我正在考虑将防火墙移到 Hyper-V 内部。将只有一个客户操作系统连接到虚拟交换机,并且客户操作系统是防火墙操作系统。而防火墙操作系统上的第二个适配器将连接到内部网络虚拟交换机。
但我担心安全性,特别是因为这个接口面向公共网络。
那么,如果我不与管理操作系统共享网络适配器,有什么办法可以访问主机操作系统吗?
无论如何,我的意思是,无论需要什么远程攻击。合法或非法,官方或非官方,用任何手段,入侵主机。Hyper-V 存在此漏洞的可能性有多大?
答案1
我的意思是,无论用什么远程方式,合法或非法,官方或非官方,用任何手段,都可以入侵主机。
那将是一个安全漏洞。很可能存在这样的漏洞,例如 Windows NIC 驱动程序中的一个漏洞。
但你不会在这里了解到这一点。如果有人藏有这样的漏洞,可能会发生三件事:
- 他们告诉微软或供应商,然后他们就打了补丁。打完补丁后,问题就被人知道了。
- 它可以用于野外攻击。
- 它可以被悄悄地储存起来,并用于针对特定目标的高调攻击,希望不会被公众知晓。
因此,一如既往:确定您愿意承担的风险,并考虑您愿意花多少钱来避免这些风险。防火墙的物理硬件可以减轻这种风险,但可能会带来其他风险(Intel ME?)并降低灵活性。值得增加成本吗?