如何设置虚拟机和主机的完全隔离,VMWare教程
虚拟机是克服资源限制的绝佳工具,可以同时运行多个操作系统,同时保持它们彼此分离。然而,虚拟机和主机共享许多硬件和软件资源,导致两台机器之间存在广泛的交互。是否可以将它们完全隔离?
您无法将虚拟机与主机完全隔离,因为来宾依赖主机的网卡、内存和其他物理资源来运行。但是,您可以通过主机设置限制主机和虚拟机之间的数据流,从而最大限度地减少两台机器之间的交互。
不同的虚拟机管理程序提供不同程度的隔离。继续阅读以了解如何最大限度地提高流行虚拟机管理程序的隔离性。我还会推荐隔离的替代方案。
如何隔离您的虚拟机
如前所述,完全隔离虚拟机是不可能的。但是,您可以限制计算机之间交换的数据量。实施此类限制的可用选项取决于您的虚拟化软件。
某些虚拟化软件允许对复制/粘贴和拖放进行限制,以最大限度地减少主机和虚拟机之间以及同一物理机上多个虚拟机之间的数据流。
其他虚拟化软件(例如 Parallels Workstation)有一个简单的隔离来宾的过程。您所需要做的就是选择要隔离的虚拟机,然后选择“配置”>“选项”>“安全性”下的“隔离”选项。但是,其他工具可能具有不同的隔离设置。
下面,我们将讨论两个最流行的虚拟化平台为普通用户提供的隔离功能。
使用 VMWare 时隔离虚拟机
VMWare 是最流行的 VM 工具之一,允许您限制主机和来宾之间的文件传输。但是,此选项不适用于远程虚拟机。
无论软件版本如何,您都可以启用或禁用两个选项:
- 拖放。此选项禁止在主机和来宾系统之间传输文件。
- 复制并粘贴。此选项启用和禁用从主机系统到虚拟机的复制和粘贴文件或文本,反之亦然。它还控制将文件从一台虚拟机复制和粘贴到另一台虚拟机。
由于这些选项在 VMWare 中默认启用,因此您需要通过设置窗格禁用它们。由于它们是来宾隔离选项,因此只有在来宾操作系统上安装了 VMWare 时才可以访问它们。
要访问这些设置:
- 打开VMWare并选择目标虚拟机。
- 选择“设置”并单击“配置”。您将看到“拖放”和“复制和粘贴”选项。
- 通过删除每个选项旁边的复选标记来禁用它们。
使用 VirtualBox 时隔离您的虚拟机
另一个常用的创建虚拟机的工具是 Oracle 的 VirtualBox。幸运的是,VirtualBox 中默认禁用在虚拟机和主机之间传输文件的选项以及复制/粘贴选项。
因此,与 VMWare 相比,您将获得更好的开箱即用的虚拟机隔离。但是,如果您不确定这些选项是否已启用,可以通过以下步骤进行检查:
- 转到当前运行的虚拟机的窗口并选择“设备”菜单。
- 找到拖放选项并将其展开。您将看到四个菜单选项,即“禁用”、“主机到访客”、“访客到主机”和“双向”。
- 选中“禁用”可将您的虚拟机与主机隔离。
要在 VirtualBox 中启用文件共享和复制粘贴选项,您必须指定路径和文件夹以使虚拟机能够访问文件或文件夹。这些功能使 VirtualBox 虚拟机与主机具有良好的隔离级别。
您可以隔离虚拟机的 Internet 连接
在许多情况下,用户并不担心主机和虚拟机之间共享文件。相反,他们担心恶意攻击或病毒从主机泄漏到客户,反之亦然。
这个问题源于这样一个事实:主机将互联网连接引导至访客,其功能类似于路由器。因此,任何威胁攻击主机也可能威胁虚拟机。
几乎所有虚拟机都使用网络地址转换 (NAT) 作为默认网络模式。NAT 与路由器中使用的方法相同,将访客的 IP 地址映射到主机的 IP 地址。
VM软件在主机和来宾之间放置NAT防火墙以提供更高的安全性。但是,虚拟机具有与主机相同的访问权限。
大多数虚拟机工具(包括 VirtualBox 和 VMWare)都提供不同的连接类型来满足您的网络需求。除了 NAT 之外,最常见的类型还有以下几种:
- 桥接了。您的来宾计算机直接连接到主机的网络适配器,因此主机不会路由连接。
- 内部网络。通过这种模式,您可以构建一个仅由虚拟机组成的内部网络。它们与其他设备和主机完全隔离,使得该模式比桥接模式更安全。
- 仅限主机。顾名思义,虚拟机只能连接到宿主机。您还可以添加其他虚拟机并创建仅与主机通信的内部网络。
如前所述,这些是大多数 VM 工具上最常见的网络模式。但是,您可能会在特定工具上找到其他模式。例如,VirtualBox具有 UDP 隧道、虚拟分布式以太网 (VDE) 和云网络模式,每种模式都适用于特定用途。
尽管有这些选项,如果您想要完全隔离,则需要一个单独的物理网卡专用于您的虚拟机。例如,您可以将虚拟机直接连接到以太网连接,并通过 WiFi 连接主机。
在这种情况下,您需要通过在虚拟机软件中选择正确的选项来完全断开主机与来宾的连接。例如,VirtualBox 的“未连接”选项会断开虚拟机与主机的连接。然后,您可以将其直接连接到 VM 工具网络设置中标识的另一个网络适配器。对于 VMWare,您可以按照此处描述的步骤进行操作。
隔离虚拟机的好处
将虚拟机与主机隔离意味着消除或限制两台机器交互的方式。如果成功,计算机将无法共享文件夹、文件或应用程序。
此外,如果您有其他设备与来宾和主机连接到同一网络,则虚拟机将与它们隔离。
隔离可以通过以下方式带来好处。
隔离可以提高主机和来宾的安全性
隔离机器最重要的好处是安全性。尽管虚拟机是独立的并且与主机隔离,但这些机器仍然具有一定程度的交互,因为它们使用相同的物理资源。
因此,您的计算机将容易受到彼此的安全威胁。例如,如果一台计算机上的文件或应用程序被感染,在某些情况下可能会危及另一台计算机。
隔离减少了出错的可能性
虚拟化会增加出错的可能性,因为两台机器都在同一物理堆栈上运行,并且文件可以在它们之间传输。
一台机器上的操作可能会影响另一台机器。例如,假设您使用虚拟机来试验不同的病毒或安全威胁。主机设备上安装的强大防病毒软件可以检测进入虚拟机的任何病毒。
此外,在主机和来宾计算机之间共享文件会增加出错的可能性。例如,您可能会意外地从不应该删除的计算机上删除文件夹。
隔离资源可确保可用性并保持性能提升
虚拟化最重要的问题之一是主机和来宾必须共享相同的资源。因此,如果一台计算机同时运行,则可能会占用另一台计算机的资源并降低另一台计算机的性能。
对于这个问题有不同的隔离解决方案。例如,您可以将特定的CPU 核心专用于虚拟机,这样它就不必与主机或其他虚拟机共享处理能力。
或者,如果您的虚拟机需要更快的互联网连接,您可以为其指定特定的网络适配器。
容器与虚拟机
虚拟化的流行替代方案之一是容器化。它涉及使用称为容器的特定软件工具来虚拟化资源并将特定环境与物理服务器或其他基础设施隔离。
从这个意义上说,虚拟机和容器具有相同的目的。然而,它们具有关键的差异,使它们适用于不同的目的。它们的区别如下:
容器比虚拟机更轻
容器和虚拟机之间最显着的区别在于它们虚拟的内容。虚拟机虚拟化整个计算机系统,包括硬件。另一方面,虚拟容器在更高的层面上启动虚拟化:操作系统。
这一关键功能使容器化成为虚拟机更流行的替代方案。
容器比虚拟机轻得多,因为它只需要包含的应用程序并共享其他库和二进制文件。相比之下,虚拟机除了库和二进制文件之外还承载来宾操作系统及其内核。
容器提供的隔离性比虚拟机弱
由于容器虚拟化是在操作系统级别之上开始的,因此容器将与其主机共享许多资源。因此,容器化与邻近环境的隔离程度较弱。
虚拟机仅与主机共享硬件,因此主机和来宾之间交互的机会较低。较弱的隔离会带来更多的安全问题,并需要更强大的安全措施。
使用虚拟机可以比使用容器做更多的事情
容器与主机共享操作系统。这限制了您可以使用机器执行的任务数量。
对于初学者来说,您只能使用一个操作系统,因为它是共享的。因此,您无法执行需要多个操作系统的任务。另外,容器的资源比虚拟机少。因此,您无法对它们执行繁重且资源密集型的任务。
最大限度地提高虚拟机的安全性
尽管隔离虚拟机是解决安全问题的最佳方法之一,但这还不够,因为完全隔离是不可能的。因此,您需要采取额外的措施来确保最高级别的安全性。您可以执行以下操作:
使用安全管理程序
有不同的虚拟化软件具有不同的安全级别和选项。您可能无法找到 100% 安全的虚拟机管理程序,因为软件工具不可避免地存在漏洞。
然而,有必要做好功课并选择一个更可靠、符合您需求的平台。
保持一切更新
如果您担心恶意软件感染,您应该拥有强大的安全选项来保护您的计算机。您不仅需要强大的防病毒软件,而且必须始终保持更新以获得最高级别的保护。
然而,并非所有恶意软件都能被防病毒软件检测到。有些是专门为利用虚拟机管理程序中的漏洞而设计的。抵御这些威胁的最佳方法之一是定期更新虚拟化软件。
实践网络安全最佳实践
互联网安全不仅限于虚拟机;建议每个普通用户避免采取使计算机面临攻击和感染风险的操作。因此,您还应该保持互联网卫生,尤其是当您在虚拟机上连接到互联网时。
如果您从未知来源获取文件,建议的方法是在隔离的虚拟机上打开它。这样,即使文件被感染,您的主操作系统也可能不会受到损害。
当心
当您运行多台主机和来宾计算机时,很容易混淆并造成灾难。例如,您可能忘记在两台计算机上共享了特定文件,并因恶意软件感染而丢失了该文件。或者,您可以将受感染的闪存驱动器插入自动传递到您的虚拟机的 USB 端口。
最后的想法
对于开发人员和安全专家来说,将虚拟机与主机隔离是一项很好的安全措施。
然而,实现完全隔离几乎是不可能的,因为两台机器共享许多资源。不过,您可以限制某些操作,例如拖放和文件共享,以最大程度地减少两台计算机之间的数据传输。
另一种方法是使用容器,它将虚拟化应用于操作系统而不是硬件级别。但是,与虚拟机相比,容器的资源更加有限。
以上是 如何设置虚拟机和主机的完全隔离,VMWare教程 的全部内容, 来源链接: utcz.com/dzbk/940931.html