服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何防止虚拟主机连接到networking?
Intereting Posts
备份,迁移或克隆失败CentOS 4(LVM) MySQL服务器冻结InnoDB表上的插入 为什么我需要一个以上的公共IP地址为一个专用的主机? 使用Apache以特定用户的身份执行CGI脚本 在Ubuntu上使用squid文件描述符 没有本地pipe理权限的用户以只读模式打开所有sharepoint文档,不受限制的共享点权限。 为什么? 针对2个低负载build模服务器的最佳RAID设置? 中小型企业的NASselect – 大约8到12TB的空间 nginx和haproxy,它们是否共享类似的负载均衡angular色? 在另一个用户的当前configuration文件中运行计划任务 可能的散热问题 在GlassFish 3中,“等待DAS启动”是指什么? 在2008R1SP2的poolmon.exe中诊断“文件”标记内存泄漏 无法启用Azure AD域服务 运行oracle DBD :: Oacle安装得到这个“无法find或打开文件:/lib32/crt0_64.o”

如何防止虚拟主机连接到networking?

我们正在讨论从个人电脑连接到公司networking时向我们的员工发放标准化VM镜像的潜力。

理想情况下,他们可以在任何可用的硬件上运行这个虚拟机。 由于我们无法控制硬件或主机操作系统,主机上的恶意软件感染,受限的软件,不良的软件交互等都会有相当高的潜力。

允许虚拟机连接到我们的公司networking的最好/最简单的方法是什么,同时防止主机连接?

解决scheme应该:

  • 允许用户通过我们办公室的无线或以太网进行连接,或通过办公室外的VPN进行连接
  • 尽pipe我们的办公室提供访客无线访问,但这对于主机来说是可以接受的,所以不要让主机连接在一起。
  • 不会破坏我们控制的企业电脑(不是个人电脑,不是虚拟机)的function
  • 不是pipe理密集的,例如维护MAC地址的白名单等。

细节:

  • 虚拟机可能是基于VMWare或VirtualBox的
  • 虚拟机将运行Windows XP或Windows 7
  • 主机可以是mac / linux / windows

为了防止主机访问资源,我想你可能不得不使用IPSec来进行域或服务器隔离。 主机不在域中,所以IPSec将阻止它们与其他域计算机进行通信,但是虚拟机将在域中,因此它们可以相互通信。

这看起来像一个非常好的起点。 http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx

我会考虑两种方法。

  1. 使用VMWare ThinApp – 使用虚拟机和微型虚拟机pipe理程序,并从中创build一个.exe,实际上没有什么可以改变虚拟机的工作方式。 你只需要一个带有VPN客户端的虚拟机,就可以给他们想要的东西,除此之外别无其他。 这只能在Windows上运行,所以也可以在VMWare Workstation for Windows&Linux和Fusion for Mac中运行相同的虚拟机。
  2. 使用像Citrix或VMWare View这样的东西在networking中运行这些机器,但用户只能从networking浏览器使用它们,严重限制了他们的select。

如果这些虚拟机将join到一个域中,也许您可​​以在您的VPN上使用客户端证书,这样只有具有客户端证书的计算机才能连接到VPN。 这将防止未授权的计算机连接(主机),同时允许授权的计算机(虚拟机)。 当虚拟机在VPN上时,您可以强制它只允许到达目标networking的stream量,以防止水平分割stream量。 如果你有一个精通技术的用户,他们将能够解决这个问题,但是大多数解决scheme都是一样的。

您可以将机器证书部署为VPN身份validation的第二个因素。

为防止stream氓设备进行以太网和无线访问,您可以让每个人都进入安全区域,或者部署802.1x。