SpoofGuard 通过维护虚拟机名称和 IP 地址的参考表来抵御 IP 欺骗。SpoofGuard 通过使用 NSX Manager 在虚拟机最初启动时从 VMware Tools 检索的 IP 地址来维护此参考表。
与 vCenter Server 同步后,NSX Manager 会从每个虚拟机上的 VMware Tools 中收集所有 vCenter 客户机虚拟机的 IP 地址。如果虚拟机被攻击,则 IP 地址可能被假冒,恶意传输信息可能会绕过防火墙策略。
默认情况下,SpoofGuard 处于非活动状态,您必须在每个逻辑交换机或 VDS 端口组上明确启用 SpoofGuard。检测到虚拟机 IP 地址更改后,分布式防火墙 (DFW) 会阻止来自或流向此虚拟机的流量,直到您批准此新的 IP 地址为止。
为特定网络创建 SpoofGuard 策略后,您可以授权 VMware Tools 所报告的 IP 地址,并在必要时更改这些地址以防止欺骗。SpoofGuard 本身还信任从 VMX 文件和 vSphere SDK 收集的虚拟机的 MAC 地址。可以在防火墙规则之外使用 SpoofGuard 阻止已确认为虚假的流量。
SpoofGuard 同时支持 IPv4 和 IPv6 地址。使用 VMwareTools 和 DHCP 侦听时,SpoofGuard 策略支持为一个虚拟网卡分配多个 IP 地址。ARP 侦听最多支持每个虚拟机、每个虚拟网卡发现 128 个地址。SpoofGuard 策略将以下列模式之一监控和管理虚拟机所报告的 IP 地址。
- 首次使用时自动信任 IP 分配
- 此模式允许来自虚拟机的所有流量通过,同时还会构建一个有关虚拟网卡到 IP 地址的分配表。您可在方便时查看此表并更改 IP 地址。此模式将自动批准在虚拟网卡上首先看到的所有 IPv4 和 IPv6 地址。
- 使用前手动检查和批准所有 IP 分配
- 此模式会阻止所有流量,直到您批准所有虚拟网卡到 IP 地址分配。在此模式中,可以批准多个 IPv4 地址。
SpoofGuard 包括系统生成的默认策略,该策略会应用于其他 SpoofGuard 策略未涉及的端口组和逻辑网络。新添加的网络会自动添加到默认策略中,除非您将该网络添加到现有策略或为其创建新策略。
SpoofGuard 是 NSX 分布式防火墙策略用来确定虚拟机 IP 地址的方法之一。有关信息,请参见虚拟机的 IP 发现。