又没办法只让虚拟机联网，不让主机联网的方法？

xintao

经常看到有人被广告公司发涵的，用注册机担心有木马的，win10强制更新的等乱七八糟的问题和烦恼。那么我有几个想法，有没有办法严格控制主机应用联网呢？
有人说把这些不放心的软件装虚拟机里，不让虚拟机联网即可，但是有很多大型的软件在主机上运行都一卡一卡的，就更别说虚拟机了，还有就是重要资料肯定都在主机上吧，放虚拟机的应该不多吧，也不方便使用，那么主机上要是有木马，就不太安全了。
因此我就想，有没有一个办法不让主机任何应用联网，只让虚拟机联网呢？或者说只让我非常信任的个别应用连网呢？如果能实现这样的功能，那即使主机上真有木马，也没啥好担心的，反正你随便收集，也没机会发出去，只要不搞破坏就行了，然后需要上网了，就打开虚拟机上网。
另外问一下，大家用win10后，都是用自带的杀毒软件还是用第三方的？用了自带的以后还有必要装第三方防火墙吗？win自带的防火墙好像非专业人员，不怎么会用，试着禁用了一下qq，发现还是照样联网。相信防火墙是好的，只是使用起来有点复杂，不适合傻瓜操作，里面很多联网的规则一般人都不懂。

wye11083

有，把主机ip手动指定到内网段，让虚拟机桥接。

huangqi412

用USB映射应该可以  USB网卡直接给虚拟机用不给主机用

shian0551

我一直用3楼的方法。usb网卡，主机不装驱动，虚拟机连接，安装驱动即可。

wuyya

Netlimiter or ZoneAlarm

JasonGao

有，你这个其实是很多人的标准用法，实体机上跑大型软件，虚拟机用来上网。实现方法很多，可以禁止主机网卡，可以改成不在同一子网的ip，可以在路由器把主机ip禁止等等等

vtte

外面实体主机随便设置一个上不了网的IP地址就可以了，虚拟机网卡用桥接模式，不要用NAT模式。

gongxd

实体机更改一下网关，虚拟机桥接

myxiaonia

vtte 发表于 2019-11-29 13:59
外面实体主机随便设置一个上不了网的IP地址就可以了，虚拟机网卡用桥接模式，不要用NAT模式。 ...

请问桥接到哪个网卡，桥接网卡的工作方式是怎么样的，被桥接的网卡不是也在主机吗

gallle

这个我要收藏一下，

xintao

wye11083 发表于 2019-11-29 13:01
有，把主机ip手动指定到内网段，让虚拟机桥接。

是这个意思吗？
主机上随便设了个IP,反正浏览器是打不开了，试试了虚拟机还能自动获取IP,能上网。
但不知道这种安全不安全，理论上主机上的木马啥的也真的连不上外网了吗？对这一块不太了解，如果木马也模拟虚拟机的方法，采用桥接的方式去连外网，是不是就又可以了？
我试了禁用主机本地连接，哈哈，一禁用就都挂了，谁都不能上了。

xintao

JasonGao 发表于 2019-11-29 13:55
有，你这个其实是很多人的标准用法，实体机上跑大型软件，虚拟机用来上网。实现方法很多，可以禁止主机网卡 ...

我试了试给主机胡乱设个IP的方法，主要上正经的应用确实不能连网了，虚拟机用桥接可以连网。
我试禁用主机上本地连接的方法，不行呀，一禁用，主机、虚拟机都不能连网了。
另外就是如果木马也升个级，采用桥接方式连网，是不是就又可以窃取我们的数据了？

xintao

huangqi412 发表于 2019-11-29 13:24
用USB映射应该可以  USB网卡直接给虚拟机用不给主机用

也是个好方法，就是得增加一块外置网卡。
要是能从主机上禁用掉本地的网卡给虚拟机一个人用就好了啊。

epwwm

这样也行？一直以为虚拟机是依赖主机上网的。

laujc

epwwm 发表于 2019-11-29 15:11
这样也行？一直以为虚拟机是依赖主机上网的。

我有一台烧录器，在win10下不能识别
虚拟机装下win7，可以在虚拟 机下使用，感觉虚拟机很强大

hawkinsky

唉，买块USB无线网卡，主机上网卡禁用，USB网卡驱动不安装，虚拟机里安装USB网卡，通过USB无线上网。

gongxd

xintao 发表于 2019-11-29 15:06
我试了试给主机胡乱设个IP的方法，主要上正经的应用确实不能连网了，虚拟机用桥接可以连网。
我试禁用主 ...

桥接要安装驱动，另外想保密要物理隔离，连电源线都不能共用

xintao

epwwm 发表于 2019-11-29 15:11
这样也行？一直以为虚拟机是依赖主机上网的。

我原来也一直这么认为的，所以才发帖请教的。
目前试下来至少qq，浏览器，百度同步盘都掉线了。估计99.9%的软件都连不了啦吧，但是，虚拟机能连，我觉得其它软件只要采用它这种方式，应该也可以连，就是要费些劲了，不像以前可以随意进出了。

xintao

gongxd 发表于 2019-11-29 15:21
桥接要安装驱动，另外想保密要物理隔离，连电源线都不能共用

那个级别就太高了，目前这个方法就挺好。

huangqi412

xintao 发表于 2019-11-29 15:08
也是个好方法，就是得增加一块外置网卡。
要是能从主机上禁用掉本地的网卡给虚拟机一个人用就好了啊。 ...

一个网卡几十块钱都舍不得？  这个保险些，主机是肯定上不了网，因为它都没网卡。

xintao

huangqi412 发表于 2019-11-29 16:55
一个网卡几十块钱都舍不得？  这个保险些，主机是肯定上不了网，因为它都没网卡。 ...

哈哈，也不是说舍不得，主要是即想安全又想省事儿，在这中间找个平衡吧特别是要出差，还得带个网卡，带一个可能还不行，还要带个有线，带个无线，哈哈。
当然，我认为这个比改IP的方式更安全。

mcu5i51

VM用独立的网卡IP，主机指定IP或参数不能上网

mcu5i51

可以参考下

mcu5i51

桥接方式，完全独立的

pengchhui

一直使用USB网卡方式

tomzbj

上隔离卡得了，其实就是个插pcie槽上的sata和以太网模拟开关，保密部门不少用这东西的。
https://detail.tmall.com/item.ht ... 27b&abbucket=12

开机时在自检界面会多个菜单让你选从哪边启动。

locky_z

我现在就是，因为主机和虚拟机都是dhcp的，因此不能用不同网段方式。
我现在主机插两个网卡，一个网卡A连内网，一个网卡B连互联网
在主机里面，内网A除了不勾选绑定vmware的bridage协议外，其他协议一切正常；互联网B卡，所有的网卡协议以及客户端都删掉只留vmware的bridage协议。

xintao

locky_z 发表于 2019-11-30 23:49
我现在就是，因为主机和虚拟机都是dhcp的，因此不能用不同网段方式。
我现在主机插两个网卡，一个网卡A连内 ...

还要留ipv4那个吧，不勾选那个是不是虚拟机也上不了网。

locky_z

xintao 发表于 2019-12-1 00:21
还要留ipv4那个吧，不勾选那个是不是虚拟机也上不了网。

啥都不用留,只留vmware的bridage就OK,

sipure

虚拟机网卡设成NAT模式,断了主机的无线网卡,虚拟机是可以照常联网的啊.  最简单  

sipure

不过虚拟机总会有莫名其妙的问题,最近就出现突然运行非常慢的问题,不知哪出问题了

qdght

usb网卡是个不错的选择，不过有的公司对usb设备有限制

tlptotop

tomzbj 发表于 2019-11-29 22:32
上隔离卡得了，其实就是个插pcie槽上的sata和以太网模拟开关，保密部门不少用这东西的。
https://detail.t ...

控制硬盘的电源，相当于双硬盘装双系统，每个系统绑定一个网卡。
系统启动时，自动断掉另一个硬盘的电源。

这样安全是有了，重启才能切换系统，有点不太方便呀

xintao

sipure 发表于 2019-12-1 15:15
虚拟机网卡设成NAT模式,断了主机的无线网卡,虚拟机是可以照常联网的啊.  最简单   ...

貌似不行吧，我试了试主机上无线一断开，虚拟机也就上不了网了，主机无线一连上，就又能上网了。难道我操作不对？

locky_z

我现在的设置

magiczero

对，楼上的这个才是虚拟机和实体机上网的最方便安全的方法

magiczero

上面的方式用单网卡也可以实现

xintao

locky_z 发表于 2019-12-2 16:56
我现在的设置

这个没太明白

cwei

以前公司本地电脑都不可以上网，要上网登录服务器的虚拟电脑才行，本地电脑都只能做内网。

locky_z

magiczero 发表于 2019-12-2 21:07
上面的方式用单网卡也可以实现

单网卡的话，实际上你们公司已经不是物理隔离了，互联网以及公司内网都接到同一个交换机上了。这是不允许的。

locky_z

xintao 发表于 2019-12-3 01:00
这个没太明白

主机上两个物理网卡，vmware创建的两个vmnet网卡都可以不用，禁用掉或者到设备管理器里面删掉也行。
一个网卡叫out,连接的是互联网，此网卡的属性里面啥都不绑定，只绑定bridge协议，这个协议是将这个网卡收到的所有数据包都转发到虚拟机里面
一个叫in,连接的是公司内网的域。此网卡的属性如上图in那张卡绑定的属性，按你公司要求勾选，但不要勾选bridge协议，这样这个网卡收到的数据包就不会转发到虚拟机。
然后虚拟机设置里面，网卡的设置如上图，选桥接模式。这种模式是接收有bridge协议的网卡的所有的数据包。
虚拟机OS里面的网卡属性随便。

kebaojun305

你如果路由器支持 pppoe拨号服务的话，直接虚拟机拨号，主机不拨号就行了。

xintao

locky_z 发表于 2019-12-3 10:51
主机上两个物理网卡，vmware创建的两个vmnet网卡都可以不用，禁用掉或者到设备管理器里面删掉也行。
一 ...

明白了，这个如果主机什么无需连内网的话，其实一个网卡也就够了。只保留out网卡给虚拟机用就可以了。

lyk07351

myxiaonia 发表于 2019-11-29 14:49
请问桥接到哪个网卡，桥接网卡的工作方式是怎么样的，被桥接的网卡不是也在主机吗 ...

从数据出入口来看 还是通过主机的物理网卡进行的通信，只是不在主机那个系统上进行通讯而已。
不管你再怎么桥，拔掉你网线  没了无线网卡 你就是不能上网。这么说来 通过虚拟机来访问网络，是不是有点掩耳盗铃的意思  哈哈……

myxiaonia

lyk07351 发表于 2019-12-4 09:40
从数据出入口来看 还是通过主机的物理网卡进行的通信，只是不在主机那个系统上进行通讯而已。
不管你再怎 ...

我后来百度了下，这个桥接模式工作在第二层，相当于一个硬件网卡一样，在虚拟机看来就是一个独立的硬件网卡，可以看成多路复用的意思。。。

唯一的区别是宿主机还是有最大的控制权，禁用的话就会失效

xintao

lyk07351 发表于 2019-12-4 09:40
从数据出入口来看 还是通过主机的物理网卡进行的通信，只是不在主机那个系统上进行通讯而已。
不管你再怎 ...

我理解的是这样的：严格来说，是属于掩耳盗铃，因为主机上只要有网络，并且只要你网络电源通着，哪怕你禁用，理论上都有可能发出去数据，只要是软件手段实现的禁用都存在这个问题，装防火墙也有这个问题，除非你硬件上就不装网卡，才不会通过网路泄密，当然什么电磁波，电源线泄密什么的不在讨论范围之内。但是这么做还是有意义的，就是你至少掩住了大部分正常人的耳朵，比如qq，微信，浏览器等，至少大路是封住了，但是你说如果就是有恶意软件，非要绕开防火墙，绕开操作系统，那就对它无效了。

xintao

lyk07351 发表于 2019-12-4 09:40
从数据出入口来看 还是通过主机的物理网卡进行的通信，只是不在主机那个系统上进行通讯而已。
不管你再怎 ...

其实虚拟机不就是明目张胆的连上网了，明显它绕开你软件上设的那些障碍…
但是如果广告公司，keil公司，等等这些流氓公司和各种提示有木马的破解工具没有去模仿虚拟机联网这种方式的时候，你就是安全的。

unnormal

locky_z 发表于 2019-12-3 10:51
主机上两个物理网卡，vmware创建的两个vmnet网卡都可以不用，禁用掉或者到设备管理器里面删掉也行。
一 ...

这招不错