【明慧网2006年4月19日】
主机能够上网,虚拟机(vmware)不能上网的问题
如果关掉了宿主机的防火墙,用虚拟机上网是否安全?
主机能够上网,虚拟机(vmware)不能上网的问题
我在xp系统上装了一台虚拟机(vmware),都装了za防火墙,用桥接的方式上网,我的宿主机上有两块网卡,用路由器连接上网后,虚拟机单独用另一块网卡经路由器上网,可是宿主机上网正常,虚拟机上不去网,后来发现,只有将宿主机的防火墙关掉,虚拟机才能上网,我想问一下,怎样设置防火墙能让虚拟机正常上网?
答:主机能够上网,虚拟机(vmware)不能上网,说明路由等的设置没有问题。问题出在Zonealarm防火墙阻止了虚拟机的网络访问,不配置的情况下,对于VMWare的bridged模式或Virtual PC的虚拟转换网络模式,Zonealarm都可能是阻挡的。故有两种情况会导致虚拟机无法访问网络:一个是Zonealarm程序控制模块的阻挡;一个是防火墙模块的阻挡。先看看是否程序控制中带有VMWare字样的程序已被禁止访问网络,如果没有禁止,仍然无法上网,那就是防火墙模块的阻挡了。
bridged模式看起来类似于和主机独立,但是VMWare属于程序级别的软件,对网络资源的调用还是需要通过Zonealarm允许才行,需要把路由器所组成的内网加入主机Zonealarm的信任区,例如路由器地址是192.168.1.1,内网计算机的地址是192.168.1.2到192.168.1.255,可以在Zonealarm中,选择 防火墙-→ 区域 -→ 添加子网 -→ 区域选择为信任,在对话框里面的“IP地址”处,输入192.168.1.0,子网掩码输入 255.255.255.0,然后点击“应用”按钮。关闭Zonealarm,如果提示保存设置的时候,选择保存,然后再启动Zonealarm(不经过关闭过程,下次开机时这些配置有时可能无法保存)。
(接上面问题)如果关掉了宿主机的防火墙,用虚拟机上网是否安全?
如果关掉了宿主机的防火墙,用虚拟机上网是否安全?宿主机是否会因为关掉了防火墙而遭到攻击?
答:路由器组成的内网,加入为主机Zonealarm的internet区时,主机上的程序经过Zonealarm允许时是可以访问网络的,但是虚拟机内的程序则无法访问网络。但主机上给虚拟机单独分配一块网卡,和直接使用主机网卡,安全性相近。请注意路由器虽然可以阻挡一些不明网络访问请求,但是不能代替防火墙软件,因为主机也是联网的,所以还是要开着Zonealarm。Zonealarm的关于路由的设置参考明慧网2006年3月13日“也谈路由器”
也谈路由器
路由器确实值得推荐,我用了快一年了,看了同修《宽带上网保安全 路由器使用方法》作些补充:
1.大陆弟子不宜采用BT,电驴等P2P下载方式,不安全,《明慧》已有文论及。同时把端口暴露在公网上破坏了路由器的防护特性。
2.路由器确实挡掉了来自公网对电脑的正面攻击,但决不能取代ZA防火墙的全面防护作用,只是提高电脑安全性的一种补充。因为除了正面攻击外,电脑还有遭受攻击(感染)的主要途径:网络工具(如浏览器),移动存储(如U盘)的数据交换。而ZA防火墙不但能控制电脑的全部進出数据,同时还可监测电脑软件的一切动作(当然也包括“异动”)。路由器只管進不管出,不能代替ZA。在安有路由器的情况下再做干净系统容易些。
3.我的ZA是这样设置的(我只谈与《新资料点技术手册》不同之处):
(1) Firewall-main-Blocked Zone Security-Advanced设置:(在安有路由器的情况下)
第2项 Internet Connection Sharing 中选第2个(This computer is a client of an ICS/NAT gateway running ZoneAlarm Pro), 这时 Gateway Address(网关地址)显示为:192.168.0.1(我用的是 D-Link路由器,别的可能不同,如TP-LINK为192.168.1.1等)
第3项 General settings设置:(以下2项设置可提高防护的严厉成度,在没安路由器的情况下更有参考价值)