我在xp系統上裝了一台虛擬機(vmware),都裝了za防火牆,用橋接的方式上網,我的宿主機上有兩塊網卡,用路由器連接上網後,虛擬機單獨用另一塊網卡經路由器上網,可是宿主機上網正常,虛擬機上不去網,後來發現,只有將宿主機的防火牆關掉,虛擬機才能上網,我想問一下,怎樣設置防火牆能讓虛擬機正常上網?
答:主機能夠上網,虛擬機(vmware)不能上網,說明路由等的設置沒有問題。問題出在Zonealarm防火牆阻止了虛擬機的網絡訪問,不配置的情況下,對於VMWare的bridged模式或Virtual PC的虛擬轉換網絡模式,Zonealarm都可能是阻擋的。故有兩種情況會導致虛擬機無法訪問網絡:一個是Zonealarm程序控制模塊的阻擋;一個是防火牆模塊的阻擋。先看看是否程序控制中帶有VMWare字樣的程序已被禁止訪問網絡,如果沒有禁止,仍然無法上網,那就是防火牆模塊的阻擋了。
bridged模式看起來類似於和主機獨立,但是VMWare屬於程序級別的軟件,對網絡資源的調用還是需要通過Zonealarm允許才行,需要把路由器所組成的內網加入主機Zonealarm的信任區,例如路由器地址是192.168.1.1,內網計算機的地址是192.168.1.2到192.168.1.255,可以在Zonealarm中,選擇 防火牆-→ 區域 -→ 添加子網 -→ 區域選擇為信任,在對話框裏面的「IP地址」處,輸入192.168.1.0,子網掩碼輸入 255.255.255.0,然後點擊「應用」按鈕。關閉Zonealarm,如果提示保存設置的時候,選擇保存,然後再啟動Zonealarm(不經過關閉過程,下次開機時這些配置有時可能無法保存)。
如果關掉了宿主機的防火牆,用虛擬機上網是否安全?宿主機是否會因為關掉了防火牆而遭到攻擊?
答:路由器組成的內網,加入為主機Zonealarm的internet區時,主機上的程序經過Zonealarm允許時是可以訪問網絡的,但是虛擬機內的程序則無法訪問網絡。但主機上給虛擬機單獨分配一塊網卡,和直接使用主機網卡,安全性相近。請注意路由器雖然可以阻擋一些不明網絡訪問請求,但是不能代替防火牆軟件,因為主機也是聯網的,所以還是要開著Zonealarm。Zonealarm的關於路由的設置參考明慧網2006年3月13日「也談路由器」
也談路由器
路由器確實值得推薦,我用了快一年了,看了同修《寬帶上網保安全 路由器使用方法》作些補充:
1.大陸弟子不宜採用BT,電驢等P2P下載方式,不安全,《明慧》已有文論及。同時把端口暴露在公網上破壞了路由器的防護特性。
2.路由器確實擋掉了來自公網對電腦的正面攻擊,但決不能取代ZA防火牆的全面防護作用,只是提高電腦安全性的一種補充。因為除了正面攻擊外,電腦還有遭受攻擊(感染)的主要途徑:網絡工具(如瀏覽器),移動存儲(如U盤)的數據交換。而ZA防火牆不但能控制電腦的全部進出數據,同時還可監測電腦軟件的一切動作(當然也包括「異動」)。路由器只管進不管出,不能代替ZA。在安有路由器的情況下再做乾淨系統容易些。
3.我的ZA是這樣設置的(我只談與《新資料點技術手冊》不同之處):
(1) Firewall-main-Blocked Zone Security-Advanced設置:(在安有路由器的情況下)
第2項 Internet Connection Sharing 中選第2個(This computer is a client of an ICS/NAT gateway running ZoneAlarm Pro), 這時 Gateway Address(網關地址)顯示為:192.168.0.1(我用的是 D-Link路由器,別的可能不同,如TP-LINK為192.168.1.1等)
第3項 General settings設置:(以下2項設置可提高防護的嚴厲成度,在沒安路由器的情況下更有參考價值)