1、工控网络射击场技术要求

建设工业控制网络射击场，其技术要求可分为以下几个部分：

1、虚拟网络环境：能够快速构建虚拟网络拓扑的技术，包括IP、MAC地址的分配和回收以及路由算法，保证虚拟网络的隔离，并能够快速复制和重建。

2、虚拟网络映射模型：保证使用最少数量的用于映射的物理服务器，找到合理资源分配的最优方案，保证系统的稳定性和经济性。

3、后台流量模拟：生成的后台流量满足工控网络的自相似性，保证后台流量的真实性。

4、攻击流量模拟：生成的攻击流量满足工控网络的真实性，从网络安全和工控安全的双重角度实现真实攻击行为的流量。

环境搭建完成后，保证多种工控生产和安全设备能够接入虚拟网络，形成虚拟与现实相结合的可扩展网络，满足各种攻防研究和漏洞测试。

2、核心技术实现方法

在虚拟网络环境构建方面，通过分析目前国内外的研究现状，关键技术包括测试床、网络模拟器、云计算等。 本文根据工业控制网络的特点，简要介绍了KVM架构与轻量级虚拟化的关系。 组合方法构建虚拟网络环境并产生网络流量； 基于SDN的网络利用虚拟交换机和VXLAN隧道技术实现网络虚拟化。

2.1 KVM虚拟化技术

KVM，即基于内核的虚拟机（-based），是目前唯一进入Linux内核的虚拟化解决方案。 KVM使用硬件辅助虚拟化技术Intel-VT或AMD-V在物理硬件节点上生成多个可以同时使用的虚拟机。 能够独立运行操作系统软件的独立运行的虚拟计算机实例就是所谓的虚拟机（ ）。 在KVM架构中，每个虚拟机都是主机中的一个Linux进程，由主机统一管理。 KVM系统架构如图2-1所示。

图2-1 KVM系统架构

它可以利用Linux的许多功能模块，因此成为当前大多数Linux系统上默认的开源虚拟化解决方案，也是云平台中广泛使用的虚拟化技术。 KVM本身只能提供CPU和内存虚拟化，必须与QEMU提供的I/O虚拟化结合起来，形成完整的虚拟化技术，通常称为KVM-QEMU。 位于内核的KVM模块负责创建虚拟机并分配上层用户指定大小的虚拟内存，并控制VCPU的运行； QEMU完成虚拟机用户控制组件的模拟功能，直接在主机CPU上执行虚拟机。 客户端代码。 大多数工业控制软件和服务都需要在该环境中运行。 KVM可以虚拟化Linux和操作系统，为工控应用的虚拟化提供了充分的条件。

2.2 管理平台

它是一个开源项目，也是一个广泛使用的云计算管理平台。 具有实现简单、大规模可扩展、标准统一、组网结构灵活多样等优点，可接入多种主流虚拟机软件，实现云计算平台的搭建，包括KVM、LXC 、QEMU、Hyper-V等，其中KVM是最常见的云计算平台架构之一。 它是IaaS层的云操作系统，虚拟机通过获取计算、网络、存储等资源来实现系统的独立运行。

图2-2 系统架构

该平台主要由控制、计算、网络和存储四部分组成。 这四个部分都有对应的节点。 控制节点负责管理其余节点，包括虚拟机创建、迁移、网络分配、存储分配等； 计算节点主要负责虚拟机的管理和运行； 网络节点负责外部网络和内部通信。 网络之间的通信； 存储节点主要管理虚拟机的附加存储。

2.3-KVM架构

支持几乎所有虚拟化管理程序，包括开源 Xen、KVM 和商业 Hyper-V。 由于它是基于KVM开发的，因此KVM在通用云管理平台中经常被用作默认的虚拟机。 KVM架构部署灵活，技术更新快。 是目前最常见的云平台架构之一。 其架构如图2-3所示。

图 2-3 典型 KVM 架构层次结构

-KVM架构由KVM、QEMU-KVM等组成。 由于KVM是最底层的，只能模拟CPU的操作，缺乏对外设I/O的支持。 QEMU-KVM完美解决了这个问题。 它基于KVM构建，是一个完整的模拟器，提供完整的网络和I/O支持。 它不直接控制QEMU-KVM，而是通过调用的库间接控制QEMU-KVM。 它是一个用于管理虚拟化平台的开源 API。 它可用于管理KVM、Xen、ESX、QEMU等虚拟化技术。 跨VM平台功能是通过管理KVM虚拟化平台来提供跨VM功能的。

2.4 轻量级虚拟化

网络范围环境中的后台流量节点是使用轻量级虚拟化容器实现的。 容器是轻量级的虚拟化技术，而与容器对应的更重的虚拟化技术是虚拟机。 KVM是一种重量级的虚拟化技术。 虚拟机和容器的对比如图2-4所示。

图2-4 虚拟机与容器对比

图中，容器和宿主机共享内核。 所有容器都运行在容器引擎上，并在进程级别进行隔离。 每个虚拟机都建立在虚拟硬件上，提供指令级虚拟化和完整的操作。 系统。 容器更加高效和集中。 单个硬件节点可以运行数百个容器，非常节省资源。 但虚拟机拥有一整套资源：CPU、RAM、磁盘，资源消耗较高。 容器启动速度快，可以在秒级内完成配置和启动，而虚拟机则需要很长的时间才能在几分钟内完成配置和启动。 容器和虚拟机各有其优点和缺点。 容器相对于虚拟机的优点是效率更高、占用资源更少、更方便管理。 当需要部署的系统都是同系列的操作系统时，这种在性能和便捷性上的优势就非常明显网络推广，所以本文采用容器作为后台流量节点。 KVM虚拟机在安全性和配置共享方面更具优势，KVM虚拟机在攻防环境中用作虚拟节点和虚拟路由器。 系统架构如图2-5所示。

图2-5 系统架构

如图2-5所示，采用C/S架构模式。 用户与后者建立通信并向后者发送请求。 后端采用松耦合结构，不同模块各司其职，有机组合完成用户请求。

是架构中的主要用户界面。 首先，它提供了一个API用于接收来自的请求，然后根据分配给不同请求的不同模块执行相应的工作。 容器执行环境的定制是通过模块来实现的。 当需要创建容器时，可以从中下载镜像，并通过镜像管理驱动将下载的镜像以图的形式存储在本地； 当需要为容器创建网络环境时，通过网络管理驱动为容器创建并配置网络环境； 当需要限制容器运行资源或者执行用户指令等操作时，可以通过。

是一个独立的容器管理包，两者都实现对容器的具体操作，包括使用UTS、IPC、PID、Mount、User等实现容器之间的资源隔离以及用于实现对容器的资源限制。 当执行运行容器的命令时，实际容器处于运行状态。 容器拥有独立的文件系统，安全隔离的运行环境。

背景技术交通节点生成采用图像构建技术。 图像是建立在层次结构中的。 最底层是启动文件系统，上层是容器的根目录。 它是用于构建图像的文本文件。 它包含定制的说明和格式。 可以通过构建命令从中构建图像。 同时与镜像配合使用，在构建时充分利用镜像功能进行缓存，大大提高了利用率。 效率。 描述构建映像的步骤，其中每条指令都是单独执行的。

除FROM指令外，其他指令都将根据前一条指令生成的映像来执行。 执行后会生成一个新的图像层。 新图像层在原始图像之上形成新图像。 生成的最终图像是通过在基础图像之上叠加图像层来构建的。

作为后台流量节点使用，后台流量节点的客户端和服务端均采用文件生成。

2.5 网络虚拟化与管理

网络部分，使用一款支持REST API的开源软件作为SDN控制器，使用一款支持该协议的软件作为虚拟交换机。 引用最新的SDN网络架构作为网络攻防平台的网络部分，工控网络靶场环境真正运行在协议下，各种平台应用开发都可以在SDN环境下进行。 SDN网络的工作原理如图2-6所示。

图2-6 SDN网络架构图

虚拟网络通信是通过网络虚拟化解决方案、虚拟交换机和VXLAN隧道技术来实现的。

2.5.1 虚拟交换机

它是一款虚拟交换软件，简称OVS，主要应用于虚拟机和容器环境。 作为虚拟交换机，支持Xen、KVM等虚拟化技术。 在机器的虚拟化环境中，虚拟交换机主要有两个功能：在虚拟机之间传输流量，以及实现虚拟机与外部网络的通信。 虚拟交换机的工作原理如图2-7所示。

图2-7 虚拟交换机工作原理

如图2-7所示，当数据包从虚拟机或容器发出时，首先会经过虚拟机或容器上配置的虚拟网卡。 虚拟网卡会根据相关规则对数据包进行处理，包括拦截、发送或过滤数据包。 数据包被网卡释放后，会被转发到虚拟交换机。 与其他虚拟交换机不同的是，虚拟交换机提供了支持能力。 虚拟交换机保存数据流表。 当虚拟交换机接收到数据包时，如果该数据包与流表匹配成功，则根据流表的要求对该数据包进行操作。 如果失败，数据包将被发送到控制器。 如果是跨主机通信，数据包最终会发送到物理网卡，物理网卡负责将数据包发送到实际网络环境。

2.5.2 VXLAN隧道技术

工控网络范围环境的构建需要大量虚拟机和容器之间进行跨主机网络通信。 使用传统VLAN技术的局限性在于VLAN要求主机位于同一子网中。 VLAN基于二层帧头，VLAN ID只有12位单元，可用数量很少网络推广公司，VLAN配置相对繁琐。 目前常见的解决方案是采用虚拟化网络技术。 隧道广泛用于连接由于使用不同网络而隔离的主机和网络。 该模型可以很好地解决跨网络容器、跨网络虚拟机实现二层通信的需求。 VXLAN作为一种技术，是一种将报文封装在UPD上的隧道转发模式。 它用24位来标识二层网段，成为VNI，类似于VLAN ID的作用。 使用VXLAN隧道技术实现跨主机容器通信。 跨主机通信如图2-8所示。

图2-8 VXLAN跨网络通信

三、总结

一个优秀的工控网络靶场需要多项核心技术的融合。 它通过将KVM架构与轻量级虚拟化相结合来构建虚拟网络环境。 基于SDN网络，采用虚拟交换机和VXLAN隧道技术实现网络虚拟化。 能够满足建设工控网络靶场的核心技术要求，建立可靠的底层架构。

对于真实的硬件（工控设备/PLC/HMI/交换机/路由器/安防设备），可以使用以太网将硬件连接到虚拟化环境网络，也可以使用虚拟化或数字孪生技术进行连接。 导入的工控设备可以访问虚拟机系统，虚拟化环境中的VM系统也可以访问工控设备。

通过本文的介绍，工控网络靶场的核心技术骨架已初步形成，满足虚拟化、虚拟网络、虚实结合等方面的应用和扩展，为下一步的发展创造了前提条件。应用服务开发； 如何开发出符合市场需求的解决方案企业所需的服务，如教学培训、攻防对抗、应急演练、工控安全竞赛等，每一项都需要基于服务定位进行独立的功能设计和考虑和市场需求，这是工控网络靶场竞争力的核心。

关于工控网络靶场应用服务介绍，敬请关注后续工控靶场专题。

文章原创于金源网络科技有限公司：http://haimianbeibei.com/