技術領域

本申請涉及網絡技術領域，更具體地說，涉及一種攻擊防護演練方法和裝置。

背景技術

網絡攻防實驗室是一種配置有進行網絡攻防所需要的軟硬件設施的實驗室，硬件設施包括電腦主機、服務器、路由器及連接設備等，軟件包括服務器管理軟件、操作系統、防火墻等，主要用于模擬網絡攻擊即防范，以便用戶能夠根據攻擊檢驗被攻擊系統的安全性。

網絡攻防實驗室會通打補丁對被攻擊系統進行防護，再利用防火墻或IPS等系統進行防護。然而在進行攻防演練時只強調攻擊，并沒有展示防護效果，導致用戶無法根據防護效果對防護系統進行評估和改進。

發明內容

有鑒于此，本申請提供一種攻擊防護演練方法和裝置，用于在攻防試驗系統進行攻防演練時展示防護效果，以便用戶能夠根據防護效果對防護系統進行評估和改進。

為了實現上述目的，現提出的方案如下：

一種攻擊防護演練方法，應用于攻防演練系統的場景控制器，所述攻擊防護演練方法包括步驟：

響應用戶的攻防請求，生成配置模板，所述配置模板包括攻擊機克隆母體、靶機克隆母體和防火墻克隆母體；

將所述配置模板發送至所述攻防演練系統的虛擬化管理平臺，并控制所述虛擬化管理平臺根據所述配置模板克隆出虛擬機和和虛擬防火墻，所述虛擬機包括虛擬攻擊機和虛擬靶機；

生成兩個虛擬網絡，包括攻擊者網絡和靶機網絡；

將所述虛擬網絡分別與所述虛擬機、所述虛擬防火墻相關聯；

展現所述虛擬機和所述虛擬防火墻，并為用戶提供攻擊訪問，所述虛擬防火墻的日志用于記錄用戶所發起攻擊的攻擊效果和防護效果。

可選的，所述將所述虛擬網絡分別與所述虛擬機、所述虛擬防火墻相關聯，包括：

將所述攻擊者網絡與所述虛擬攻擊機相關聯；

將所述靶機網絡與所述虛擬靶機相關聯；

將所述虛擬防火墻跨接在所述攻擊者網絡與所述靶機網絡之間。

可選的，所述將所述攻擊者網絡與所述虛擬攻擊機相關聯，包括：

將所述攻擊者網絡的虛擬網卡增加到所述虛擬攻擊機。

可選的，所述將所述靶機網絡與所述虛擬靶機相關聯，包括：

將所述靶機網絡的虛擬網卡增加到所述虛擬靶機。

可選的，還包括步驟：

為所述虛擬機建立訪問代理，所述訪問代理用于為外網用戶提供攻防訪問服務。

一種攻擊防護演練裝置，應用于攻防演練系統的場景控制器，所述攻擊防護演練裝置包括：

模板生成模塊，用于響應用戶的攻防請求，生成配置模板，所述配置模板包括攻擊機克隆母體、靶機克隆母體和防火墻克隆母體；

虛擬化控制模塊，用于將所述配置模板發送至所述攻防演練系統的虛擬化管理平臺，并控制所述虛擬化管理平臺根據所述配置模板克隆出虛擬機和和虛擬防火墻，所述虛擬機包括虛擬攻擊機和虛擬靶機；

網絡生成模塊，用于生成兩個虛擬網絡，包括攻擊者網絡和靶機網絡；

網絡關聯模塊，用于將所述虛擬網絡分別與所述虛擬機、所述虛擬防火墻相關聯；

虛擬機展示模塊，用于展現所述虛擬機和所述虛擬防火墻，并為用戶提供攻擊訪問，所述虛擬防火墻的日志用于記錄用戶所發起攻擊的攻擊效果和防護效果。

可選的，所述網絡關聯模塊包括：

第一關聯單元，用于將所述攻擊者網絡與所述虛擬攻擊機相關聯；

第二關聯單元，用于將所述靶機網絡與所述虛擬靶機相關聯；

第三關聯單元，用于將所述虛擬防火墻跨接在所述攻擊者網絡與所述靶機網絡之間。

可選的，所述第一關聯單元用于將所述攻擊者網絡的虛擬網卡增加到所述虛擬攻擊機。

可選的，所述第二關聯單元用于將所述靶機網絡的虛擬網卡增加到所述虛擬靶機。

可選的，還包括：

代理建立模塊，用于為所述虛擬機建立訪問代理，所述訪問代理用于為外網用戶提供攻防訪問服務。