本發明公開了一種網絡靶場用戶遠程接入系統與方法，系統包括設置在網絡靶場控制節點的VPN服務容器和靶場管理模塊；每個啟動的網絡靶場對應一個啟動的VPN服務容器；每個VPN服務容器中設有VPN服務端，以及橋接VPN服務容器的網卡與VPN服務端的網卡的網橋；VPN服務容器的網卡同時連接到控制節點上與網絡靶場計算節點相連通的虛擬網橋上，不同網絡靶場的VPN服務容器的網卡連接在虛擬網橋上對應的網絡靶場端口上。靶場管理模塊用于對VPN服務、VPN用戶、網絡靶場場景和拓撲進行管理。本發明將VPN服務端直接安裝在控制節點，能夠為多個網絡靶場同時提供VPN服務，且能夠很方便地實現資源回收，對接入用戶能夠進行在線信息的查詢以及接入權限的管控。

技術領域

本發明涉及一種網絡靶場用戶遠程接入系統與方法，屬于網絡技術領域。

背景技術

網絡靶場通過虛擬化、云計算、SDN、網絡編排等技術快速完成仿真場景的構建，滿足網絡安全研究、人才培養、效能評估、設備測試、安全評估、應急演練等需求。在網絡靶場的應用場景中，有時需要用戶能夠遠程接入到靶場環境，能夠與里面的某個虛擬實例或某個虛擬網絡進行通信。目前常用的方式包括VPN、彈性IP、端口映射等。

彈性IP是通過NAT轉換實現外部IP和內部IP之間的轉換。通過給需要暴露的虛擬實例提供外網IP映射，可以使用戶遠程訪問到靶場中的實例或網絡。但在公網IP資源緊缺的情況下，該方案存在一定的限制。端口映射只能暴露虛擬實例的指定端口，不能很好的提供攻擊面。所以比較常用的是VPN方式接入，目前常用的簡單部署結構如圖1所示，該種方式需要手動配置路由器，當靶場重新創建或者網絡參數有變化時，需要重新配置路由器的VPN服務。

發明內容

發明目的：針對上述現有技術存在的問題，本發明的目的在于提供一種網絡靶場用戶遠程接入系統與方法，可以靈活方便的支持各網絡靶場接入遠程用戶。

技術方案：為實現上述發明目的，本發明所述的一種網絡靶場用戶遠程接入系統，包括設置在網絡靶場控制節點的VPN服務容器和靶場管理模塊；每個啟動的網絡靶場對應一個啟動的VPN服務容器；每個VPN服務容器中設有VPN服務端，以及橋接VPN服務容器的網卡與VPN服務端的網卡的網橋；VPN服務容器的網卡同時連接到控制節點上與網絡靶場計算節點相連通的虛擬網橋上，不同網絡靶場的VPN服務容器的網卡連接在虛擬網橋上對應的網絡靶場端口上；網絡靶場的用戶通過VPN客戶端遠程訪問對應的VPN服務端；

所述靶場管理模塊用于對VPN服務、VPN用戶、網絡靶場場景和拓撲進行管理，包括：拓撲管理單元，用于繪制靶場拓撲時配置VPN服務相關參數，包括VPN服務的起始IP和終止IP、以及掩碼和外網IP；VPN用戶管理單元，用于生成用戶的VPN客戶端配置文件和密鑰文件；VPN服務管理單元，用于對VPN服務容器的端口進行管理，生成VPN服務端的配置文件，以及對VPN服務容器和容器內的VPN服務端進行啟停控制；以及場景管理單元，用于對網絡靶場場景進行啟停管理，在網絡靶場啟動過程中，調用VPN服務管理單元生成配置文件并啟動VPN服務端，并調用VPN用戶管理單元生成場景中用戶的VPN客戶端配置文件和密鑰文件。

進一步地，所述虛擬網橋上不同的網絡靶場端口設置不同的VLAN，以便進行網絡隔離。

進一步地，所述VPN用戶管理單元包括：

在線用戶信息查詢子單元，用于查詢VPN服務的日志文件，解析得到上線用戶及其MAC地址、IP地址和上線時間；

接入用戶管理子單元，用于從VPN用戶名中獲取網絡靶場和靶場中的用戶名，從VPN服務的日志文件中獲取用戶接入的MAC地址，通過配置iptables規則實現網絡靶場禁止或允許指定用戶接入的需求；所述VPN用戶名根據包含網絡靶場和靶場用戶的信息按照預先設定的規則生成；

以及，用戶配置文件生成子單元，用于按照VPN用戶名生成對應的VPN客戶端配置文件和密鑰文件。