Configuration
如何防止虛擬主機連接到網路?
我們正在討論向我們的員工發布標準化 VM 映像的潛力,以便他們在從他們的個人電腦連接到我們的公司網路時使用。
理想情況下,他們可以在任何可用的硬體上執行此 VM。由於我們不會控制硬體或主機作業系統,因此主機上存在相當高的惡意軟體感染、受限軟體、不良軟體互動等的可能性。
允許 VM連接到我們的公司網路,同時阻止主機連接的最佳/最簡單方法是什麼?
解決方案應該:
- 允許使用者在我們辦公室通過無線或乙太網連接,或在辦公室外通過 VPN 連接
- 儘管我們的辦公室提供來賓無線訪問,這對於主機來說是可以接受的,但要完全阻止主機連接。
- 不破壞我們控制下的公司電腦(不是個人電腦,不是虛擬機)的功能
- 不是管理密集型的,例如維護 MAC 地址的白名單等。
細節:
- VM 可能是基於 VMWare 或 VirtualBox 的
- 虛擬機將執行 Windows XP 或 Windows 7
- 主機可以是 mac/linux/windows
為了防止主機訪問資源,我認為您可能必須考慮使用 IPSec 進行域或伺服器隔離。主機不在域中,因此 IPSec 將阻止它們與其他域機器通信,但 VM 將在域中,因此它們可以相互通信。
這看起來是一個非常好的起點。http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx
我會考慮兩種方法;
- 使用 VMWare ThinApp - 使用 VM 和 mini-hypervisor 並從中製作一個 .exe,實際上他們無法改變 VM 的工作方式。你只需要一個帶有 VPN 客戶端的虛擬機,就可以滿足他們的需求,僅此而已。但這僅適用於 Windows,因此您也可以在適用於 Windows 和 Linux 的 VMWare Workstation 和適用於 Mac 的 Fusion 中執行相同的 VM。
- 使用 Citrix 或 VMWare View 之類的東西在您的網路中執行這些機器,但使用者只能從 Web 瀏覽器中使用它們,嚴重限制了他們的選擇,讓您感到困惑。