第1章准备
1.1概述
与所有传统行业一样,从事网络信息安全工作必须要遵守法律法规以及行业伦理。但是目前许多从业者是理工科出身,学校的专业课教学环节都是以技术培训为主并没有涉及太多行业性质的法律法规或者伦理课程。信息安全是一个经常涉及隐私、安全的行业,如果对这方面不了解,就可能违反法律法规或行业伦理,造成严重后果。因此,我们必须了解这方面的知识。
1.1.1法律法规
读者首先应该清楚信息安全主要涉及的法律类型,其一般包括:民法、刑法、行政法规以及其他相关法律类型,如知识产权法、信息隐私法和隐私法等。法律法规既然是国家或地区制定的,那么在不同的国家和地区,这些法律法规也会不同。因此,我们分别从国内与国外两方面去了解和学习。
1. 国内法律法规
涉及信息安全的国家法律如下。
《中华人民共和国宪法》第三十五条、第四十条。
《中华人民共和国保守国家秘密法》共35条。
《中华人民共和国国家安全法》第十条、第十一条、第二十一条。
《中华人民共和国人民警察法》第六条、第十六条。
《中华人民共和国刑法》第二百一十九条、第二百二十一条、第二百二十二条、第二百八十二条、第二百八十五条、第二百八十六条、第二百八十七条、第二百八十八条、第三百六十三条、第三百六十四条、第三百六十五条、第三百六十六条、第三百六十七条。
《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条。
《中华人民共和国电子签名法》共36条。
《中华人民共和国治安管理处罚法》第二十八条、第二十九条、第四十二条、第六十八条、第六十九条。
行政法规相关内容如下所示。
《中华人民共和国计算机信息系统安全保护条例》共31条。
《中华人民共和国计算机信息网络国际联网管理暂行规定》共25条。
《商用密码管理条例》共27条。
《中华人民共和国电信条例》第五十七条、第五十八条、第五十九条、第六十条、第六十一条、第六十二条、第六十三条、第六十四条、第六十五条、第六十六条。
. 《互联网信息服务管理办法》共27条。
《互联网上网服务营业场所管理条例》共37条。
《信息网络传播权保护条例》共27条。
国内相关职能部门规章和规范性文件大致如下。
(1)公安部
《计算机信息系统安全专用产品检测和销售许可证管理办法》
《计算机信息网络国际联网安全保护管理办法》
《金融机构计算机信息系统安全保护工作暂行规定》
《计算机病毒防治管理办法》
《互联网安全保护技术措施规定》
(2)工信部
《互联网电子公告服务管理规定》
《电信业务经营许可证管理办法》
《计算机信息系统集成资质管理办法(试行)》
《信息系统工程监理暂行规定》
《中国互联网络域名管理办法》
《非经营性互联网信息服务备案管理办法》
《互联网IP地址备案管理办法》
《电子认证服务管理办法》
《互联网电子邮件服务管理办法》
《中国互联网络信息中心域名争议解决办法》
《中国互联网络信息中心域名争议解决办法程序规则》
(3)国务院新闻办公室
《互联网新闻信息服务管理规定》
(4)国家密码管理局
《电子认证服务密码管理办法》
《商用密码科研管理规定》
《商用密码产品生产管理规定》
《商用密码产品销售管理规定》
(5)国家食品药品监督管理局
《互联网药品信息服务管理暂行规定》
《互联网药品交易服务审批暂行规定》
(6)卫生部
《互联网医疗卫生信息服务管理办法》
(7)中国银监会
《电子银行业务管理办法》
《电子银行安全评估指引》
《银行业金融机构信息系统风险管理指引》
(8)中国证监会
《网上证券委托暂行管理办法》
《证券期货业信息安全保障管理暂行办法》
《证券公司集中交易安全管理技术指引》
(9)国家保密局
《中华人民共和国保守国家秘密法实施办法》
《科学技术保密规定》
《计算机信息系统保密管理暂行规定》
《计算机信息系统国际联网保密管理规定》
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》
《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》
(10)新闻出版广电总局
《电子出版物管理规定》
《关于对出版物使用互联网信息加强管理的通知》
《互联网出版管理暂行规定》
《互联网著作权行政保护办法》
《有线广播电视传输覆盖网安全管理办法》
《关于加强影视播放机构和互联网等信息网络播放DV片管理的通知》
《互联网等信息网络传播视听节目管理办法》
(11)教育部
《教育网站和网校暂行管理办法》
《高等学校计算机网络电子公告服务管理规定》
(12)铁道部(原)
《铁路计算机信息网络国际联网保密管理暂行规定》
《铁路计算机信息系统安全保护办法》
(13)其他部门
《中国金桥信息网公众多媒体信息服务管理办法》
《计算机信息网络国际联网出入口信道管理办法》
《中国公用计算机互联网国际联网管理办法》
《中国公众多媒体通信管理办法》
《专用网与公用网联网的暂行规定》
《中国教育和科研计算机网管理办法(试行)》
(14)地方性法律法规
《辽宁省计算机信息系统安全管理条例》
《湖南省信息化条例》
《重庆市计算机信息系统安全保护条例》
(15)司法解释
司法解释相当于对现有法律的一个补充,例如:
《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》
《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》
《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》
《最高人民法院关于审理非法出版物刑事案件具体应用法律若干问题的解释》
《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》
《最高人民法院关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》
《最高人民法院、最高人民检察院关于办理利用互联网、移动通信终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》
以上这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则,等级保护的原则,保障信息权利的原则,救济原则,依法监管的原则,技术中立原则,权利与义务统一的原则。虽然我国信息安全的法律体系已初步形成,但还不够成熟。在这一体系中,部门规章、地方法规及规章等占了绝大多数,还没有一部信息安全的基本法。部门规章、地方法规及规章等效力层级较低,适用范围有限,相互之间可能产生冲突,也不能作为法院裁判的依据,直接影响了这些措施的效果。另外,我国现有信息安全相关法律法规普遍存在的问题是篇幅较小,规定得比较笼统,需要额外的司法解释补充。但是司法解释往往是不具备通用性和绝对的法理依据,在执行过程中也会出现争议。还有,针对行业性的信息安全法律法规还不健全,如电子商务、电子政务、网上支付、社交网络、云计算、物联网等。
2.美国法律法规
美国历来将网络信息安全视作维护国家安全的重要内容。作为互联网诞生地的美国,是世界上第一个引入网络信息战概念和将网络信息安全应用于现实军事、文化和经济领域的国家,其网络信息安全法律规范体系较系统完善,且有连续性。美国坚持将网络信息安全保障体系作为系统工程来建设,其内容不仅涉及网络信息安全的技术保障,还包括相关的政策方针、法制建设、组织机构、管理体制以及人才培养和国际合作保障等。
1946年出台的《原子能法》与1947年的《国家安全法》,是美国网络信息安全法律萌芽阶段的标志。自1978年以来,美国国会及政府各部门先后通过了130余项法律法规。1993年,克林顿政府提出系统兴建涉及网络信息安全的《国家信息基础结构:行动纲领》,即信息高速公路(ISH)计划;1998年颁布了《保护美国关键基础设施》总统令(PDD-63)。2000年1月,美国政府发布《保卫美国的计算机空间——保护信息系统的国家计划》,同年,克林顿又提出《信息系统保护国家计划》,进一步强化了国家网络信息基础设施保护的概念,使“信息安全”成为国家安全战略的正式组成部分,正式进入国家安全战略框架。2001年发布《信息时代的关键基础设施保护》(第13231号行政令)。2003年2月,布什政府发表《国家网络安全战略》报告,正式将网络信息安全提升至国家安全的战略高度,从国家战略全局对网络信息的正常运行进行谋划,以确保国家和社会生活的安全与稳定。2010年2月,美国众议院通过《加强网络安全法案》,法案提出壮大高素质的网络安全队伍,增加联邦政府在网络安全领域的研发投入,提高全社会对网络安全的认识,积极参与制定形成国际网络安全技术标准等具体的安全保障措施等。2009年5月,奥巴马办公室发布《网络空间安全政策评估》报告,对政府及军队当前网络信息安全状况进行评估并讨论了防御对策。
网络与信息自由正取代民主成为美国在全球扩展软实力、开展外交、影响他国的新的价值观。为此,美国进一步加强了海外网络安全,拟设立大使级网络安全职位,职责将包括在联合国协商网络政策,保障国外网络安全。2009年12月29日,美国总统奥巴马签署第13526号行政命令《国家安全信息保密》,主张要在准确、合理的定密标准和常规、安全、有效的解密工作基础上,进一步强化对国家安全至关重要的网络信息的保护,要求进一步加强保密教育培训,明确培训的各项要求;进一步强化特别接触方案,并新增国土安全部长、司法部长等为方案的制定主体。
确保国家安全是美国压倒一切的首要任务。美国在互联网的管理上规章制度比较健全,联邦政府和各州地方政府通过立法,不论是战略层面还是策略层面,技术层面还是管理层面,都对网络实施有效监管。特别是自“9·11”事件后,为实施反恐的需要,美国国会通过《爱国者法案》,授权国家安全、司法部门和警方对涉及化学武器等恐怖行为、计算机欺诈及滥用等行为进行监听、有权查询电邮和其他种类的记录,可以监视公民网上交流情报机构,可以利用技术手段监控、跟踪乃至删改互联网上不利于美国国家利益的信息。而《国土安全法》则增加有关监控互联网和惩治黑客的条款。目前,美国有六大网络安全专职机构、130多项法律法规。
现有主要法律法规包括:《计算机欺诈和滥用法》、《计算机安全法》、《国家信息基础设施保护法》、《1996年通信净化法》、第63号总统令《克林顿政府对关键基础设施保护的政策》、第13130号行政令《国家基础设施保障委员会》、《爱国者法案》、《联邦信息安全管理法案》、第7号国家安全总统令《关键基础设施标识、优先级和保护》、13292号行政令《涉密国家安全信息》。
3.欧盟法律法规
欧盟信息安全立法的历史可以追溯到1992年,发展至今已经具有一定规模。1992年的《信息安全框架决议》翻开了欧盟信息安全立法的崭新一页。该决议的目标在于给一般用户、行政管理部门和工商业界存储电子信息提供切实有效的安全保护,使之不危及公众的利益。随后,1995年1月17日,《欧盟理事会关于合法拦截电子通信的决议》提出了网络环境下公权力行使与人权保护制衡的话题;1999年1月25日,《欧洲议会和欧盟理事会关于采取通过打击全球互联网上的非法和有害内容以促进更安全使用互联网的多年度共同体行动计划的第276/1999/EC号决定》强调必须安全使用网络,为欧盟介入互联网管制,杜绝种族歧视、分裂主义等非法和有害信息提供法律依据。在20世纪末,“电子欧洲”的概念登上历史舞台之后,欧盟在21世纪之初掀起了一个信息安全立法的高潮。2003年2月18日,欧盟理事会通过了“关于建立欧洲网络信息安全文化”的决议。从那时起,欧盟已经不满足于仅仅通过技术手段来保障网络与信息安全,而且考虑到要向所有利益相关者阐明网络信息安全的责任,通过合作与交流,提高全社会的网络安全意识。根据欧盟委员会2006年5月31日向欧盟理事会、欧洲议会、欧洲经济和社会委员会以及区域委员会递交的题为《关于建立欧洲信息安全社会的战略——对话、合作和授权》的通讯,欧盟于2007年3月22日正式通过了关于建立欧洲信息安全社会战略的决议。这意味着欧盟已经将区域的信息安全提升到社会形态的高度,要求在全社会实现网络和信息系统的可用性、保密性与完整性。欧盟信息安全法律框架并非一蹴而就,它是在欧盟理事会、欧洲议会等官方机构和成员国的共同努力之下,根据信息技术的进步和经济社会的发展不断调整,经过了十几年的修正与完善,才具备了今天这样庞大的体系、全面的内容和明确的效力。
纵观欧盟信息安全法律框架,这是一个由欧盟一体化立法、成员国国内立法、综合立法和专项立法共同构建的多层次法律体系。它以保障整个欧盟的信息安全为目标,其结构、内容以及实施措施特点鲜明。而且与美国相比,欧洲各国对个人隐私的保护更为严格。主要法律法规包括:欧盟电子商务指令、欧洲理事会《网络犯罪公约》、欧盟委员会关于在视听和信息服务领域保护未成年儿童和维护人类尊严的绿皮书、建立欧洲网络与信息安全局的指令、德国《信息和通信服务规范法(草案)》、法国《费永修正案》、法国《互联网络宪章》(草案)、英国《三R互联网络安全规则》等。
4.通用规则
经济合作和发展组织(Organization for Economic Cooperation and Development,OECD)在1996年提出了关于密码技术政策的一些指导方针。这些指导方针为国家提供了一些在制定国家密码技术政策时需要考虑的原则,具体内容如下:
1)加密方法应该是可信赖的,这样才会产生在信息和通信系统中使用它们的信心。
2)用户应该有权根据适用法律选择任何加密方法。
3)加密方法的开发目标应该满足个人、企业和政府的需求和责任。
4)加密方法的技术标准、类别和协议应该在国家或国际级别上开发和发布。
5)在国家加密技术政策和加密方法的实现与使用中,应该尊重个人隐私的基本权限,包括通信的保密性和个人数据的保护。
6)国家加密技术政策可以允许合法地访问加密数据的普通文本和加密密钥。这些政策应该在最大限度上尊重指导方针中所包含的其他原则。
7)不管是以合同形式或法律形式建立,都必须清楚地阐述提供加密服务和那些保存或访问加密密钥的个人或实体的责任。
8)各国政府应该相互合作以协调加密技术政策。作为这种努力的一部分,各国政府应该清除或避免创建加密政策名称,从而去除或避免不公平的贸易障碍。
1.1.2行业伦理
法律终究是人制定的,因此一定存在不完善和漏洞。尤其是针对信息安全这种高科技犯罪,本身取证就存在困难和限制,攻击者往往更容易逃脱法律的惩罚。但要记住,不触犯法律不一定是对的,作为信息安全从业者,更应该遵守道德规范。
公认的道德规范有:
《注册信息安全员(CISM)职业道德规范》。
计算机道德协会(Computer Ethics Institute):《计算机道德十戒》。
互联网体系结构委员会(IAB):《道德和互联网(RFC 1087)》。
经贸合作开发组织(OECD):《GASSP通用可接受系统安全原则》。
其中,美国计算机道德协会制定的计算机道德十戒为:
你不应该用计算机伤害他人。
你不应该影响他人的计算机工作。
你不应该到他人的计算机文件里进行窥探。
你不应该到他人的计算机进行偷盗。
你不应该用计算机做假证。
你不应该复制或使用你没有购买的软件。
你不应该使用他人的计算机资源,除非你得到了准许或给予了补偿。
你不应该剽窃他人的精神产品。
你应该注意你正在写入的程序和你正在设计的系统的社会效应。
你应该始终注意,你使用计算机时是在进一步加强你对你的人类同胞的理解和尊敬。
1.1.3技术风险
作为信息安全从业人员,由于工作需要,在许多时候容易游走于法律法规边缘,因此非常有必要做足技术准备来规避法律法规的风险。
通常来说,我们会选择代理服务器或跳板等技术手段隐藏自身的IP地址。但代理服务器一般会检查使用者的地理位置、用户使用的ISP,甚至包括时区(一般是通过JavaScript来确定时区的,代理服务器与此无关)。因此,有经验的技术人员会立即更改服务器的配置,并禁止JavaScript。然而,即使代理服务器看起来非常可靠,但谁知道它们暗地里会干些什么呢,说不定会收集用户的数据并交给黑客,或者很可能你正在使用的代理服务器就是黑客搭建的,而且也不能保证进出的连接信息不被ISP或通信公司收集。因此你应该了解的是,即使通过第三方代理服务器,甚至多个代理服务器也不是那么安全的,这也是IP网络的固有特性,你的IP总是被记录的,只不过是记录的深度有区别而已。或许当下还可以利用非IP网络隐藏自己的身份,例如,使用非实名的手机卡,通过GPRS或3G实施网络活动。然而,手机也不完全可靠。每部手机都有一个Unique Number,在开机过程中,甚至在每次通话过程中(这要视服务提供商而定),它都会发送到基站。情报机关可以利用它定位失窃的手机、跟踪机主等。除非是经常地销毁手机,不然也很容易被发现。
可以说,没有技术是不存在风险的,也就是俗话说的“魔高一尺,道高一丈”。信息安全本身就是一个依靠计算机、通信等学科发展的技术,它只能是这些背景技术的跟随者,因此也只能为“魔”,不能为“道”。
本章实验环节,通过对主机、网络、系统等做一些简单的技术准备工作,不仅保护个人系统隐私,也能在一定程度上减少法律法规、伦理及技术的风险。但需要了解的是,我们所做的工作是非常基础的,并不算高深的技术手段,也不能逃脱高手的追踪。
1.2实验环节
1.2.1VMware虚拟机
1. 实验目的
1)学会使用VMware软件。
2)利用VMware搭建单机多系统环境。
3)了解VMware中的网络类型。
2. 工具信息
VMware——VMware Workstation是一个虚拟PC软件,可以让用户在一台机器上同时运行两个或多个Windows、DOS、Linux操作系统。使用简单,功能强大。
3. 实验分组
每组1人。
4. 系统环境
Windows系统。
5. 实验步骤
(1)使用VMware在Windows系统中安装Linux操作系统
1)首先按提示安装好VMware软件,这个过程没有什么需要特别说明的地方,一直单击“下一步”按钮即可。安装好后启动VMware软件,然后在“文件”→“新建”的扩展菜单中选中“虚拟机”一项,或者按快捷键Ctrl+N,弹出新建虚拟机向导,如图1-1所示。
2)这里选择简单的“Typical”(或称标准)方式,单击Next按钮,如图1-2所示。
图1-1新建虚拟机图1-2建立虚拟机的向导
3)按照向导提示,选择将要安装的系统光盘位置或镜像文件。在本例中我们选择用镜像文件进行虚拟机的安装,采用的例子为Fedora 11的Linux操作系统,单击“浏览”按钮选择要进行安装的对象。
这里要特别说明的是,VMware 6.5引入了Easy Install特性,这个功能可以通过检测安装盘或镜像文件,来自动确定要安装的操作系统,然后进行从安装系统到安装VMware Tools一条龙的全自动无人值守安装,只需要在新建虚拟机向导里面输入一些安装选项就可以了。这样可以省去很多输入安装选项的时间,对系统管理员尤其有用。如图1-3所示为VMware能够自动识别出Ubuntu 9.04系统。
不过很遗憾,本例中的Fedora 11系统VMware并不能进行自动识别,没关系,我们可以自行选择,选择好后单击Next按钮,如
图1-4所示。
4)首先在单选按钮组中选择要安装的系统类型“Linux”,接着在版本选择中打开下拉列表框,在其中选择“Other Linux 2.6.x kernel”,然后单击Next按钮,如图1-5所示。
图1-4选择要安装的镜像文件 图1-5选择安装系统的类型和版本
5)给安装的虚拟机命名,默认值为“Other Linux 2.6.x kernel”,我们把其改为Fedora 11。同时安装向导要我们选择创建虚拟机的位置,这里默认即可,当然也可以更改到其他位置,如图1-6所示。这也是VMware的强大之处,它不用我们改写硬盘分区格式,而是在一个文件中虚拟出一个新的分区来,而这一切对于用户来说都是透明的。单击Next按钮进行下一步。
6)设定虚拟子系统所占磁盘的容量。这里设定的为最大值8GB,即刚安装虚拟机后系统并不会占用8GB(本例中选择8GB)空间,虚拟的子系统被用户安装应用程序或新建文件和数据后,会变得越来越大,最大值不超过这里设定的值,也就是说这里的选择相当于虚拟机的硬盘容量大小。继续单击Next按钮,另外,VMware还提供对划分给虚拟机空间的管理方式,可以以一个文件来存储虚拟机的磁盘,或者可以选择以每个文件(2GB)来存储。区别就是,当你需要把该虚拟机复制到另一台机器时,2GB的文件显然要比8GB的文件容易移动。可以根据个人的情况进行选择。本实验选择结果如图1-7所示。
7)向导将我们前面的所有选择进行汇总,并进行显示。对信息进行确认,无误后,单击Finish按钮即可开始安装。注意,该确认信息的下方有一个“定制硬件”按钮,通过它我们可以对虚拟机的内存大小、光驱、软驱、网络适配器、USB控制器、声卡、显卡以及处理器芯片个数进行设置,如图1-8所示。可以根据自己的实际需要和计算机配置情况进行选择,不过不用担心,这里的所有设置以后都可以在虚拟机的属性中进行更改。
8)等待片刻进入了Fedora 11的安装界面,在欢迎菜单中选择要进行的操作,对于安装选择“Install or upgrade an existing system”即可,如图1-9所示。然后需要选择是否进行媒体测试,选择“Skip”,开始安装。
9)首先需要选择安装过程中的语言。默认是English,选择“简体中文”后,单击Next
按钮。
然后选择键盘的种类,我们用的是普通的U.S. English键盘,默认设置就行了,单击“下一步”按钮(由于上面我们选择了简体中文,所以Next变成了中文的“下一步”)。
接下来检测磁盘后显示“执行驱动器sda出错”,这是因为我们是在虚拟机中进行安装的,单击“重新初始化驱动”按钮即可解决,如图1-10所示。
接着为该计算机(虚拟系统)命名,该名称无特别要求,主要用于在网络上显示计算机名称。输入后单击“下一步”按钮。
然后进行时区设置。默认是中国上海(没有北京。如果你喜欢选重庆也可以,一样的效果)的东八区,时间与实际时间有出入,没关系,安装之后可以在系统中调整,继续单击“下一步”按钮。
下面是为根用户设定密码,根用户相当于Windows系统中的系统管理员。输入密码再次确认后,单击“下一步”按钮。注意Fedora要求根用户密码不少于6位。
接下来的磁盘分区是整个安装过程中至关重要的一步,因为Linux的分区和文件结构同我们熟悉的Windows截然不同,很多Linux初学者就是因为不能适应陌生的文件结构,由满怀信心的Linux新手变成垂头丧气的Linux苦手。当然我们这里是在虚拟机中安装Fedora,完全规避了分区风险,因此使用默认设置“使用整个驱动器”就可以了。选中“检验和修改分区方案”,单击“下一步”按钮进入分区功能,如图1-11所示。这里默认即可,再次单击“下一步”按钮。
然后会提示原来磁盘上的数据会被格式化或删除,因为是第一次安装,所以可以忽略这项,单击“将修改写入磁盘”按钮,如图1-12所示。
接着进入引导装载程序的设定,直接单击“下一步”按钮即可。
Fedora还提供了对系统进行定制的功能,可以根据使用者的需要对系统进行定制,这里无特别说明,选择完毕后单击“下一步”按钮。
然后系统进入格式化安装,这里是最花时间的,需耐心等待。大概等待10~20分钟,系统弹出一个对话框,如图1-13所示。其意是说,我们安装的Guest系统需要锁定CD-ROM以防止里面的光盘内容被更换,所以我们要在弹出光驱中的光盘之前,先断开连接,否则即使更换了光盘的内容,虚拟机也不会察觉到变化。这里需要注意,一定要断开光盘,否则安装会出现被卡住的现象。按Alt+Ctrl弹出鼠标光标,选择VMware菜单栏里的“虚拟机|可移动设备|CD/DVD|断开连接”,或者从虚拟机下方的光盘图标处断开,如图1-14所示。断开连接后直接单击Yes按钮即可。
图1-13退出CD-ROM中的镜像图1-14断开CD-ROM
稍等片刻后如果出现了欢迎界面,那么意味着安装成功了。按照提示设置系统的一些信息,随后即可开始使用。Fedora 11的主界面如图1-15所示。
图1-15Fedora 11主界面
(2)安装VMware Tools
是否觉得虚拟机系统的窗口的分辨率不能调整很不方便?是否觉得鼠标在宿主计算机和虚拟机中来回切换很麻烦?是否觉得在虚拟机和主机之间不能相互复制、粘贴内容很别扭?这一切在安装完VMware Tools后都可迎刃而解。
VMware Tools是什么?它是VMware提供的一套很贴心的程序,用于解决虚拟机的分辨率问题,改善鼠标的性能(还记得我们前面不断用鼠标单击和按Ctrl+Alt键在虚拟与现实间切换的费劲场景吗?),并且能将虚拟机的剪贴板内容直接粘贴到宿主机中。当然,不安装VMware Tools也不会带来什么灾难,只不过从用户体验方面考虑,装上VMware Tools会在虚拟机的操作上给你带来尽可能多的方便。
VMware Tools必须在虚拟机已经开启且已安装操作系统的前提下才能安装。如果你注意过VMware Workstation的安装目录,会发现一些命名为windows.iso、linux.iso、freebsd.iso、solaris.iso的光盘镜像,这些就是VMware Tools在各种操作系统下的安装文件。VMware Tools就是通过光盘镜像的方式加载到相对应操作系统下来运行安装的。
闲话少叙,进入我们刚才安装成功的Fedora 11系统,我们可以看到VMware软件下方有提示我们安装VMware Tools的按钮,如图1-16所示。
单击该按钮可以让虚拟机自动加载VMware Tools的镜像(linux.iso)。或者我们可以单击VMware菜单的“虚拟机”→“Install VMware Tools”,也可以手动加载VMware Tools的镜像,方法与前面断开CD-ROM的方法一样,不过在断开之后我们要选择加载“linux.iso”镜像文件,并再选择连接,如图1-17所示。
不论选择哪种方法,现在都应该已经弹出了VMware Tools镜像光盘中的内容了,如
图1-18所示。
图1-17装载linux.iso镜像 图1-18VMware Tools镜像光盘的内容
其中包括VMwareTools-7.8.5-156735-i386.rpm和VMwareTools-7.8.5-156735.tar.gz两个文件。后者是为Ubuntu等系统准备的,Fedora 11系统使用.rpm扩展名的文件,双击它出现如图1-19所示的对话框。
单击“安装”按钮,这时系统会要我们进行授权,输入安装时候设定的“root password”,然后单击“授权”按钮。
经过一段时间之后,系统弹出“安全签名缺失”对话框,如图1-20所示。单击“强制安装”按钮,之后又要求我们输入“root password”,输入后再次单击“授权”按钮。
安装成功后的提示如图1-21所示。
(3)对VMware中的子系统进行网络配置
在图1-15中我们可以看到,刚进入Fedora系统时,网络的连接是断开的。这里我们进行网络设置使Guest系统能够上网。
要使Guest系统(VMware中安装的系统)和Host系统(计算机中的系统)互联,其实并不是一件困难的事情,不过在配置之前我们要先来了解一下VMware的网络模型,主要有如下3种。
1)桥接网络。Host的物理网卡和Guest的网卡在VMnet0(VMware用于虚拟桥接网络下的虚拟交换机)交换机上通过虚拟网桥进行桥接,也就是说,物理网卡和Guest的虚拟网卡处于同等地位,此时的Guest就好像Host所在的一个网段上的另外一台机器。如果在该网段存在DHCP服务器,那么Host和Guest都可以把IP地址获取方式设置为DHCP方式。
这种情况适合于Host主机通过路由器上网的情况,在机房上机所使用的机器也属于这种类型,所以我们将虚拟机的网络设置为桥接网络,虚拟机就可以上网了。具体方法很简单,这里就不再赘述了,请大家使自己的虚拟机连接上网络。
2)NAT网络。在NAT网络中,会使用到VMnet8(用于虚拟NAT网络下的虚拟交换机)虚拟交换机,Host上的VMware Network Adapter VMnet8虚拟网卡被连接到VMnet8交换机上,来与Guest进行通信,但是VMware Network Adapter VMnet8虚拟网卡仅仅是用于和VMnet8网段通信的,它并不为VMnet8网段提供路由功能,处于虚拟NAT网络下的Guest是使用虚拟的NAT服务器连接到Internet上的。VMware功能非常强大,在NAT网络下,我们甚至可以使用Port Forwarding功能把Host的某一个TCP或者UDP端口映射到Guest上。
这时候,Guest和Host就可以实现互访了,并且如果Host此时已经连接到了Internet,那么Guest也就可以连上Internet了。Host上的VMware Network Adapter VMnet8虚拟网卡在这里扮演了一个什么角色呢?它仅仅是为Host和NAT虚拟网络提供了一个通信接口,所以即便在Host中禁止这块虚拟网卡,Guest仍然是可以上网的,只是Host无法再访问VMnet8网段,即无法访问Guest。
3)Host-only网络。Host-only网络被设计成一个与外界隔绝的(isolated)网络,其实Host-only网络和NAT网络非常相似,唯一不同的地方就是在Host-only网络中,没有用到NAT服务,没有服务器为VMnet1(用于虚拟Host-only网络下的虚拟交换机)网络做路由,它当然就没有办法访问Internet,可是如果此时Host要和Guest通信怎么办呢?当然就要用到VMware Network Adapter VMnet1这块虚拟网卡了。
如果把Guest的网络设置成了Host-only,把它的IP获取方式设置为DHCP,它会到虚拟的DHCP服务器上拿到IP,这个DHCP服务器仍然是一个虚拟的DHCP服务器(仅仅是一个系统服务而已)。不过Guest是没有办法访问Internet的,但是它可以和Host进行通信,我们就是这样实现了一个与外界隔离的网络。
至此,我们对VMware的3种网络都有了大概的了解。
![信息安全攻防实用教程[按需印刷]](http://images.china-pub.com/ebook3765001-3770000/3769749/zcover.jpg)
