實驗教學是培養學生自主學習能力的重要途徑之一，也是應用型大學教學活動的重要組成部分[1]。實驗教學對于培養創新型人才、激發學生學習的熱情和創新能力有著極為重要的作用[2]。計算機安全技術課程是計算機類專業的基礎課，學習該課程的目的是使學生了解網絡安全的基本知識，了解計算機系統目前面臨的威脅和攻擊方法，初步掌握保障計算機系統安全的策略、方法與基本技術，能夠應付常見的計算機病毒和黑客攻擊，理解基本的計算機安全技術知識。該課程理論性強，又比較抽象，學生不易理解，因此，必須借助有效的實驗加強教學，而實驗環境是實驗正常進行的前提。根據我學院目前的狀況建立計算機安全實驗室，主要存在以下問題。

1）計算機安全技術方面的實驗室投資較大，對設備性能要求較高，后期服務要求也很高。2）計算機安全技術課程的大部分實驗內容需要進行網絡環境下的攻擊、防范、病毒及反病毒的實驗，這些實驗對計算機的軟硬件具有破壞性。3）網絡攻防實驗需要幾臺機器或幾十臺機器在同一個網絡內才能開展，而在目前資金緊張的情況下不可能實現。針對這些問題，我院在計算機安全技術課程的實驗教學中引入虛擬機技術，利用虛擬機技術實現實驗教學環節。

1虛擬機技術

虛擬機技術是通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。利用虛擬機軟件可以在一臺物理計算機上模擬出一臺或多臺虛擬計算機，這些虛擬機與真正的計算機完全一樣，可以為其安裝不同的操作系統、應用程序、訪問網絡等。對于使用虛擬機的用戶而言，它只是運行在物理計算機上的一個應用程序，但是對于在虛擬機中運行的應用程序而言，它就是一臺真正的計算機。用戶可以利用原有真實機器的鍵盤、鼠標或其他輸入輸出設備實現虛擬機與外部環境的交互。實際應用中，常常把安裝虛擬機軟件的主機稱為物理機，而在物理機中利用虛擬機技術虛擬出來的機器稱為虛擬機。虛擬計算機的體系結構如圖1所示。可移植性是虛擬機技術的優點，虛擬機不依賴于主機的硬件系統，它們只是主機上的一些文件，可以通過復制的方法在同一臺主機上快速建立若干臺虛擬機，便于構建實驗所需的網絡環境。在虛擬機中進行軟件評測或者誤操作時，可能引起虛擬機系統的崩潰，但是對物理計算機上的操作系統沒有任何影響。對于在實驗中被“破壞”的虛擬機操作系統，只需要利用虛擬機的“快照”功能即可恢復到安裝軟件之前的狀態，不需要重新安裝系統。虛擬計算機安裝快捷、克隆簡單，虛擬出來的硬件設備也不會與物理機產生設備不兼容問題，并且通過已經建立的虛擬機還可快速衍生出新的虛擬機。將虛擬機技術應用于計算機安全實驗教學中，可以節省資源、提高教學效率，教學效果明顯[3]。目前流行的虛擬機軟件有VMware、VirtualBox和VirtualPC，它們都能在Windows系統上虛擬出多個計算機，這些計算機可以同時安裝不同的操作系統，如Windows系列、Linux等。本文從實驗教學的實際出發，選擇VMware軟件實現虛擬技術。

2虛擬機技術在教學中的應用

基于虛擬機技術的計算機安全技術實驗主要包括各種類型操作系統的安全配置方案、數據加解密、黑客攻擊與反攻擊實施、典型病毒現象分析與處理等幾個部分。利用虛擬機技術，只需要用一臺機器即可構建網絡環境并進行安全實驗，實現一人一機做安全實驗。在虛擬操作系統中進行的各種實驗操作與在實際計算機系統上的操作完全相同，可以實現實驗教學的目的。

2.1網絡連接類型設置

進行實驗之前要對每個虛擬機安裝實驗環境所需的操作系統，并為每個虛擬機的網卡進行網絡配置、選擇網卡連接類型，以實現物理機與每臺虛擬機之間的通信。有些實驗還需要實現虛擬機與外部網絡或物理機所在網絡上的其他計算機通信。VMware有3種網絡連接方式[4]。1）Bridged（橋接模式）：這種網絡連接情況下需要手動配置虛擬機的IP地址和子網掩碼，其IP地址與物理機在同一網段。這時，虛擬機與物理機相當于同一局域網內的兩臺獨立機器，虛擬機利用物理機的網卡實現與外界通信的目的。同樣，局域網上其他計算機將虛擬機看作同一網內的、地位相同的真實機器，可以訪問虛擬機上的資源。2）Host-only(主機模式)：在一些具體實驗過程中，需要進行特殊的網絡調試。這種特殊的環境要求將真實環境和虛擬環境隔離開，這時，將VMware的網絡連接設置為Host-only。同時，在同一網段的所有的虛擬系統可以相互通信，虛擬系統和物理機系統也可以相互通信，此時，這兩臺機器相當于通過雙絞線互連。但虛擬系統和真實的網絡被隔離。在Host-only模式下，虛擬系統的TCP/IP配置信息(如IP地址、網關地址、DNS服務器等)，都是由VMnet1(Host-only)虛擬網絡的DHCP服務器來動態分配的。3）NAT（網絡地址轉換模式）：在該模式下，虛擬機利用網絡地址轉換功能通過物理機訪問外部網絡，即實現虛擬系統訪問互聯網。由于此時的虛擬系統的TCP/IP配置信息由VMnet8(NAT)虛擬網絡的DHCP服務器提供，不可以進行手工修改，因此虛擬系統不能與同一網內其他真實主機進行通訊。

2.2整合虛擬機與各種軟件及工具兼容性

實驗教學中，應用虛擬機技術進行各種類型的實驗，如攻防實驗、病毒實驗、木馬實驗、防火墻實驗等。因此，需要各種不同的軟件及工具的支持。虛擬機中安裝軟件及各種工具與在物理機中一樣，不需要特別的設置，只需要與虛擬機操作系統兼容即可。但是由于物理機中安裝虛擬機軟件及虛擬機系統，有的實驗甚至需要安裝多個操作系統，并且在這些系統中還需要安裝應用軟件，所以對物理機的要求相對較高。一般來說，對物理機最低要求配置方案如表1。

2.3實驗教學舉例

黑客攻擊與反攻擊的實施是本課程實驗教學項目中的一項。該項實驗目的是通過對目前黑客攻擊場景及手段模擬，理解黑客攻擊原理并加以研究，在此基礎上提出安全解決方案。本文通過對實驗過程的闡述驗證虛擬機技術在實驗過程中的作用以及對效果的提升。對某個網站或主機實施黑客攻擊之前需進行信息捕獲，以獲得必要的系統信息后再進行攻擊，本文采用Cainv4.8漢化版對物理機及虛擬機進行掃描。Cain不僅可以破解屏保、共享密碼、緩存口令、遠程共享口令、SQLServer7.0/2000口令解碼、RemoteDesktop口令解碼、AccessDatabase口令解碼、CiscoPIXFirewall口令解碼、遠程桌面口令解碼等，還可以遠程破解、掛字典以及暴力破解等，是一個綜合性的工具，其sniffer功能非常強大，幾乎可以明文捕獲一切賬號口令，如常用的FTP、HTTP、POP3、SMB、TELNET、SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、ICQ、IKEAggressiveModePre-SharedKeysauthentications等[5]。實驗過程如下：第一步：對物理機及虛擬機進行配置，物理機IP地址是192.168.1.114，虛擬機IP是192.168.1.252，網關是192.168.1.1。在物理機上啟用Cain工具進行掃描即可驗證，如圖2所示。第二步：將物理機上的Cain設為開啟狀態，使其嗅探網絡狀態。在物理機上連接虛擬機的FTP，如圖3。第三步：查看Cain即可看到Cain已經將這個過程記錄下來，如圖4所示。在此，黑客攻擊已經實施成功。

2.4利用VMware實現課堂檢查及課后復習

在實驗教學過程中，可以利用虛擬機自帶的屏幕錄像功能，將實驗過程記錄下來，并保存為AVI格式。在授課過程中教師可以進行全方位的指導，然后通過學生的實驗錄像進行點評或分析失誤點。學生在利用虛擬機進行實驗的過程中，逐漸熟悉這個工具后，可以自己嘗試使用虛擬機做一些實驗、測試一些新技術，甚至自己設計實驗項目。教師可以將上課過程中的講授過程及實驗過程進行錄像；學生在課后可以通過錄像對實驗步驟進行分析，如果有疑問也可以與錄像進行對比，找出自己的問題所在。由于使用了虛擬機這個工具，學生在測試時消除了后顧之憂，因此可以放心大膽地進行嘗試和創新，也因此可以得到一些意想不到的收獲，達到很好的學習效果，促進學生自主學習的能力。

3結語

利用虛擬機技術搭建計算機安全實驗環境，可以完成黑客攻擊、病毒防治、數據加解密等實驗，其主要優點可概括如下：1）利用學院現有設備即可搭建實驗環境，無需再次投入，充分發揮現有資源的作用，降低成本。2）實驗過程中硬件損壞及系統癱瘓的可能性大大降低，維護工作簡單化。3）虛擬機中的管理機制較完善，能很好地輔助教學及實驗。虛擬機技術是實現計算機安全技術實驗教學的有效教學手段及工具，利用虛擬機技術模擬實驗所需環境，并能通過虛擬機完成實驗步驟，這與在真實機器上的效果完全相同，符合教學要求和實驗目的，并能有效地促進學生的自主學習能力，符合我院培養應用型人才的目標。