怎么避免病毒通过网络进入宿主机这个问题属于虚拟机安全问题,宿主机的网络配置:宿主机防火墙关闭不必要的服务端口,所以这个操作系统和物理机一起经常被叫做宿主机,这个主要是系统补丁升级和防病毒,宿主机的系统补丁:有安全补丁,虚拟机操作系统补丁:虚拟机的操作系统的安全补丁也要及时升级,我们要做的第一件事是不让虚拟机和物理机中毒,我都简要讲述一下:裸金属虚拟化的安全配置裸金属虚拟化架构并没有宿主机一说。
虚拟机主要是什么原理
我写了一个小项目桃花源(英文名为 peach),该项目是一个迷你虚拟机,用于学习 Intel 硬件虚拟化技术。学习该项目可使读者对 CPU 虚拟化、内存虚拟化技术有个感性、直观的认识,为学习 KVM 打下坚实的基础。peach 实现了如下功能:
- 使用Intel VT-x技术实现CPU虚拟化
- 使用EPT技术实现内存虚拟化
- 支持虚拟x86实模式运行环境
- 支持虚拟CPUID指令
- 支持虚拟HLT指令,Guest利用HLT指令关机
代码仓库如下:
https://gitee.com/pandengyang/peach.git
https://github.com/pandengyang/peach.git
虚拟机除了虚拟操作系统还有什么用
第一,虚拟机不是虚拟操作系统,是虚拟硬件,在虚拟硬件的基础上安装各种系统,至于还有什么作用?系统都能装了,就看你想做什么了。当然现在许多游戏不支持虚拟机,多开得改造了
虚拟机要怎么配置,虚拟机中毒,宿主会不会中毒,怎么避免病毒通过网络进入宿主机
这个问题属于虚拟机安全问题。市面上虚拟化技术分为:裸金属虚拟化和寄居型虚拟化。不管你想知道是哪一种。我都简要讲述一下:
裸金属虚拟化的安全配置
裸金属虚拟化架构并没有宿主机一说。物理主机和虚拟机之间加载了一个虚拟层。这个物理主机对虚拟机来说只是一个计算资源。虚拟层是一个精简了的核心,和BIOS类似。功能只负责统一管理物理机的CPU、内存等物理资源。虚拟机需要执行指令时,虚拟层转交给物理cpu、内存去执行。比如:vmware 的vsphere。所以,裸金属架构的虚拟机安全一般在虚拟层上去配置。一般在配置项如下:-虚拟机系统
虚拟网络配置:将虚拟机的业务网络配置独立的网络,和其他网络通过VLAN互相隔离,可以防止网络病毒过快扩散;
网络安全配置:在虚拟化管理平台上可以像防火墙一样,禁止服务端口,只开放需要开放的端口;
及时升级虚拟化补丁:如果原厂有发布虚拟化平台的安全补丁,请第一时间升级。这样病毒就没那么容易感染进来。
虚拟机操作系统补丁:虚拟机的操作系统的安全补丁也要及时升级。
安装针对虚拟化的网络防病毒:虚拟化平台这样可以在入口就将病毒挡住,无需在众多虚拟机上安装防病毒(以免引起杀毒风暴)。
寄居型虚拟化的安全配置
寄居型虚拟化和裸金属虚拟化的最大不同在于,物理计算机上面不是虚拟层,而是一个完整的操作系统。这个操作系统本身还可以对用户提供各种服务,所以这个操作系统和物理机一起经常被叫做宿主机。比如:vmware workstaion,windows 自带的Hyper-v。配置寄居型虚拟化的安全配置一般如下:-虚拟机系统
虚拟机的网络:存测试性质的虚拟机就配置host-only网络,也就是虚拟机无法访问物理机网络,只能在虚拟机之间互相访问;如果是需要联网的虚拟机,则建议是用NAT型网络,这样,虚拟机需要NAT通过宿主机才能访问互联网。你只需要把好宿主机的安全,虚拟机就安全了。-虚拟机系统
虚拟机防病毒:这种类型的虚拟化,一般都是自家电脑,所以同时开机的虚拟机并不多。可以在虚拟机上安装杀毒软件。让杀毒软件帮你把好一道关;
虚拟机系统补丁:这个和前面裸金属一样,有安全补丁也是必须及时更新;
宿主机的防病毒:和我们日常使用一样,要经常更新病毒库;
宿主机的系统补丁:有安全补丁,必须第一时间更新;
宿主机的网络配置:宿主机防火墙关闭不必要的服务端口;尤其是网络共享的端口比如:139,445等。避免病毒通过网络共享进入。
结语
无论是哪种虚拟化架构。我们要做的第一件事是不让虚拟机和物理机中毒,这个主要是系统补丁升级和防病毒。第二件事才是防扩散:在万一不幸中毒的情况下,我们可以通过网络隔离传播。也就是关闭一些病毒容易利用的传播端口,网络通过VLAN或者NAT将其隔离。(当然,U盘等也要注意杀毒后使用)。-虚拟机系统
