1. 什麼是虛擬網路怎麼用
1 虛擬網路分類
1.1 VLAN
VLAN(Virtual Local Area Network)建立在交換技術的基礎上,將網路結點按工作性質與需要劃分成若干個「邏輯工作組」,一個「邏輯工作組」即一個虛擬網路。VLAN的實現技術有四種:用交換機埠(Port)號定義虛擬網路、用MAC地址定義虛擬網路、IP廣播組定義虛擬網路、用網路層地址定義虛擬網路。「邏輯工作組」的劃分與管理由軟體來實現。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網路范圍內廣播包的傳輸,提高了網路的傳輸效率;同時各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網路的安全性。
1.2 VPN
VPN(Virtual Private Network ,簡稱VPN)是指在共用網路上建立專用網路的技術。之所以稱為虛擬網主要是因為整個 VPN網路的任意兩個結點之間的連接並沒有傳統專網建設所需的點到點的物理鏈路,而是架構在公用網路服務商ISP所提供的網路平台之上的邏輯網路。用戶的數據是通過ISP在公共網路(Internet)中建立的邏輯隧道(Tunnel),即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證用戶內部網路數據在公網上安全傳輸,從而真正實現網路數據的專有性。
2 移動虛擬化
2.1 什麼是移動虛擬化
據開放內核實驗室( OK Labs ),企業虛擬化與移動虛擬化之間相應的有所區別。但是,虛擬化技術的定義大致相同。正如PC機可分離地單獨運行應用程序,智能手機也可以。如其他所有技術一樣,虛擬化領域也正在進行越來越精準的細分,今天提起虛擬化,不再是單純的伺服器虛擬化,桌面虛擬化、網路虛擬化、甚至手機移動虛擬化等也正快速的走近我們的生活。
2.2 安全性
雖然現在來說,這不是消費者關注的頭號問題, 但隨著手機銀行和其他類似的應用得到普及,安全會變得越來越重要。此外,由於如Android的開放式操作系統越來越普及,移動設備在黑客和惡意軟體面前變得更加脆弱。移動虛擬化可以幫助保護這些設備的關鍵數據。
3 虛擬系統
V3虛擬安全系統通過在磁碟任意分區生成高強度加密文件,並通過映射該加密文件成虛擬磁碟分區的方式運行V3虛擬桌面系統。 V3虛擬安全系統不但可以生成現有操作系統的全新虛擬鏡像,它具有真實系統完全一樣的功能。進入虛擬系統後,所有操作都是在這個全新的獨立的虛擬系統裡面,可以獨立安裝軟體,運行軟體,保存數據,擁有自己的獨立桌面。不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在虛擬系統裡面軟體和數據.和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啟動虛擬系統也不需要等待的時間。同時支持可移動存儲運行,既插既用等等特性。
V3虛擬安全系統和外界主機系統無法直接互訪,用戶在主機只能訪問主機的磁碟分區,不能直接訪問V3虛擬安全系統的虛擬磁碟分區。同時用戶在虛擬安全專業版系統環境中也不能直接訪問除自身虛擬磁碟外的分區,這樣就形成了一個相對封閉的計算機環境,當用戶需要與外界主機環境交換文件時只能通過我司獨創的專用文件交換資源管理器實現V3虛擬安全系統環境與外界主機環境的單向文件導入和導出。
桌面虛擬化是虛擬化技術的浪潮。桌面虛擬化的目的是從底層構建不同的工作區(最終用戶的應用程序,數據,網路負載和設置)。桌面虛擬化,和現有許多虛擬化解決方案概念相似,本文只在介紹成功的虛擬化架構技術。 虛擬機(VM)技術,為所有虛擬桌面解決方案的基礎,使計算機能夠同時支持和執行兩個或兩個以上的計算機環境,其中「環境」包括操作系統以及用戶應用程序和數據。虛擬機是一個虛擬的運算系統,借用計算機資源(CPU,硬碟,內存等),讓主機工作的同時,也作為客戶計算機而存在。 計算機資源共享的好處可以提供給最終用戶,包括:
隔離 – 工作區在不同的計算環境獨立運作,雖然有些資源可以共享(例如,鍵盤,滑鼠和屏幕),同時其他的卻可以得到保護(例如,數據文件)。在一個虛擬環境中,主機資源需要從並發訪問到雙方的賓主控制的保護,在傳統的虛擬系統中,這種隔離和控制是通過一個特殊的軟體程序提供的,稱為虛擬機監視器(VMM)。VMM可以自主監控主機計算機環境或者主機和客戶計算機行為。資源平衡 -如果有需要的話,可以對每個功能自主的運行環境進行資源消耗監控和限制。可移動/遷移 - 某些虛擬機的配置被認為是可移動的,也就是說,整個計算機環境,可從一個移動到另一個不同的主機。今天世界上越來越多的移動應用得益於這種虛擬機技術,流動性是虛擬桌面解決方案的關鍵,雖然今天存在的軟體產品,都提供基本的虛擬機能力,但是這些產品僅提供有限的或者根本沒有移動虛擬化的支持。 今天我們有許多方法來實現VMM以及配套軟體。本文將說明各種不同的VMM技術優劣點,並重點介紹V3專業安全版所採用的工作區虛擬引擎技術:
系統管理程序 – 該VMMs程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,模擬的任何指令的方式。管理程序可以提供一個完整的虛擬桌面,但是帶來不同程度的資源開銷和性能降低。半虛擬化 –該 VMMS程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,沒有任何指示的方式。半虛擬化可以要求來賓桌面操作系統進行修改,以避免這些特權指令。半虛擬化系統,可以提供一個完整的虛擬桌面,有不同程度的資源開銷和性能損失。工作區虛擬引擎(名為WVE) - 該VMMs程序採取攔截和陷阱,模擬或重定向將違背隔離或導致系統不穩定低級別的OS API調用的方式。有些WVEs可以在一個內核中提供虛擬化的能力,使工作區嵌入一個包含企業域級別的特權代碼模塊和子系統的完整的操作系統,有獨立的網路堆棧和支持,如端點安全應用,資料庫應用和電腦管理軟體,需要的驅動和安全服務。 WVEs可以提供一個完整的虛擬桌面,很少或根本沒有性能損失。應用程序容器 – 該系統採取攔截和陷阱,模仿那些違背隔離或導致系統不穩定的最高等級OS API調用。應用容器一般不能提供一個完整的虛擬桌面。模擬 - 模擬整個系統的硬體系統,包括中央處理器,I / O設備等模擬器可以提供一個完整的虛擬化桌面,但存在巨大的性能損失
2. 常用的網路訪問控制方法都有什麼
常用的訪問控制方式有3種,分別是載波多路訪問/沖突檢測(CSMA/CD)、令牌環訪問控製法(Token Ring)和令牌匯流排訪問控製法(Toking Bus)。
分別適用於:
CSMA/CD訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統,適用於匯流排型區域網;
令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制;
令牌匯流排訪問控製法主要用於匯流排型或樹狀網路結構中,目前微機局域中的主流介質訪問控制方式。
3. 有一個虛擬區域網,100台主機,如何規劃
虛擬區域網的定義:
1)按埠的PVID定義,即相同的VLANID為同一個VLAN(VLANID為埠列印的虛擬區域網標簽)。每個埠只允許攜帶該VLAN標簽的數據包通過。
2)不同VLANTAG(標簽)也被允許通過,當某個VLANID(列如:VLAN100的埠,允許VLAN200埠列印的數據包也能通過),這樣如果VLAN100和VLAN200 都允許彼此列印的數據包通過。則VLAN100和VLAN200構成一個VLAN。同理如下圖:
祝你網路規劃順利。
4. 虛擬機的網路連接受限制,怎樣解決
可以修改虛擬機的ip和子掩碼,就能夠解決上述問題了。具體操作請參考以下內容。
工具/原料:Windows7系統電腦。
1、首先點擊電腦桌面中的計算機。
5. 如何突破交換機虛擬區域網的限制
虛擬區域網(VLAN),是英文Virtual Local Area Network的縮寫,是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
基於交換式乙太網的虛擬區域網在交換式乙太網中,利用VLAN技術,可以將由交換機連接成的物理網路劃分成多個邏輯子網。也就是說,一個虛擬區域網中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN的站點。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的虛擬區域網。
劃分虛擬區域網主要出於三種考慮:
第一是基於網路性能的考慮。對於大型網路,現在常用的Windows NetBEUI是廣播協議,當網路規模很大時,網上的廣播信息會很多,會使網路性能惡化,甚至形成廣播風暴,引起網路堵塞。那怎麼辦呢?可以通過劃分很多虛擬區域網而減少整個網路范圍內廣播包的傳輸,因為廣播信息是不會跨過VLAN的,可以把廣播限制在各個虛擬網的范圍內,用術語講就是縮小了廣播域,提高了網路的傳輸效率,從而提高網路性能。
第二是基於安全性的考慮。因為各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網路的安全性。在大規模的網路,比如說大的集團公司,有財務部、采購部和客戶部等,它們之間的數據是保密的,相互之間只能提供介面數據,其它數據是保密的。我們可以通過劃分虛擬區域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些數據都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中,實現數據安全和共享。採用虛擬區域網有如下優勢:抑制網路上的廣播風暴;增加網路的安全性;集中化的管理控制。
基於交換式的乙太網要實現虛擬區域網主要有三種途徑:基於埠的虛擬區域網、基於MAC地址(網卡的硬體地址)的虛擬區域網和基於IP地址的虛擬區域網。
(1)基於埠的虛擬區域網
基於埠的虛擬區域網是最實用的虛擬區域網,它保持了最普通常用的虛擬區域網成員定義方法,配置也相當直觀簡單,就區域網中的站點具有相同的網路地址,不同的虛擬區域網之間進行通信需要通過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如,當一個網路站點從一個埠移動到另外一個新的埠時,如果新埠與舊埠不屬於同一個虛擬區域網,則用戶必須對該站點重新進行網路地址配置,否則,該站點將無法進行網路通信。在基於埠的虛擬區域網中,每個交換埠可以屬於一個或多個虛擬區域網組,比較適用於連接伺服器。
(2) 基於MAC地址的虛擬區域網
在基於MAC地址的虛擬區域網中,交換機對站點的MAC地址和交換機埠進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬區域網,而無論該站點在網路中怎樣移動,由於其MAC地址保持不變,因此用戶不需要進行網路地址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時,需要對交換機進行比較復雜的手工配置,以確定該站點屬於哪一個虛擬區域網。
(3)基於IP地址的虛擬區域網
在基於IP地址的虛擬區域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網路地址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中,基於IP地址的虛擬區域網智能化程度最高,實現起來也最復雜。
(4).根據IP組播劃分VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合區域網,主要是效率不高。
(5).基於規則的VLAN
也稱為基於策略的VLAN。這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的用戶連成一體,在邏輯劃分上稱為「關系網路」。網路管理員只需在網管軟體中確定劃分VLAN的規則(或屬性),那麼當一個站點加入網路中時,將會被「感知」,並被自己地包含進正確的VLAN中。同時,對站點的移動和改變也可自動識別和跟蹤。
採用這種方法,整個網路可以非常方便地通過路由器擴展網路規模。有的產品還支持一個埠上的主機分別屬於不同的VLAN,這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時,交換機中軟體自動檢查進入交換機埠的廣播信息的IP源地址,然後軟體自動將這個埠分配給一個由IP子網映射成的VLAN。
* 以上劃分VLAN的方式中,基於埠的VLAN埠方式建立在物理層上;MAC方式建立在數據鏈路層上;網路層和IP廣播方式建立在第三層上。
使用VLAN優點
使用VLAN具有以下優點:
1、控制廣播風暴
一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。
2、提高網路整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問許可權和邏輯網段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網路的整體性能和安全性。
3、網路管理簡單、直觀
對於交換式乙太網,如果對某些用戶重新進行網段分配,需要網路管理員對網路系統的物理結構重新進行調整,甚至需要追加網路設備,增大網路管理的工作量。而對於採用VLAN技術的網路來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低了網路維護費用。在一個交換網路中,VLAN提供了網段和機構的彈性組合機制。
三層交換技術
傳統的路由器在網路中有路由轉發、防火牆、隔離廣播等作用,而在一個劃分了VLAN以後的網路中,邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在區域網上,不同VLAN之間的通信數據量是很大的,這樣,如果路由器要對每一個數據包都路由一次,隨著網路上數據量的不斷增大,路由器將不堪重負,路由器將成為整個網路運行的瓶頸。
在這種情況下,出現了第三層交換技術,它是將路由技術與交換技術合二為一的技術。三層交換機在對第一個數據流進行路由後,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網路的延遲,提高了數據包轉發的效率,消除了路由器可能產生的網路瓶頸問題。可見,三層交換機集路由與交換於一身,在交換機內部實現了路由,提高了網路的整體性能。
在以三層交換機為核心的千兆網路中,為保證不同職能部門管理的方便性和安全性以及整個網路運行的穩定性,可採用VLAN技術進行虛擬網路劃分。VLAN子網隔離了廣播風暴,對一些重要部門實施了安全保護;且當某一部門物理位置發生變化時,只需對交換機進行設置,就可以實現網路的重組,非常方便、快捷,同時節約了成本。
交換機充當的角色
交換機的好處在於其可以隔離沖突域,每個埠就是一個沖突域,因此在一個埠單獨接計算機的時候,該計算機是不會與其它計算機產生沖突的,也就是帶寬是獨享的,交換機能做到這一點關鍵在於其內部的匯流排帶寬是足夠大的,可以滿足所有埠的全雙工狀態下的帶寬需求,並且通過類似電話交換機的機制保護不同的數據包能夠到達目的地,可以把HUB和交換機比喻成單排街道與高速公路。
IP廣播是屬於OSI的第三層,是基於TCP/IP協議的,其產生和原理這里就不多講了,大家可以看看TCP/IP協議方面的書籍。交換機是無法隔離廣播的,就像HUB無法隔離沖突域一樣,因為其是工作在OSI第二層的,無法分析IP包,但我們可以使用路由器來隔離廣播域,路由器的每個埠可以看成是一個廣播域,一個埠的廣播無法傳到另外一個埠(特殊設置除外),因此在規模較大,機器較多的情況下我們可以使用路由器來隔離廣播。
下面開始歸入正題。
6. 邏輯安全的訪問控制可採取哪兩種措施
以下17個習題請同學們以小組形式進行課前預習,並取得共識。下節課我們以小組抽簽形式,隨機抽取題目,並立即由組內一名學生回答問題,答題正確全組成員都得10分。在某小組答題時,其他同學注意傾聽,其後可進行補充答題,凡補充答題正確,補充答題小組全體加1分。若某組答題不全面,全班無人補充,最後教師補充,則全班都扣1分。
分組表:A1組包括A1、B1、C1、D1座位同學;A2組包括A2、B2、C2、D座位同學,以此類推;E1組包括E1、F1、G1座位同學;E2組包括E2、F2、G2座位同學,以此類推。
題目:
1. 邏輯安全的訪問控制可採取哪兩種措施?
2. 信息加密的安全措施有哪兩種方法?
3. 物理安全中防靜電的最佳措施是什麼?
4. 防電磁泄漏可用哪三種方法?
5. 計算機病毒共有七個特徵,其中那四個特點是所有病毒共有的特點?
6. 討論如何正確使用殺病毒軟體?(可以根據以下討論:是否計算機殺毒軟體安裝越多越好;殺毒軟體是否萬能的,只要安裝了,就能殺防所有病毒;是否需要及時升級病毒庫等等)
7. 請分別說說防病毒軟體與防火牆的功能與特點(包括區別)。
8. 計算機信息安全分為物理與邏輯安全,物理與邏輯安全各包括哪些方面?並請判斷下面一個案例屬於哪個物理安全,一台計算機沒有聯網,也沒有人從中下載資料,但信息被人竊取。
9. 計算機環境維護需採取哪些措施?
10. 有一種病毒進入計算機後,一般人發現不了,但在某一特定時間發作,破壞計算機系統,根據以上情況,反映了病毒哪些特徵?
11. 針對計算機病毒,除可用防病毒軟體外,還需注意做到哪幾點?(簡單扼要敘述)
12. 當前計算機犯罪有哪些行為?我們經常收到一些垃圾郵件,討論為什麼會收到垃圾郵件,這應是哪種犯罪行為?
13. 預防計算機犯罪應從哪幾方面著手?其中青少年上網公約體現了哪方面的預防措施?
14. 目前計算機網路安全產品包括哪幾種?其中防火牆與網路入侵檢測產品的區別是什麼?
15. 請討論說出國內外5個著名的防病毒軟體。
16. 計算機病毒的定義是什麼?
17. 請討論說出計算機病毒與計算機木馬的本質區別。
教育站點伺服器主機的選擇
在選擇教育站點伺服器主機時,除了考慮諸如功能、性能和價格等因素外,更重要的要考慮安全需求,伺服器很多,但它們的安全性能是不一樣的,要使教育站點具有安全性就必須選擇滿足安全需求的伺服器,網路教育站點的安全需求一般包括:
⑴較小的易受攻擊性
⑵只能由授權用戶進行管理的限制能力
⑶拒絕訪問伺服器中沒有發布的信息的能力
⑷關閉操作系統或伺服器軟體中不必要的網路服務的能力
⑸訪問各種外部可執行程序(如CGI scripts、伺服器plug-ins)的可控能力
⑹為偵測入侵或企圖入侵,記錄教育站點伺服器活動的能力
2 教育網路分段及虛擬網路(VLAN)運用和劃分原則
對區域網來說,網路分段和VLAN的運用是保證教育網路安全的有效措施。
2.1 教育網路分段改善安全性能。
教育網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。教育網路分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網路從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網路的物理分段。
邏輯分段則是指將整個系統在網路層(ISO/OSI模型中的第三層)上進行分段。例如,對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接,利用這些中間設備(含軟體、硬體)的安全機制來控制各自網間的訪問。在實際應用過程中可採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性能控制。
2.2 運用VLAN改變安全性能
乙太網從本質基於廣播機制,但應用了交換和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
由以上運行機制帶來的網路安全的好處是顯而易見的:
信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。
通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。
2.3 VLAN 之間的劃分原則
VLAN 的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將主要的伺服器系統單獨劃分作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照教育機構、對象的設置來劃分VLAN,如可以按照教育機構伺服器管理員所在的網路單獨作為一個leader VLAN(LVLAN),其它層次的分別作為另一個或幾個VLAN,並且控制LVLAN與其他VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接採用交換實現,VLAN 與VLAN之間採用路由實現。
3 伺服器主機和伺服器軟體的配置
3.1 教育站點伺服器與內部網路隔離
公用伺服器主機是一個供公眾訪問的計算機,無論主機及其應用軟體配置的如何好,總會有人發現新的入侵點,入侵者可以觀察或捕獲到內部主機之間的網路通信,也可能進入內部主機,獲得更詳細的信息,為此需要把伺服器主機與內部網路隔離,如圖1所示。
圖1 WEB伺服器網路結構
3.2 在一個更安全的主機上維持一個可靠的教育站點內容拷貝。
當伺服器上的信息完整性受到破壞時,需要一個可信賴的拷貝來恢復.建議把一個可靠的信息拷貝存貯於與伺服器主機隔離的更安全的主機上(即放在網路防火牆內的內部網路上),並且除了教育站點管理員可以訪問這個拷貝外,其它用戶(無論是內部還是外部的)都不能訪問拷貝。
3.3 教育站點伺服器主機只提供基本的網路服務
現代的計算機具有可提供多種服務和應用的功能,如果多項服務和應用同時在一台主機上提供,會使主機的安全性能減弱,為此,應該按以下方法來配置教育站點伺服器:
⑴.盡可能多地關掉服務和應用,然後有選擇地打開那些基本的教育服務;
⑵.確定你打算支持教育伺服器的功能(如CGI腳本);
⑶.如果有其它的方法提供同樣功能,選擇更安全的方法;
⑷.一旦最少的教育服務和應用確定後,確保它們在主機上是可用的;
⑸.當所有配置選項確定後,為關鍵系統軟體生成並記錄加密校驗或其它完整校驗信息。
3.4 配置教育站點伺服器,增加安全性
由於不同的機構組織對公用站點的需求是不一樣的,因此伺服器軟體已提供了各種軟體配置選項以滿足不同站點的需求.省缺的配置設定可能是對「典型」站點的最優設定,當然這是銷售商想像的最優化,一般是基於性能需求或容易安裝來設定的.但在安裝教育站點伺服器軟體時,必須認真仔細地按安全需求配置伺服器.
⑴.配置教育站點伺服器日誌能力
教育站點伺服器日誌文件記錄著伺服器對每一請求的響應行為信息,分析這些日誌可以得到有用的用戶信息和安全信息.目前有許多日誌文件分析工具,大部分可對兩種標准日誌文件格式進行分析,這兩種格式是「Common Log Format」和「Extended Common Log Format」 ,伺服器應該配置成能生成兩種格式中任意一種格式的日誌文件。
⑵. 配置教育站點伺服器的輔助網路服務
一般教育站點伺服器可同時提供其它的網路服務,如文件傳輸協議(FTP),gopher協議,電子郵件或按受從客戶機來的文件上載等,為增加教育站點伺服器的安全性,在確定不需要這些服務的條件下,建議關閉所有的輔助服務
⑷. 配置教育站點伺服器的本地或遠程管理
利用教育站點主機控制台來管理教育站點,這樣可以控制在教育站點伺服器(防火牆外)與管理工作站(防火牆內)之間的網路傳輸,以增加安全性。
但是在許多情況下,教育站點伺服器管理不得不從遠程進行管理,這時必須要保證:
①.伺服器主機有很強的驗證用戶身份能力,特別要避免傳送明文口令,除非這是一個一次性口令。
②.伺服器主機只允許從某個特定遠程主機進行遠程管理
③.在管理主機與伺服器之間的網路傳輸不應有這樣的信息,這些信息如果入侵者截獲後,可訪問到伺服器或內部網路。
⑸.確定操作系統提供什麼樣的訪問控制
有些操作系統可以對教育站點服務的遠程訪問文件加以限制,這些進程可以限制為對某些文件的只讀訪問,而對一些文件不允許訪問。
⑹ . 利用文件訪問控制來實現:
①. 公用教育站點的內容文件只能讀,不能由伺服器管理進程來寫
②. 存貯教育站點內容的目錄不能由伺服器管理進程來寫
③. 公用教育站點內容文件只能由伺服器管理進程來寫
④. 教育站點伺服器日誌文件可由伺服器進程寫,但不能作為教育站點內容來讀
⑤. 教育站點伺服器日誌文件只能由管理進程讀
⑥. 任何由教育站點伺服器進程生成的臨時文件(如在生成動態頁面時所需的臨時文件)必須限制在某個特定的子目錄下。
⑺. 不允許目錄列表服務
按照教育站點協議(http),一個以斜杠結束的URL是請求列出一個目錄中的文件。按一般的規則,即使該目錄下的所有文件都是准備發布的文件,也不允許伺服器對這類請求有響應。這類請求表示試圖用非教育站點提供的方法來定位信息,當瀏覽有困難或鏈接斷裂了,用戶就可能企圖重新排序。入侵者可用此方法定位那些由教育站點介面隱藏的信息。可以從伺服器日誌文件中查出這類請求。
⑻.配置伺服器使之不能提供指定文件目錄數以外文件的服務。
具體的實現可以通過伺服器軟體本身的配置選擇,也可以通過操作系統選擇。必須避免在文件目錄樹中使用鏈接或別名,因為它指出了伺服器主機或網路中的其它文件。
⑼. 確保伺服器日誌文件或配置文件不能作為公用教育站點內容文件。
日誌文件應該存貯在伺服器主機上,而不是傳送到內部網路的另一台主機上,同樣,伺服器配置文件或參考文件也應保持在伺服器主機上。
利用伺服器配置選項和操作系統訪問控制,確保這些文件不能傳送給用戶,即使用戶知道這些文件的名字(URLs)。如果可能,把這些文件放在公用數據目錄樹以外的地方。
⑽. 當所有的的配置選擇完成好後,要為伺服器軟體生成一個密碼校驗或其它的完整檢驗基準信息。
4 網路教育站點伺服器管理
4.1 用安全模式管理教育站點伺服器
教育站點伺服器管理包括為伺服器增加新內容,檢查伺服器日誌,安裝新的外部程序以及改變伺服器配置等等。這些管理可以在伺服器控制台上完成,也可以通過網路在另一主機上來管理,無論從哪裡來管,一定要確保其安全性,特別是以遠程主機管理伺服器時,安全更加重要。
⑴.當選用遠程主機來管理教育站點伺服器時,應選用安全的方式來管理
①.教育站點伺服器主機應有很強的用戶身份驗證功能,要避免使用明文形式傳輸密碼口令。
②.教育站點伺服器從某一特定主機進行管理,主機的驗證不依賴於網路解析信息,如IP地址或DNS名等。
③.在管理員主機與伺服器之間的網路傳輸過程中,不應給入侵者提供訪問伺服器或內部網路的信息。
⑵.如果允許,可使用活動存貯介質把教育站點的內容拷貝到教育站點伺服器上。
⑶ .當需要在另一台主機上檢查伺服器的日誌文件時,要用安全方法把日誌文件傳送到那台主機上。
⑷.當伺服器的配置或站點內容改變後,要生成一個新的加密校驗或其它的完整校驗信息。
4.2 檢查目錄和文件有無意外的改變
網路環境中的文件系統包括了大量軟體和數據文件,目錄和文件的意外改變,特別是那些訪問受到限制的目錄和文件的意外改變,表明發生了某種入侵。入侵者為了隱藏他們在系統中的存在,通常用相同功能的程序替換系統的原有程序並修改日誌文件,或在系統中生成新的文件。所以,利用檢查系統的目錄和文件的更改信息的方法,可盡早發現入侵。
⑴. 為系統文件建立優先順序和檢查時間表。
⑵. 對關鍵文件和目錄一個權威參考數據,這些數據包括:
·在文件系統中的位置
·可選擇的路徑
·文件的內容、目錄的入口
·實際長度、如可能還應有分配的單元
·文件和目錄生成和最後修改的時間、日期
·所屬權和訪問許可設定
⑶. 按照建立的計劃,用權威參考數據比較文件的屬性和內容,查驗目錄和文件的完整性。
⑷.查驗丟失的文件或目錄
⑸.查驗任何新的文件和目錄
⑹.調查已發現的任何意外改變的原因
4.3 檢查系統和網路日誌
日誌文件記錄了系統和網路中發生的異常和意外活動,入侵者經常在日誌文件中留下了其活動的足跡,因此定期地檢查系統和網路日誌是發現入侵者的方法之一。日誌文件依操作系統、運行的應用軟體和配置的不同而不同,表1給出了典型的日誌文件包含的信息。
7. 急急急!!!!!!關於虛擬機的網路設置
在很多情況下,電腦愛好者需要有一個網路環境來學習網路伺服器的安裝和設置,黑客攻防技術等,但是往往大部分的業余電腦愛好者都沒有這樣的條件.虛擬機軟體VMware的出現使得我們可以以非常低廉的價格來獲得一個非常高效實用的網路實驗平台.然而,VMware虛擬機的網路設置一直是很多初學者感到困惑的地方,常常在各大電腦論壇上看到有人尋求有關VMware網路設置解決方案的貼子,雖然互連網上也有很多這方面的文章,但往往說的不夠完整,或者寫的過於專業,使初學者看後仍是一頭雲霧.針對這個情況,筆者在學習閱讀網路上的各類文章和VMware軟體的文檔後,結合自己的經驗整理出這些內容,力圖比較詳悉又簡明易懂的表述來說明VMware虛擬機網路的設置過程.
下面我想以Linux平台的VMware虛擬機的安裝和網路的設置為例來說明VMware的安裝和網路設置過程。
一、VMware的安裝
1,獲得VMware
在Internet上可以下載到VMware Workstation的試用版本,很多Linux站點都可以下載
推薦兩個有VMware下載的網站:
http://www.linuxeden.com
http://www.linuxfans.org
2,安裝VMware的硬體要求
虛擬機是極費電腦資源的軟體,對電腦的硬體要求比較高,尤其是對內存容量要求更高。一般來說256M內存是底線,相對來說CPU就沒那麼高要求了,一般五六百MHz以上的CPU就可以跑起來,當然如果想使得虛擬系統和實際系統都運行的比較流暢,並且可以在虛擬系統和主系統上運行PHOTOSHP,CAD等大型軟體的話,推薦使用512M的內存,1G以上的CPU。就本人的電腦而言,配置是 毒龍700M CPU+256M SDRAM內存,跑Redhat 8.0主系統和Windows 2000 Server虛擬系統,並分別在主系統和虛擬系統上運行DNS伺服器,HTTP伺服器,FTP伺服器等,系統基本可以跑的流暢 ,內存使用率在 52%以上,CPU使用率在9%左右,swap使用量達57M(平時只要5M左右),這也僅僅是在正常運行時的資源耗費情況,在虛擬系統開機和關機的時候實際資源耗費量更大。如果想在跑虛擬系統的時候順便聽聽MP3的話,MP3有明顯的停頓和暴音。基本上是用足了資源,當然再在主系統和虛擬系統上運行幾個FTP和HTTP客戶端,還是可以的。如果你的內存只有128M,理論上還可以跑虛擬機,盡量關閉所有的Linux後台進程,不用KDE,GNOME等這樣的大型桌面管理系統,而只用X和TWM窗口管理器就可以省下很多內存,並且在虛擬機中跑WIN98、WIN95或者字元界面的Linux系統等對硬體要求比較低的系統,跑VMware還是可以的,只是在窗口切換的時候會有一點卡。如果你的內存只有64M的話那你只能乞求奇跡的發生了,或者能跑個DOS虛擬系統? 有興趣的朋友不妨去試一下,看看VMware對硬體要求的極限是多少。
3,VMware的安裝
解壓縮軟體包:
#tar xfvz VMware-workstation-3.2.0-2230.tar.gz
進入安裝目錄
#cd vmware-distrib
運行安裝程序
#./vmware-install.pl
根據提示安裝軟體,安裝程序會詢問軟體各種文件的安裝目錄,直接回車用默認值就可以了。
需要注意不要盲目直接按回車,在安裝程序提示是否讓Vmware支持網路的時候一定要選擇yes,在提示是否支持host-only網路的是時候也要選擇yes。
注意:VMware在安裝過程中會根據你的系統內核版本選擇一個和系統匹配的配置,如果找不到則需要編譯,所以你需要一個GCC編譯器,否則VMware將無法安裝。
如果安裝順利,安裝程序會有類似 : enjoy vmware! 之類的提示。說明已經安裝成功。
二、運行VMware
在終端中輸入vmware並回車就可以運行VMware
有一點需要注意,VMware只是一個前台程序,它的運行需要VMware後台虛擬設備的支持,即在你運行VMware前你已經運行了VMware的後台服務程序,一般情況下安裝程序安裝完以後會執行這個工作,並把VMware的啟動腳本添加到 /etc/rc.d/init.d目錄下,使它在每次開機的時候都自動運行,如果由於某種原因已經把VMware的後台服務程序關閉請手動開啟:
#service vmware start
用ifconfig查看vmware的虛擬網路設備:
#ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:454 errors:0 dropped:0 overruns:0 frame:0
TX packets:454 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:33512 (32.7 Kb) TX bytes:33512 (32.7 Kb)
vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.221.1 Bcast:192.168.221.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:191 errors:0 dropped:0 overruns:0 frame:0
TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
vmnet8 Link encap:Ethernet HWaddr 00:50:56:C0:00:08
inet addr:172.16.74.1 Bcast:172.16.74.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
可以看到VMware的虛擬網路設備vmnet1 和vmnet8
如果用ifconfig命令沒有看到這兩個虛擬設備則說明VMware的後台服務程序沒有運行,執行vmware的時候將出錯,請用上面講的命令運行。
VMware不是免費軟體,第一次運行的時候需要輸入序列號,你可以按GET SN按扭從VMware官方網站得到一個試用三個月的序列號。為了避免麻煩我先貼幾個在這里:
VMWare 3.0 for Linux :
625AX-8DE40-46RA3-30HUM
625AX-8DE40-46RA3-30HUM
60N88-8DW44-16H77-32KT4
6818X-84WD1-01KDK-3JN9X
FOR win V3.2.0-2230
0F11N-004U4-0U0HJ-12XDG
04590-00NU1-0UMKX-161AW
0DM1J-004H0-0KTA4-1614F
04HCM-085K0-0R8UM-1FH0U
0451J-0AJHJ-0KXKX-1412U
輸入序列號後會彈出虛擬機配置向導,這些內容不在本文敘述范圍內,而且這些比較容易掌握,所以這部分內容請讀者自己去摸索。
按VMware工具條上的「Power On」按鈕啟動虛擬機,按F2鍵進入BIOS設置,讓虛擬機從光碟啟動,保存後重起虛擬機,這樣就可以從光碟啟動,安裝系統了。
(注意:在vmware的使用中筆者發現這樣一個問題:在主系統沒有安裝顯卡3D驅動程序的情況下在虛擬機上安裝虛擬系統會很慢,而且經常失去響應,但是裝上了顯卡的3D加速驅動後安裝明顯加快,所以在安裝虛擬系統的過程中如果發現類似問題,可以先把顯卡3D驅動裝上再試。)
系統安裝好後別忘了安裝VM TOOLS,(VMware 工具欄——>Settings——>VMware Tools Install)這會顯著增加虛擬系統的性能。
三、虛擬機的網路設置(原理篇)
在正式開始之前,我想有必要先來學習一些必要的網路知識。否則,在不懂得任何原理的情況下依葫蘆畫瓢雖然可解一時之需要,但遇到具體情況改變的情況下就只能乾瞪眼了。由於篇幅限制,這里只講和VMware設置有關的一點簡單網路知識。
1,什麼是網路?
Internet是指「互連網」,好象這句話說的有點多餘,不過確實有很多人對他有錯誤的理解,「互連網」是指一個個網路互連,而不是像有些人想像的那樣把一台台電腦雜亂無章的互連。當我們需要用電腦和遠方的電腦通訊的時候,先把本地電腦組成一個網路,當然,遠方的電腦也要組成一個網路,在把這兩個網路「互連」起來,組成「互連網」。用電話線和MODEM撥號上網的時候是通過電話線先把自己的電腦連到ISP(Internet Service Provider 網路服務提供商)的網路中,再經過ISP的網路和世界各地的電腦通信。
2,電腦如何通過網路傳遞數據?
每一個網路需要一個網路地址,網路中的電腦需要一個在網路中唯一確定的標識,網路號和電腦的標識號組成了IP地址,所以IP地址是由網路號和主機號組成的。當你的電腦要和其他的電腦通信的時候,電腦會先根據IP地址和子網掩碼確定目標主機是在本地網路中還是在遠程網路中,如果在本地網路中則直接把一個包含信息的IP數據包發送到本地網路上,目標主機會檢測到並接收,如果目標主機在遠程網路則需要通過一台被稱為網關的的電腦轉發到遠程網路,網關(geteway)可以看做是連接網路和網路的橋梁,網關的概念很廣,這里為了簡化起見,我們暫且認為它和路由器是同一個概念。路由器(router)是一種連接網路和網路,並選擇IP數據包傳送的路徑的一台特殊計算機。很多情況下網關的概念等同於路由器。
3,網路中電腦的IP地址有何要求?
在同一個網路中,每台電腦必須具有相同的網路號,這樣電腦才認為目標主機是在本網路中並且可以正確送達,如果網路號不同,即使目標主機已經用網線連到本網路中數據也不能直接送達,即使這兩台電腦近在咫尺,在電腦看來仍舊是一台遠程電腦.比如一個網路的網路號為192.168.0,則該網路中的計算機的IP地址必須以192.168.0開頭。假如要傳送一個數據包到網路號為192.168.1的網路,則必須通過路由器轉發,如果該網路中沒有路由器,則發送失敗。因此,為了連接兩個網路,一台路又器至少要有兩個網路介面(網卡、數據機等聯網設備稱為網路介面)。網路和路由器的關系見下圖:
--------------- -------------- --------------
| 網路A | | 路由器 | | 網路B |
| | | | | |
| □--|-----------|--□ □--|----------|--□ |
| 1 | | 2 3 | | 4 |
--------------- -------------- --------------
圖 一
圖中的小方框表示網卡或其他網路介面。
可以看到路由器至少有兩個網路介面。
假設網路A的地址為192.168.0 網卡1的地址為192.168.0.1
網路B的地址為192.168.1 網卡4的地址為192.168.1.1
則路由器上的網卡2必須屬於網路 192.168.0 地址為192.168.0.x (x為任意小於255的數)
路由器上的網卡3必須屬於網路 192.168.1 地址為192.168.1.x (x為任意小於255的數)
就是說,路由器既屬於網路A,又屬於網路B,這樣才起到橋梁的作用。
當數據從網路A發往網路B時,路由器從網卡2接收數據,經過改裝後通過網卡3發送數據到網路B。
這樣,我們稱網卡2的地址 192.168.0.x為網路A的網關
網卡3的地址 192.168.1.x為網路B的網關
4,VMware虛擬機提供了那些虛擬網路設備?默認安裝的情況下VMware提供了虛擬網卡vmnet1和vmnet8,還有在虛擬系統上的虛擬網卡 "AMD PCNET Family PCI Ethernet Adapter"
請注意,vmnet1和vmnet8是主系統上虛擬設備,用ifconfig命令可以看到,而"AMD PCNET Family PCI Ethernet Adapter"是虛擬系統上的虛擬設備,在安裝完虛擬系統後可以在設備管理器中看到,前兩個隸屬於真實系統,是你的真實電腦中的設備,後一個隸屬於虛擬系統,是虛擬電腦中的設備,不要搞混淆。
--------------- -------------- --------------
| 網路A | | 路由器 | | 網路B |
| | | | | |
| □--|-----------|--□ □--|----------|--□ |
| 1 | | 2 3 | | 4 |
--------------- -------------- --------------
---------------- ------------------------- --------------
| 虛擬系統 | | 主系統(路由器) | | 真實網路 |
| | | | | |
| □--|-----------|--□ □<--->□-----|------|--□ |
|AMD PCNET卡 | |vmnet1 vmnet8 真實網卡 | | 4 |
---------------- ------------------------- --------------
圖 二
讓我們來和上面的網路和路由器的關系做一個比對。
可以看到要想虛擬系統和主系統通信必須使AMD PCNET 網卡和vmnet1組成一個網路。
而vmnet1本來就在主系統中,系統可以直接訪問,所以主系統又充當了路由器的功能,只要有這兩個虛擬設備主系統和虛擬系統就可以通訊。
關鍵在於三點:
1.確定網卡AMD PCNET和vmnet1的網路號相同。
2.在虛擬系統里設置網路屬性,把網關地址設為vmnet1的地址。
3.開啟主系統的路由功能,使它成為一台路由器。
事實上,如果你只需要虛擬系統和主系統通信,而不需要和主系統所在的真實網路上的其他主機通信的話只要滿足第一點就可以了。因為滿足第一點,主系統和虛擬系統就在同一網路中了,不需要路由器便可通信。但是大多數情況下我們需要虛擬系統和主系統所在的真實網路通信,這就需要滿足其他兩點了。
四、虛擬機的網路設置(實施篇)
1, 我們先來讓虛擬系統和主系統聯繫上。
在VMware安裝的時候安裝程序會自動給vmnet1分配一個IP地址,下面是筆者電腦上例子:
vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.221.1 Bcast:192.168.221.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:191 errors:0 dropped:0 overruns:0 frame:0
TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
在第二行可以看到安裝程序給vmnet1分配的IP地址為192.168.221.1(注意每次安裝VMware IP地址是隨機分配的,實際的情況與這里的例子會不同)。即虛擬網卡vmnet1屬於網路192.168.221。因此,我們需要啟動虛擬系統,設置網路屬性,把虛擬系統的網卡"AMD PCNET Family PCI Ethernet Adapter"的IP地址設置為192.168.221.x (x為除1以外2~254之間的任意數字筆者把它設置為2),把網關設置為vmnet1的地址:192.168.221.1(如果不和外界真實網路通信的話網關可以不設)
windows 2000和XP 設置後立即生效,win98需要重新啟動,linux需要重新啟動網路服務:
#service network restart
在主系統上ping一下虛擬系統:
#ping -c 3 192.168.221.2
PING 192.168.221.2 (192.168.221.2) from 192.168.221.1 : 56(84) bytes of data.
64 bytes from 192.168.221.2: icmp_seq=1 ttl=128 time=6.91 ms
64 bytes from 192.168.221.2: icmp_seq=2 ttl=128 time=0.425 ms
64 bytes from 192.168.221.2: icmp_seq=3 ttl=128 time=0.527 ms
--- 192.168.221.2 ping statistics ---
3 packets transmitted, 3 received, 0% loss, time 2001ms
rtt min/avg/max/mdev = 0.425/2.623/6.917/3.036 ms
yeah!通了!
再在虛擬系統上ping主系統:
C:\>ping 192.168.221.1
Pinging 192.168.221.1 with 32 bytes of data:
Reply from 192.168.221.1: bytes=32 time<10ms TTL=64
Reply from 192.168.221.1: bytes=32 time<10ms TTL=64
Reply from 192.168.221.1: bytes=32 time<10ms TTL=64
Reply from 192.168.221.1: bytes=32 time<10ms TTL=64
Ping statistics for 192.168.221.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
yeah!又通了!主系統和虛擬系統順利聯繫上啦!
2, 讓虛擬系統和主系統所在的真實網路通信
首先在你的電腦上需要有一塊與真實網路相連真實的網卡(如圖二所示)。vmnet8就在與真實網路通訊的時候起作用了,vmnet8會和真實網卡對應起來,虛擬系統要發送數據包到真實網路中的時候,真實系統是一台路由器,首先數據發到虛擬網卡vmnet1,然後經過路由器(這里就是主系統linux)發到vmnet8,由於vmnet8和真實網卡是對應起來的,這一機制是有vmware完成的,所以發到vmnet8上的網卡就等於傳送到了真實網卡上,然後數據包再通過真實網卡發送到真實網路,整個過程請看圖二。如果你的系統上有兩塊以上的真實網卡,在安裝的時候安裝程序會詢問把虛擬網卡對應到哪個真實網卡上。可以根據實際情況選擇。
把vmnet8的IP地址設置為和真實網卡在同一網路的地址,假設真實網路的網路號為192.168.0,真實網卡的IP地址為192.168.0.1則可設置vmnet8的IP地址為192.168.0.2
在linux中方法如下:
#ifconfig vmnet8 down
#ifconfig vmnet8 192.168.0.2 up
回顧一下上面講的三個條件:
--------------------------------------------------------------
關鍵在於三點:
1.確定網卡AMD PCNET和vmnet1的網路號相同。
2.在虛擬系統里設置網路屬性,把網關地址設為vmnet1的地址。
3.開啟主系統的路由功能,使它成為一台路由器。
--------------------------------------------------------------
前兩點我們已經在第一部分中做好了,現在只要開啟了linux的路由功能虛擬系統就可以和外界通訊了。
linux是一個天生的網路操作系統,他在網路方面的強大功能使得它在網路伺服器領域有廣泛的應用。用linux來做路由器甚至不需要額外的軟體,linux的內核直接支持靜態路由的功能。我們要做的只是把路由功能打開就可以了。
可以先看看路由表:
#route
確定所有網卡的IP地址或網路地址都在Destination一欄里,如下圖:
-------------------------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 vmnet8
192.168.221.0 * 255.255.255.0 U 0 0 0 vmnet1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default www.gucuiwen.co 0.0.0.0 UG 0 0 0 eth0
-------------------------------------------------------------------------------
默認情況下啟動網路設備的時候系統會把該設備的IP地址添加到路由表中,如果沒有的話可以重新啟動一下網路服務:
#service network restart
再來開啟路由功能:
# echo 1 > /proc/sys/net/ipv4/ip_forward
至此,linux的路由功能已經打開,你的linux系統已經成了一台路由器,連接著虛擬的網路和真實網路。虛擬網路和真實網路間就可以通信了。出於安全考慮,如果有必要的話還需要用iptables命令來設置一下路由規則。
8. 什麼是虛擬網,怎麼用
虛擬網是指在物理網路基礎架構上,利用交換機和路由器的功能,配置網路的邏輯拓撲結構,從而允許網路管理員任意地將一個區域網內的任何數量網段聚合成一個用戶組,就好像它們是一個單獨的區域網。
應用:區域網:往往很多企業已經具有一個相當規模的區域網,但是企業內部因為保密或者其他原因,要求各業務部門或者課題組獨立成為一個區域網,同時,各業務部門或者課題組的人員不一定是在同一個辦公地點,各網路之間不允許互相訪問。根據這種情況,可以有幾種解決方法,但是虛擬區域網解決方法可能是最好的。為了完成上述任務,我們要做的工作是收集各部門或者課題組的人員組成、所在位置、與交換機連接的埠等信息。根據部門數量對交換機進行配置,創建虛擬區域網,設置中繼,最後,在一個公用的區域網內部劃分出來若干個虛擬的區域網,同時減少了區域網內的廣播,提高了網路傳輸性能。這樣的虛擬區域網可以方便地根據需要增加、改變、刪除。
共享訪問:在一些大型寫字樓或商業建築(酒店、展覽中心等),經常存在這樣的現象:大樓出租給各個單位,並且大樓內部已經構建好了區域網,提供給入駐企業或客戶網路平台,並通過共同的出口訪問Internet或者大樓內部的綜合信息伺服器。由於大樓的網路平台是統一的,使用的客戶有物業管理人員、有其他不同單位的客戶。在這樣一個共享的網路環境下,解決不同企業或單位對網路的需求的同時,還要保證各企業間信息的獨立性。這種情況下,虛擬區域網提供了很好的解決方案。大廈的系統管理員可以為入駐企業創建一個個獨立的虛擬區域網,保證企業內部的互相訪問和企業間信息的獨立,然後利用中繼技術,將提供接入服務的代理伺服器或者路由器所對應的區域網介面配置成為中繼模式,實現共享接入。這種配置方式還有一個好處,可以根據需要設置中繼的訪問許可,靈活地允許或者拒絕某個虛擬區域網的訪問。
交疊虛擬區域網:交疊虛擬區域網是在基於埠劃分虛擬區域網的基礎上提出來的,最早的交換機每一個埠只能同時屬於一個虛擬區域網,交疊虛擬區域網允許一個交換機埠同時屬於多個虛擬區域網。這種技術可以解決一些突發性的、臨時性的虛擬區域網劃分。比如在一個科研機構,已經劃分了若干個虛擬區域網,但是因為某個科研任務,從各個虛擬區域網裡面抽調出來技術人員臨時組成課題組,要求課題組內部通信自如,同時各科研人員還要保持和原來的虛擬區域網進行信息交流。如果採用路由和訪問列表控制技術,成本會較大,同時會降低網路性能。交疊技術的出現,為這一問題提供了廉價的解決方法;只需要將要加入課題組的人員所對應的交換機埠設置成為支持多個虛擬區域網,然後創建一個新虛擬區域網,將所有人員劃分到新虛擬區域網,保持各人員原來所屬虛擬區域網不變即可。
9. 簡述網路訪問控制的策略
訪問控制策略是網路安全防範和保護的主要策略,其任務是保證網路資源不被非法使用和非法訪問。各種網路安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網路安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作許可權控制策略、目錄安全控制策略、屬性安全控制策略、網路伺服器安全控制策略、網路監測、鎖定控制策略和防火牆控制策略等7個方面的內容。
10. 如何設置主機訪問vmware虛擬機網路
VMWare提供了三種工作模式,它們是bridged(橋接模式)、NAT(網路地址轉換模式)和host-only(主機模式)。要想在網路管理和維護中合理應用它們,你就應該先了解一下這三種工作模式。
1.bridged(橋接模式)
在這種模式下,VMWare虛擬出來的操作系統就像是區域網中的一台獨立的主機,它可以訪問網內任何一台機器。在橋接模式下,你需要手工為虛擬 系統配置IP地址、子網掩碼,而且還要和宿主機器處於同一網段,這樣虛擬系統才能和宿主機器進行通信。同時,由於這個虛擬系統是區域網中的一個獨立的主機 系統,那麼就可以手工配置它的TCP/IP配置信息,以實現通過區域網的網關或路由器訪問互聯網。
使用橋接模式的虛擬系統和宿主機器的關系,就像連接在同一個Hub上的兩台電腦。想讓它們相互通訊,你就需要為虛擬系統配置IP地址和子網掩碼,否則就無法通信。
如果你想利用VMWare在區域網內新建一個虛擬伺服器,為區域網用戶提供網路服務,就應該選擇橋接模式。
2.host-only(主機模式)
在某些特殊的網路調試環境中,要求將真實環境和虛擬環境隔離開,這時你就可採用host-only模式。在host-only模式中,所有的虛擬系統是可以相互通信的,但虛擬系統和真實的網路是被隔離開的。
提示:在host-only模式下,虛擬系統和宿主機器系統是可以相互通信的,相當於這兩台機器通過雙絞線互連。
在host-only模式下,虛擬系統的TCP/IP配置信息(如IP地址、網關地址、DNS伺服器等),都是由VMnet1(host-only)虛擬網路的DHCP伺服器來動態分配的。
如果你想利用VMWare創建一個與網內其他機器相隔離的虛擬系統,進行某些特殊的網路調試工作,可以選擇host-only模式。
3.NAT(網路地址轉換模式)
使用NAT模式,就是讓虛擬系統藉助NAT(網路地址轉換)功能,通過宿主機器所在的網路來訪問公網。也就是說,使用NAT模式可以實現在虛擬 系統里訪問互聯網。NAT模式下的虛擬系統的TCP/IP配置信息是由VMnet8(NAT)虛擬網路的DHCP伺服器提供的,無法進行手工修改,因此虛 擬系統也就無法和本區域網中的其他真實主機進行通訊。採用NAT模式最大的優勢是虛擬系統接入互聯網非常簡單,你不需要進行任何其他的配置,只需要宿主機 器能訪問互聯網即可。
如果你想利用VMWare安裝一個新的虛擬系統,在虛擬系統中不用進行任何手工配置就能直接訪問互聯網,建議你採用NAT模式。
提示:以上所提到的NAT模式下的VMnet8虛擬網路,host-only模式下的VMnet1虛擬網路,以及bridged模式下的 VMnet0虛擬網路,都是由VMWare虛擬機自動配置而生成的,不需要用戶自行設置。VMnet8和VMnet1提供DHCP服務,VMnet0虛擬 網路則不提供
提到VMware大家就想起了虛擬機技術,虛擬機技術在最近的幾年中得到了廣泛的發展,一些大型網路服務商都開始採用虛擬機技術,不僅節省了投資成本,更節約了能源的消耗。
我們知道VMware也分幾種版本,普通用戶最常用的就是Workstation,但是不管使用哪種版本,我們都能發現在安裝過程中讓我們選擇網路模式。在默認情況下會選中橋接模式,但有用戶會問其他模式是干什麼用的?有時候選擇了其他模式之後就不能上網了。今天小編就和大家一起探討一下VMware 3種網路模式的功能和通信規則。
網路模式
我們首先說一下VMware的幾個虛擬設備
VMnet0:用於虛擬橋接網路下的虛擬交換機
VMnet1:用於虛擬Host-Only網路下的虛擬交換機
VMnet8:用於虛擬NAT網路下的虛擬交換機
VMware Network Adepter VMnet1:Host用於與Host-Only虛擬網路進行通信的虛擬網卡
VMware Network Adepter VMnet8:Host用於與NAT虛擬網路進行通信的虛擬網卡
安裝了VMware虛擬機後,會在網路連接對話框中多出兩個虛擬網卡,