我弟弟有一台笔记本电脑(使用 Windows 7),他非常想保证它的安全。最初,他不打算将它连接到互联网,但我建议我可以为他设置一个 Ubuntu 虚拟机,这样他仍然可以浏览互联网并保护主机上的文件。我计划为虚拟机使用 Virtual Box 或 VMWare。有没有什么方法可以限制互联网连接,以便流量只能流向 Windows 更新或虚拟机?
答案1
对于 VMWare,您可以在适配器设置下禁用 IPv4 和 IPv6,这将禁用主机上的网络,但仍允许虚拟机访问它(如果设置为桥接。如果您遇到更新修复的问题,您可以重新检查 IPv4 以暂时启用互联网以允许更新。
为什么不直接使用 Ubuntu 作为主操作系统?如果您需要 Windows,则应考虑在 Sandboxie 中运行浏览器和/或使用 Rollback rx 之类的程序,因为 VM 会很麻烦。
答案2
您可以做几件不同的事情。为了区分 Windows 和虚拟机,您可以为每个系统分配不同的静态 IP 地址,然后防火墙可以为每个 IP 地址分配规则。例如,您可以为 Windows 分配 192.168.1.50,为 Ubuntu 分配 192.168.5.50。无论如何,我不认为您可以在两者中使用相同的 IP 地址,因为这会导致问题。
此外,您还可以将 IP 地址信息与 OS 数据包指纹相结合。最初,这仅在 BSD 平台上使用 pf 完成,但似乎支持iptables今天。
此外,要仅为 Windows 更新系统生成规则,可以使用名为石匠。它根据流量生成防火墙规则。不过,我怀疑这里涉及很多服务器,因此最好只启用所有发往 microsoft.com 的传出流量,除非您有能力找到所有流量。