node 部署Nmap扫描器214.2.5 在S-Node 部署AWVS扫描器21第5章 测试及实际应用235.1 测试效果235.1.1 测试虚拟局域网内的连接235.1.2 测试从EdgeB是否能与EdgeA内网中的服务器进行通信245.2 功能应用展示245.2.1 通过EdgeB登陆部署在Snode的AWVS扫描器进行扫描24第6章 总结与展望26参考文献27致谢28

绪论

1. 研究的背景和意义

2. 国内外背景 2020，对网络安全来说似乎也是一个轮回之年。刚刚过去的RSAC，其年度主题又回到了老生常谈的瓶颈——Human Element（人为因素）。网络安全的热门话题波澜壮阔地绕了好几年，五花八门的高级概念说了个遍，然后在各种要求重视的急迫喊话终于发现：想要真正解决核心问题，还是得回归本源。 网络安全追根溯源，终归是要解决攻防问题中的人为因素！ 放眼真实世界的网络攻防，无论发生在物理世界，还是网络的虚拟空间，操纵各类系统、数据、应用等等工具的背后因素，终归还是人。这是在具备了同样资源的情况下，能把安全问题解决得高下立见的决定因素。 纵观近些年来的国内外的互联网环境，通过各种危险等级的新旧漏洞进行Cyber攻击的互联网安全问题，自始至终都伴随着整个互联网行业的蓬勃发展而不断涌现，好像灯光下的阴影一般难以剥离。而近些年，网络安全的威胁形式以及攻击方式也出现了不同的变化：从单一个人的入侵行为慢慢发展成为有组织有目标且具有强烈针对性的大规模多重攻击。 “新型攻击方式的变化：仍然会利用各种漏洞，比如：Google 极光攻击事件中被利用的 IE 浏览器溢出漏洞，Shady RAT 攻击事件中被利用的 EXCEL 程序的 FEATHEADER 远程代码执行漏洞。其实攻击者攻击过程并非都会利用 0day 漏洞，比如 FEATHEADER 远程代码执行漏洞，实际上，大多数攻击都是利用的已知漏洞。对于攻击者来说，IT 系统的方方面面都存在脆弱性，这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令，也包括容易被忽略的错误安全配置问题，以及违反最小化原则开放的不必要的账号、服务、端口等。 ”[1]1 但是，在网络安全原有威胁形式严重恶化的情况下，现有网络安全检查员仍在使用原有的固化安全检查方法和检测工具，仅对网络系统进行季度或半年一次的安全检查。 这样，很难通过安全检查提前修复网络安全漏洞。网络安全检查员需要对负责系统的网络漏洞进行全方位、多层次的有效检查，及时修复存在的网络漏洞问题，确保修复正确完成。另外，在新型漏洞被发现时，应该要做到及时部署检测，以避免时间差攻击导致整体系统的沦陷。 正是以上种种原因，我国《中华人民共和国网络安全法》于2016年11月7日出台并于次年6月1日正式实施，以及2019年12月，网络安全等级保护标准2.0正式开始执行应用，标志着我国网络安全建设进入主动防御时代。

3. 探索意义 随着《中华人民共和国网络安全法》出台以及于2017年正式实施，再到2019年12月，网络安全等级保护标准2.0正式开始实施应用，证明我国网络安全建设顺应时代变化，开始进入主动防御时代。这意味着过去单一的、分散的安全检查方式需要进化成为系统的、全面的、整合型检查。相应的，检查时间也会更为频繁，从之前的一年一检变成半年乃至一季度进行一次检查，重要的资产甚至是以用一检。而对于新型高危漏洞，更要针对性的进行检测，尽可能做到发布即可部署检测方式。 以上这些安全检查变化既是对安全检查人员的考验，也是对现有安全检测工具升级整合的契机。 为此，本课题意在研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进，从而对现有的安全检查方式进行转型升级，使之多方结合，各取其优，继而跟上网络信息安全等保2.0时代升级的步伐。

1. 虚拟云部署的目的和原则

2. 实现目的

本课题开发的主要目的及内容：

通过部署在虚拟云主机上的N2N服务实现异地组网，使个人通过服务远程接入内网进行安全检查或通过快速部署云主机上的安全工具对内外网进行指向性安全检查从而达到云端主动防御的目的。

重点需要实现以下功能：

1. 7*24小时在线；

2. 从云端快速接入；

3. 可通过接入点连入内网环境；

4. 模块化安装运行安全检查插件；

5. 危情及时通告。

6. 遵守原则

本课题研究的遵守的原则如下：

1. 符合相关法律法规；

2. 保证应用服务的安全性

3. 保证不对实验目标产生负面影响（如过分降低性能、引起业务中断等）；

4. 实验测试必须在获得许可的情况下进行；

5. 保证课题的各项数据真实可靠；

6. 保证参考数据来源透明可溯源。

7. 论文的主体结构、研究方法

8. 主体结构

本课题将结合自身实习过程中遇到的问题，研究如何把虚拟云主机部署接入内网，同时将现有安全检测工具整合同一到虚拟云主机并加以改进。

主体结构将分为6个章节：

1. 绪论：介绍研究背景及意义，本课题所要实现的目的、遵守的原则，论文的主体结构及研究方法。

2. 需求分析：对网络安全行业的需求分析以及根据本人实习工作中切实体会到的需求进行阐述。

3. 相关技术和工具：用于对课题中用到的各种辅助工具及相关技术进行相应的介绍。

4. 设计实现：详细介绍整体设计方案思路以及具体的实现流程。

5. 测试及实际应用：对设计实现的功能进行测试以及实际应用。

6. 总结与展望：针对本次研究的过程和结果进行总结归纳，衡量各方面得失，并将所得经验吸收归纳，进而展望未来的无限可能！

7. 研究方法 本课题将采用理论研究、实验研究、评价研究、实际应用等方法开展实践。 对于已有的、成熟的技术（如漏洞扫描、流量检测等技术）采取理论研究并根据前人的总结经验加以实践；而对于一些较为创新或理论基础较少的技术方法则需要对应进行实验研究，不断试误、调优进而完成模型建设；在实验试误、调优的过程中出现的不同结果则需要使用评价研究的方法取最优路线完成对安全检测平台的整合实现；完成过程中加入在实战过程中的实际应用以使得课题加以完善。 研究的技术路线：

8. 深入了解云端虚拟化的技术特点，解决平台部署问题；

9. 研究从云端到内网的加密接入方法；

10. 学习研究跨类别安全检测工具的统一整合方法；

11. 学习构建简单、易用、安全系统界面；

12. 研究模块化插件的实现方法。 需求分析

1. 网络安全行业的需求 让我们来头脑风暴一下：自国内网络安全、信息安全开始出现行业需求至今将近30年之间里，有什么是一直在变？又有什么始终不变？ 其实这个问题很简单！正如我们所知道的、感受到的：随着时代的更迭，技术、应用场景、用户的需求不断在变。始终不变的是人为因素导致的结果。 层出不穷的变化导致了网络安全防御理念的变化。为了适应新的市场环境，厂商战略和产品组合都需要随之做出调整。 图2-1 网络防御理念发展史 如图2-1所示，最初的单点防御(我们通常称为杀毒软件)是安全防御概念的一个独立时代。当Internet出现时，就有了内部网和外联网分离的安全概念，网络世界也因而进入了以“杀软、防火墙、入侵检测”为基础的防御时代。后来，企业用户开始拥有自己的服务器、网站和网站业务系统的部署，这使得安全设备的需求变得更加多样化。尽管如此，多样化安全设备也是一直以“城墙+护城河”的“防御理念+守护模型”来保卫网络资产安全。近年来，随着移动互联网和云计算的发展，企业应用迁移到云上，用户可以从移动终端访问云上的企业应用，边界模糊，防御系统深度被打破，“零信任”逐渐成为主流的安全防御理论。 与此同时，网络技术产业正在掀起新一轮科技创新浪潮。移动互联网、物联网和云计算的普及和应用，使得网络安全技术具有多样性应用场景。人工智能、大数据等新技术的逐渐成熟，也带动了安全产品的升级和创新。在云、移动、工业控制和物联网等场景中其中，vFW、云主机安全、工控防火墙、物联网安全网关等我们在市场上看到的也都是在传统安全的基础上进行新场景的适应搞，也就是一般所说的“老产品解决新问题”。今天，我们所说的情景感知、EDR、IDaaS、NTA和UEBA都应用新技术来升级旧产品该产品更有效，但安全问题与十年前没有太大的不同，通常被称为“解决老问题的新方法”。 正因如此，现有的传统的安全检查防御方式应该与云端进行整合，随着整合实现转型升级，在边界模糊、纵深防御体系瓦解之前，找到符合“零信任”防御理念的主动防御模式，这也是当前网络安全行业迫切需求！

2. 企业的需求 在网络安全行业的迫切需求下，企业的需求也随之而来。把安全防御工具转移到云主机上，可以有效使现有的安全服务工具在功能多样化的同时，加快部署的速度，还能减少各项不必要的开销。这无疑是利大于弊的。 首先，云端的运算能力和带宽是可以实现弹性增长，空闲时的算力又可以智能优先调配到其他服务上，这样可以有效利用服务器的闲置算力，从而使服务器收益达到最大化！ 另外，整合到云端以后能实现一对多服务，通过跳板实现多点接入，对多地资产进行统一管理。这样一来可以缩小团队管理规模，简化管理流程，减少管理带来的人力、差旅等开销。 还有就是云端能保持24小时在线，联网即可登陆考察各项安全状况，有新的检测工具也可以实现快速部署，实时更新。 我个人认为以上这些都符合网络安全企业追求更快、更高效、更低成本的主动防御需求，也是安全服务向云迁移的核心驱动力。

3. 职业人员的需求 说完行业和企业，再来说说职业吧！自去年我离开学校入职天融信网络安全技术有限公司已有大半年的时间。期间乘着工作之便，可以和形形色色的厂商运维、项目甲方特别是同为友商的网络安全职业人员打过交道，有过深入的讨论，再根据个人的体会两相结合，说说为什么职业人员有把业务工具迁移至云的需求： 作为网络安全的从业人员，常常要往来于不同机构的不同项目之间，需要调整适应这些机构项目中形态各异的网络环境，这些网络环境多数都是内网，被各种安全设备重重保护，多数都需要职业人员到场实施各项安全检查，就算有可以远程的接入点也应该是种种限制无法开展的。平日里的例行检查还好，但到了应急响应的时候，到场的通勤时间往往就成了整个防御系统的死穴。可能也就短短的45分钟，就已经够那些高级别黑客好几波攻击并成功拿下了。 可能你会觉得我是危言耸听，也可能会疑惑，重要的资产难道会没有驻场人员吗？有这样想法其实挺正常的，我刚开始的时候也这样想，但现实往往就是这么残酷。真的那么坚不可摧的防护，安全事件还会那么多吗？驻场人员一定有这个能力吗？还有些利益相关不可描述的因素，就不细说了。我这里就拿这次疫情做例子来说吧，当大家都被迫居家办公的时候，多数的安全检查都因无人到场而延后，各种上线，维护被叫停，部分新发现漏洞差点就无法修复了。 但是，如果有能从云主机的接入的就能有效解决以上痛点，这些都是本人从业中经验中切实的需要。 相关技术和工具

4. 应用中的相关技术

5. 对等式网络（peer-to-peer） 对等式网络，即根据英文专业术语“peer-to-peer”译作点对点技术。通常情况下简称为P2P。其最主要的特征是无中心服务器承载，依托用户群节点（peer）进行汇联进行信息交换，也就是业内所说的去中心化。此技术优势在于可通过优化选择传输线路来减少传输的节点，从而降低信息丢失的几率。

6. 虚拟专用网络（Virtual Private Network） 虚拟专用网络是由英文专业术语Virtual Private Network直译所得，通常情况下，我们将其简称为VPN。 “VPN(Virtual Private Network虚拟专用网络)是在公用网络上组建专用网络,并对网络报文进行安全传输。随着网络规模和企事业单位信息化的发展,传统星型网络组网方式的VPN网关成为了网络中的瓶颈,中心节点一旦瘫痪,其它VPN网关将无法工作,在VPN上运行的业务将被迫停止。在众多组网方式中,P2P(Peer To Peer对等计算)组网方式具有无中心、动态、对等和自动组织网络等能特性。P2P组网方式与VPN安全技术结合,能够使现有VPN网络不再受中心服务器瓶颈影响,带来了可扩展、健壮和高性价比等方面的优势。”[2]2

7. 云服务器ECS（Elastic Compute Service） 云服务器 ECS（Elastic Compute Service）是一种通过云主机实现计算资源弹性可伸缩的计算服务。

1. 需要使用的工具

2. 云翼计划-ECS服务器 “云翼计划”是阿里云提供给大学生的校园扶持计划，目的是以让广大学子和青年创业者以超低的价格打造“年轻人的第一台云服务器”。该计划提供了两种云服务器的选择：云服务器ECS和轻量应用服务器。 本课题选用的是云服务器ECS以求在必要时增加带宽和计算能力。 选择的配置如下：

添加图片注释，不超过 140 字（可选）

图3-1 ECS服务器配置

1. 树莓派 （Raspberry Pi） 树莓派（Raspberry Pi）在极客圈内称作RPi。在推出的初期的用途是用作计算机编程教育的基于Linux的微型计算机。但后来，因其功能完备、玩法多样，自发布以来受到广大计算机发烧友和科技创客的狂热追捧。 本课题使用的是树莓派3b型。

2. N2N “n2n 是一个开放源代码的 2 层跨越 3 层的 VPN 程序，该程序利用了点对点的架构来处理网络间的成员关系和路由。不像大多数 VPN 程序那样， n2n 可以连接位于 NAT 路由器后面的计算机。这些连接在双方计算机都能连接的第三方计算机的帮助下建立起来。这台第三方的计算机，我们称之为 supernode，他可以为 NAT 的计算机之间传输信息。这是一个免费的开源软件，以 GNU General Public License v3 协议开源。”3

3. Network Mapper Network Mapper也就是我们俗称的Nmap,常用作网络连接端扫描，后续更新完善的版本已越发功能强大，现在已成为众多网络安全管理人员和运维人员必不可少的工具软件之一。

4. AVWS漏洞扫描器(Web Vulnerability Scanner) “WVS(Web Vulnerability Scanner)是一个可多平台部署的自动化web应用程序安全测试工具，其主要功能是：扫描具有进行Web访问并且遵循HTTP/HTTPS规则的站点或应用程序。可以用于任何中小型和大型企业的Web网站。WVS可以检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来对web应用程序和系统的安全性进行审核。”4 设计实现

1. 总体的设计方案

2. 异地组建虚拟局域网方案 本次设计通过采用N2N实现P2P组网，由N2N组建的虚拟局域网主要由中心节点（Super node）和边缘节点（Edge node）组成。 中心节点是前期边界节点进行通信的中介，在本次方案中由阿里的ECS云服务器担任中心节点，以保持整个虚拟局域网的正常运转。 在通过中心节点前期对边缘节点保持稳定的数据交互后（参照图4-1前期链路-蓝线），如果两个边缘节点能自行学习到相互的网络路径后，则会开始通过UDP打洞、NAT穿透等方法，自行建立P2P虚拟局域网络（参考图4-1稳定P2P链路-青线），进行直接的数据交互，而中心节点则变为保持少量数据交互，维持整个链路的存在。 在构建好外网的链路后，就开始着手进行内网的路由转发，通过再树莓派3b上添加路由，使得内外网得以打通，最终实现从其他边缘节点远程访问树莓派3b所接入的内网（整体链路可参考图4-1经路由转发后实现的链路-红线）。 后续本文将把用作接入内网的树莓派3b记作EdgeA;把用于远程的检查的笔记本电脑记作EdgeB；用作中心节点的ECS云服务器记作S-node，下文中不再重复叙述。在EdgeA上配置路由转发，使EdgeA所处的内网环境可以与虚拟局域网相互连通。 概念化的网络拓扑如图4-1：

添加图片注释，不超过 140 字（可选）

图4-1 组网方案概念拓扑

1. 虚拟局域网内的IP分配 为避免虚拟局域网的IP段与接入的边缘节点所处内网的IP段产生干涉，这里根据本人所处的项目设置为不常见的172.16.25.0/24网段。 具体IP划分分配，详见下表4-1：

节点名称	分配IP
S-node	172.16.25.1/24
EdgeA	172.16.25.10/24
EdgeB	172.16.25.20/24

表4-1 虚拟局域网IP划分表 注意：如有冲突也可以实时按需更改。

1. 实现流程展示

2. 前期准备

ECS云服务器准备

1. 申请开通 这里本来是想申请云翼计划的9.9元每月的学生ECS服务器，但由于疫情，阿里云给广大在校学生和青年提供了免费的ECS云服务器作研究用途，仅需通过学生身份认证以及完成一个小测验即可领取，而且配置还比云翼计划高，这里对阿里云的慷慨表示感谢！ 申请的详细配置，见下图：

添加图片注释，不超过 140 字（可选）

图4-2 虚拟云主机申请配置 为降低延迟，选择位于广东省深圳市的华南区服务器（见图4-2中的地域部分），系统采用了CentOS 7.7。 给出的配置可见图4-2，是不可更改的，默认为双核、4G内存、1M带宽以及40G云存储空间。 通过Xshell进行SSH 连接 在阿里云的ECS云服务器管理界面可以看到服务器当前的弹性公网IP。 在Xshell中新建会话并右键属性->连接，进行修改为S-Node，并填写服务器的弹性公网IP。 为安全起见在图4-3对公网IP进行模糊化处理，但从图4-3可见设置的便捷性及交互UI的清晰明确易学：

添加图片注释，不超过 140 字（可选）

图4-3 Xshell 连接设置 配置文件上传服务： 如图4-4所示，右键属性->类别->文件传输，根据实际情况勾选Zmodem启用该功能。

添加图片注释，不超过 140 字（可选）

图4-4 Xshell 文件传输设置

1. 安装需要的环境

首先执行如下命令进行整体更新

yum update

安装gcc 环境

cd /var/tmp/##下载一个gcc，由于害怕新版环境依赖会有问题，这里选择了较为稳定的5.50版本。wget http://mirrors.nju.edu.cn/gnu/gcc/gcc-5.5.0/gcc-5.5.0.tar.gz## 解压下载好的文件。tar -zxvf gcc-5.5.0.tar.bz##进入目录cd gcc-5.5.0##因为在编译gcc过程中，需要一些额外文件，具体是在/contrib/download_prerequisites 文件里，直接执行一下的即可。./contrib/download_prerequisites##新建一个目录，然后配置mkdir build##进入目录cd build##配置../configure --enable-checking=release --enable-languages=c,c++ --disable-multilib

编译

(过程冗长且复杂，非本课题主要研究对象，此处简略处理)

make && make install##编译安装，时间较长！ reboot##安装完成需要重启。

树莓派3b准备

1. 预烧录安装系统 树莓派的系统我选择的是官方的Raspbian稳定版。这个系统是官方根据树莓派自身特性基于Debian开发的，对树莓派具有很好的兼容性，软件策略偏向保守，较为稳定，更新升级频率较低使其易于维护。说实话其实OpenWrt会相对较好，但是前段时间爆出的内核漏洞让我打消了这个念头。 使用Win32DiskImager把Raspian-buster-lite镜像烧录到SD卡中：

添加图片注释，不超过 140 字（可选）

图4-5 树莓派系统烧录 当Win32DiskImager弹出如图4-5中的完成提示框即说明烧录完成！

1. 通过Xshell进行SSH 连接并配置 在烧录好系统后需要在根目录下新增SSH文件，以为安全问题新版系统从2016年起SSH服务是默认关闭的 操作完成后开机接入到本地网络，查询自动获取的地址 使用默认的账号密码进行登录。安全起见登陆后应该修改默认的账号密码。

2. 安装需要的环境

安装各项应用需要的subversion 、build-essential、libssl-dev

下图为安装命令及安装部分运行日志：

添加图片注释，不超过 140 字（可选）

图4-6 树莓派环境安装

下载安装N2N

N2N在各个linux的发行版的安装方法大体相同，为不重复叙述，简一言之，这里以Snode安装为例：

• 下载

cd /var/tmp##进入tmp文件夹git clone https://github.com/meyerd/n2n.git##从git hub下载源码

• 安装

cd n2n/n2n_v2##进入文件夹mkdir build## 新建build文件夹用于存放预编译文件cd buildcmake ..##进行预编译处理make && make install##编译安装

安装完成后需要自行记录保存安装日志，以便日后需要所处安装。

1. 虚拟局域网搭建

N2N参数说明：

• Super node（中心节点）:

# 使用范例supernode -l #参数说明：-l 设置UDP监听端口。-f 前端运行。-v 查看运行日志。-h 帮助信息。
5

因为是要把S-node用作中心节点，所以在S-node上启动Supernode服务，且为避免后续需要重启,这里需要把Supernode做成服务脚本并设置开机自启动 编写脚本如下：

vi /usr/lib/systemd/system/n2n_supernode.service##新建并编写supernode 启动脚本文件。[Unit]Description=n2n supernodeWants=network-online.targetAfter=network-online.target[Service]ExecStart=/usr/local/n2n/sbin/supernode -l 56636[Install]WantedBy=multi-user.target

启用写好的服务脚本：

systemctl enable n2n_supernode##启用脚本systemctl start n2n_supernode
##开始服务

接下来重启后Sunper node就会在后台运行。

• Edge node（边缘节点）:

# 使用范例edge -d -a [static:|dhcp:] -c [-k | -K ] [-s ] [-u -g ][-f][-m ] -l [-p ] [-M ] [-r] [-E] [-v] [-t ] [-b] [-h]-d | tun 设备名-a | Set interface address. For DHCP use '-r -a dhcp:0.0.0.0'-c | n2n community name the edge belongs to.-k | Encryption key (ASCII) - also N2N_KEY=. Not with -K.-K | Specify a key schedule file to load. Not with -k.-s | Edge interface netmask in dotted decimal notation (255.255.255.0).-l | Supernode IP:port-b | Periodically resolve supernode IP: (when supernodes are running on dynamic IPs)-p | Fixed local UDP port.-u | User ID (numeric) to use when privileges are dropped.-g | Group ID (numeric) to use when privileges are dropped.-f | Do not fork and run as a daemon; rather run in foreground.-m | Fix MAC address for the TAP interface (otherwise it may be random): eg. -m 01:02:03:04:05:06-M | Specify n2n MTU of edge interface (default 1400).-r | Enable packet forwarding through n2n community.-E | Accept multicast MAC addresses (default=drop).-v | Make more verbose. Repeat as required.-t | Management UDP Port (for multiple edges on a machine).Environment variables:N2N_KEY | Encryption key (ASCII). Not with -K or -k.6

1. 树莓派Raspbian 按实际情况输入到以下命令执行即可开启edge 服务

edge -r -a static:172.16.25.10 -c [社区名] -k [社区密钥] -l [Snode IP]:[Snode Port]

1. Window 10

编译要对释出的源码进行编译，获得可执行文件后使用PowerShell运行（填入实际参数的命令）即可:

.\edge_v2.exe -a static:172.16.25.20 -c zHD@56636 -k Z665#a -l 47.106.247.254:56636

1. 内网接入 出于安全性及机动性考虑，内网接入只添加临时路由，在无需访问的场景下可以删除，以防不可预测的事情发生： 在EdgeA上使用route 命令添加： 使用范例：

# route add –host [主机IP] dev edge0//在edge0上添加到主机的路由# route add –host [网段] gw [转发IP]//添加从[转发IP]发出到[网段]的路由# route add –net [IP/网段] netmask [子网掩码] edge0//添加从edge0发出到[IP/网段]的路由# route add –net [IP/网段] netmask [子网掩码] gw [网关IP]//添加从[网关IP]发出到[IP/网段]的路由# route add –net 192.168.1.0/24 edge0//添加到192.168.1.0/24的路由# route add default gw 192.168.2.1//添加默认网关# route del –host [主机IP] dev eth0//删除路由#route del default gw [网关IP]//删除默认路由

1. 在S-Node 部署Nmap扫描器 由于nmap广受众多网络工程师及运维人员喜爱，安装过程较为简单，只需执行以下命令即可：

yum install nmap

1. 在S-Node 部署AWVS扫描器

2. 通过Xshell把AWVS的.sh安装文件上传至/var/tmp目录下进行安装

./acunetix_trial.sh

1. 安装后进行简单设置 在弹出如图4-7的提示后，可进行设置AWVS的主机名：

添加图片注释，不超过 140 字（可选）

图4-7 设置AWVS主机名 在弹出如图4-8的提示后，可进行填写邮箱及用户名密码（最少8个字符，包括大小写、数字、特殊符号）：

添加图片注释，不超过 140 字（可选）

图4-8 设置AWVS用户名邮箱及密码

1. 对AWVS进行汉化

进入/home/acunetix/.acunetix_trial/v_190515149/ui/scripts

把汉化后的app-bundle.js和tpls-bundle.js复制到该目录下。

然后运行以下命令

chattr +i /home/acunetix/.acunetix_trial/data/license/license_info.jsonsystemctl start acunetix_trial.service

测试及实际应用

1. 测试效果

2. 测试虚拟局域网内的连接

1. EdgeB到Snode 从EdgeB测试通过ping到Snode，结果如图5-1：

添加图片注释，不超过 140 字（可选）

图5-1 EdgeB到Snode

1. EdgeA到Snode 从EdgeA测试通过ping到Snode，结果如图5-2：

添加图片注释，不超过 140 字（可选）

图5-2 EdgeA到Snode

1. EdgeB到EdgeA

从EdgeB测试通过ping到EdgeB(注意：此时EdgeB和EdgeA不在同一个网络环境及公网出口)，结果如图5-3：

添加图片注释，不超过 140 字（可选）

图5-3 EdgeB到EdgeA

1. 测试从EdgeB是否能与EdgeA内网中的服务器进行通信 这里测试对象192.168.50.5是和EdgeA同处一个网段下的手机。

添加图片注释，不超过 140 字（可选）

图5-4 EdgeB到EdgeA内网

1. 功能应用展示

2. 通过EdgeB登陆部署在Snode的AWVS扫描器进行扫描

通过Snode的虚拟局域网IP(见图5-5红框处)测试进人登录页面：

添加图片注释，不超过 140 字（可选）

图5-5 进入登录页面

如图5-5所示，可以通过虚拟局域网的IP打开登录页面进行登录！

设置扫描任务，出于资产保密性质，在图5-6中对扫描的IP进行模糊化处理！

添加图片注释，不超过 140 字（可选）

图5-6 设置扫描任务

扫描完成，出于资产保密性质，在图5-6中对扫描的IP进行模糊化处理！

添加图片注释，不超过 140 字（可选）

图5-6扫描完成

见图5-6红框出显示Complete，说明扫描顺利完成！

总结与展望

虽说是到了总结，但其实万里长征路，我可能才刚走不到一半而已。本课题的研究成果应该说是阶段性的小成。其实回首看去，一路跌跌撞撞的走来，从最开始研究云端扫描器，到后来重心慢慢变为异地组建虚拟局域网，中间不可谓不是一波三折。尽管如此，研究的主体方向——虚拟云主机在网络安全领域的应用探索，始终没有变更过的，正所谓不忘初心，方得始终嘛。

云扫和虚拟局域网两个主要研究都是基于云，但同时也囊括了过去三年多所学所感，首要的三个就是网络、系统和安全，可以说没有这三方面的知识基础，这个课题是很难研究下去的，毕竟遇到的坑没有梯子绳子是很难爬出来的。但对于对于未知的领域，本课题的研究也的确是一次很好的锻炼，换做是以前，我从来不知道编译一个程序要这么久，Linux服务与程序之间还有依赖关系要解决，人可以崩溃到如此地步等等。这些都随着课题的一步一步深入陪伴着我一起成长，一起优化，一起进步。

那为什么已经完成的论文和毕设会说万里长征才不到一半呢？我来自答一下：事实上这个课题设计我是打算一直完善下去自用的，开题的时候就已经是结合生产实际的方向，而事实上我也打算继续沿用下去。

在研究的过程中，特别是完成异地组网后，这个设计的未来好像迸发出各种各样的可能性：异地备份，加密传输，远控等等。当然，我知道这些市面都已经有更为成熟的解决方案，那为什么还要自己苦心去做呢？

的确，用别人的方便、简单不用折腾，但也以为着你或多或少要暴露出一部分隐私或是承担一部分风险。可能是有点被害妄想症了吧，但其实出来以后，实实在在地涉足安全这一行以后，我是越发感觉安全的脆弱性，每时每刻都会有新漏洞被发现，时不时就传出泄露时间，虽然大多都被网络信息的繁茂所掩盖，但不能否认的是这些东西的真实存在。我做这个也不是说就能防住，也仅仅只是降低风险而已。但转念一想，一直研究下去，我能得到更多的锻炼和经验，在风险发生的时候也会因为自己有更成熟的技术和解决办法而多一份自信。

总而言之，生命不止，研究不息，总能受获取更多！

参考文献

NSF-PROD-RSAS-V6.0-产品白皮书-V1.0A

王伟. 基于P2P的VPN网关设计和实现[D].电子科技大学,2015.

《2019长亭年度漏洞威胁分析与2020安全展望》, 2019

1. 曹龙虎. oVirt-KVM桌面云漏扫系统的研究与设计. 电子科技大学.2016

2. 项国富.金海.邹德清.陈学广. 基于虚拟化的安全监控. 《软件学报2012年08期 》, 2012

3. 郭强.孙大为.常桂然.王兴伟. 一种基于虚拟化技术增强云安全的可信赖模型. 《东北大学学报(自然科学版)2011年06期 》.2011

4. 易涛. 云计算虚拟化安全技术研究. 《信息安全与通信保密2012年05期 》. 2011

5. 杨祖洋.陈钟.李青山.关志.沈玮.马晓祯.仲雪.吴琛.曹通.王晓青. 一种云环境安全扫描器及方法. 博雅网信(北京)科技有限公司.北京大学. 2016

6. 陈驰.孙博武.田雪.许玥.于晶.申培松.王贞灵. 一种云平台安全态势感知方法. 中国科学院信息工程研究所 ,2016

7. Yaseng. 基于分布式网络安全扫描系统实现. 网络博客. 2014

8. 李浩杰.裘国永. 基于自动化渗透测试的分析. 陕西师范大学. 计算机科学学院. 2015 黄勇军.刘东鑫.金华敏.刘国荣.汪来富.沈军. 云端结合的Android智能终端应用审计技术[J]. 电信科学, 2018, 34(2): 122-130. 百度百科

9. Schrecker S, Robison B. System and method for cloud based scanning for computer vulnerabilities in a network environment: U.S. Patent 8,595,822[P]. 2013-11-26.

10. Li R D, Berger J L, Giakouminakis A. Systems and methods for performing vulnerability scans on virtual machines: U.S. Patent 8,819,832[P]. 2014-8-26.

11. Wang Y, Shen J. CloudProxy: a NAPT proxy for vulnerability scanners based on cloud computing[J]. Journal of Networks, 2013, 8(3): 607.

致谢

2020，戏剧化的开年，悲伤的消息几乎将所有人淹没。截止到目前，国内的战“疫”已取得重大成效，成果喜人。但反观国外疫情还处于爬坡期，拐点遥不可期！两相对比之下，我这里衷心的感谢人民政府的及时举措；感谢医护人员奋不顾身的精神和努力；感谢社会大众为战“役”所作出的牺牲与奉献；感谢这个可爱的国家。没有这些让社会得以稳定的条件，这篇论文无法按时高质量地完成，真的万分感谢！

当然，学术知识的积累与推动，更是本篇论文必不可少助力！在这里，我真诚地感谢每一位对我有教育之恩的老师，特别是松田计算机科学与技术系的各位老师！没有各位老师的循循善诱和耐心指导，以我的原有知识和经验，不足以完成对本篇中的一些实验配置。另外，我还要特别感谢我的指导老师刘成泳老师，在从论文选题、开题报告到完成整个论文撰写过程中，刘老师都根据自己过往的经验针对性地给出了行之有效的教导！谢谢您！也谢谢各位帮助过我的老师们！

最后，我还要感谢一直在背后支持我的爸爸妈妈以及各位亲友！感谢在大学四年里遇到每一个的好友、同学们！另外，还要特别感谢才奋师兄以及两位同事对本篇论文提供的技术支持和建议！

真的，谢谢各位，是你们让我更好更精彩地活着！

---

1. ^ NSF-PROD-RSAS-V6.0-产品白皮书-V1.0

2. ^ [2]王伟. 基于P2P的VPN网关设计和实现[D].电子科技大学,2015

3. ^ 来源网络-维基百科

4. ^ 来源网络-维基百科

5. ^ Supernode 帮助文档

6. ^ Edge 帮助文档