Hypervisorer er værktøjer, der bruges til at skabe virtuelle maskiner (VM'er) til hostingtjenester, test og softwareudvikling i et sikkert miljø. Desværre er dette sikkerhedsniveau kun muligt ved fuldstændig at sandboxe den virtuelle maskine fra den fysiske verden, hvilket er et problem, hvis projektet har brug for netværk.
Af denne grund tilbyder hypervisorer forskellige netværkstilstande for at give netværksfunktioner til en VM og samtidig opretholde et vist sikkerhedsniveau. Disse netværkstilstande inkluderer NAT, brokoblede og kun værtsnetværk.
Så hvad er NAT, brokoblet og host-only netværkstilstande? Hvordan virker de, og hvilke skal du bruge?
Hvad er NAT?
Network Address Translation (NAT) er en netværkstilstand, hvor værterne oversætter VM'ens IP-adresse til routeren, så VM'en kan oprette forbindelse til internettet.
Dybest set, når du opretter forbindelse til internettet, bliver VM'ens IP-adresse maskeret af værtens IP-adresse. Denne tilstand tillader ikke sammenkobling mellem VM'er, og den tillader heller ikke en VM at kommunikere med andre fysiske maskiner undtagen værten.
VM'en får en IP-adresse gennem en virtuel DHCP-server knyttet til fysisk værts netværksmodem, ikke DHCP-serveren fra den fysiske router. En virtuel DHCP-server oprettes automatisk, hver gang der laves en virtuel maskine. Det betyder, at IP-adressen på en VM, der bruger en NAT-adapter, kan have samme IP-adresse som en anden VM uden at forårsage problemer. Dette betyder dog også, at hver VM, der hostes af den fysiske værtsmaskine, ikke kan interagere med hinanden, fordi de deler den samme IP.
I tilfælde, hvor VM'er kræver fungerende NAT og en netværksforbindelse med hinanden, giver nogle hypervisorer såsom VirtualBox muligheder for "NAT-netværks"-tilstand.
Hvad er et værtsnetværk?
Et værtsnetværk giver det højeste niveau af netværkssikkerhed til gengæld for meget begrænsede netværksmuligheder. For eksempel giver et værtsnetværk det muligt for alle VM'er og værtsmaskinen at netværke med hinanden, mens de er afskåret fra det fysiske netværk. Og da værtsmaskinen ikke oversætter adressen til VM'erne, kan routeren ikke give dem nogen internetadgang.
Et værtsnetværk bruger en virtuel DHCP-server fra værtsmaskinen for at give en unik IP-adresse til hver VM. MAC-adresser indstilles automatisk, men du kan ændre MAC-adressen og IP-adressen, hvis du vil.
Hvad er et brokoblet netværk?
Et brokoblet netværk er den mest tilladelige af alle netværksforbindelsestyper.
Det giver en VM mulighed for at netværke med andre VM'er og alle fysiske maskiner på det fysiske netværk. Selvom et brokoblet netværk giver VM'er alle netværksfunktionaliteter, er det også væsentligt reducerer dets sikkerhed, da VM'erne også er modtagelige for netværkssårbarheder, svarende til en åben fysiske netværk.
En broadapter giver hver VM en unik IP-adresse inden for det fysiske netværksundernet. VM'er får deres IP-adresse ikke fra en virtuel DHCP-server, men fra den fysiske router i dit netværk. For at bruge et brokoblet netværk skal en bruger manuelt vælge den brokoblede adaptertilstand på hypervisoren og indstille unikke MAC-adresser til hver VM.
Sammenligning af NAT-, Bridged- og Host-only-netværk
NAT, brokoblede og kun værtsnetværk er tre af de mest almindelige netværkstilstande, virtuelle maskiner bruger til tilslutning. Afhængigt af forbindelsestilstanden vil din virtuelle maskine have forskellige grader af netværksfunktioner. Selvom det kan virke bekvemt og nyttigt at have en IP, der er åben for alle forbindelser, er risikoen for en fuldstændig åben forbindelse ikke bekvemmeligheden værd. Desuden er det nemt at indstille den korrekte netværkstilstand og kan gøres på få sekunder.
Det vigtige er, at du skal forstå, hvilken netværkstilstand der passer bedst til dine behov. For at gøre det nemmere for dig at forstå, er her en tabel over, hvad hver specifik netværkstilstand giver adgang til:
Netværkstilstand |
Adgang til andre VM'er |
Adgang til vært |
Adgang til fysiske maskiner |
Internetadgang |
|---|---|---|---|---|
NAT |
Ingen |
Ja (en vej) |
Ingen |
Ja |
Broforbundet |
Ja |
Ja |
Ja |
Ja |
Kun vært |
Ja |
Ja |
Ingen |
Ingen |
NAT vs. Bridged Mode vs. Kun vært: Hvilken netværkstilstand skal du bruge?
Der er mange praktiske applikationer til at bruge en virtuel maskine. Mange af disse applikationer er normalt i form af test, uddannelse, udvikling og hostingtjenester.
Baseret på tabellen er NAT begrænset fra at oprette forbindelse til andre VM'er og maskinerne på det fysiske netværk. VM'er, der er konfigureret til at bruge NAT, er usynlige for fysiske maskiner og andre VM'er, der hostes af værtsmaskinen. Og da en VM i en NAT-konfiguration ikke kan ses af andre maskiner, er risikoen for mulige portscanningsangreb elimineret.
Dette gør NAT til en passende netværksforbindelse til testprojekter, hvor VM'en skal isoleres, men også har brug for internetadgang. Ydermere kan NAT også bruges af virksomheder, der bruger VM'er som klienter til at surfe på internettet og udføre forskellige virksomhedsopgaver.
På den anden side tillader en bridge-netværkskonfiguration forbindelse til tilsvarende indstillede VM'er, værtsmaskinen, fysiske maskiner på serveren og internettet. Denne tilstand giver fuld netværksforbindelse på bekostning af den mindst mulige sikkerhed. For eksempel er et brokoblet netværk nødvendigt, hvis en virtuel maskine er vært for en webserver, filserver eller mailserver.
I modsætning til det brokoblede netværk giver et værtsnetværk den bedste netværkssikkerhed på bekostning af lav forbindelse. Et brokoblet netværk tillader kun forbindelse til værten og andre VM'er. Selvom det er meget isoleret, kun en vært forbindelse er bedst brugt, når du opsætter et privat virtuelt netværk til test og læring om cybersikkerhed.
Du kan blande og matche forskellige virtuelle maskine-netværkstilstande
Test-, udviklings- og hostingtjenester er ret brede områder af VM'ers brug. Til mere specialiserede opgaver kan du dog støde på situationer, hvor NAT-, bridge- eller host-only netværkstilstande ikke passer til den type forbindelse, du har brug for.
For at tilpasse din netværkstilstand kan du blande og matche forbindelsestilstande. Dette er muligt, da hypervisorer ofte giver VM'er fire til otte netværksadaptere. Så du kan bruge flere netværkstilstande, når det er nødvendigt. For eksempel har du brug for et netværk, der har en internet- og VM-til-VM-forbindelse, samtidig med at det er usynligt for det fysiske netværk. Du ville kombinere NAT og host-only netværkstilstande for at skabe en sådan forbindelse.
Og det er dybest set alt, hvad du behøver at vide om VM-netværkstilstande. Forhåbentlig kan du nu bruge og tilpasse dine VM-netværk.
