SpoofGuard 有助于防止一种称为“网络欺骗”或“网络钓鱼”的恶意攻击。SpoofGuard 策略阻止确定为欺骗的流量。

SpoofGuard 工具旨在防止您的环境中的虚拟机发送某种流量,该流量带有未授权终止流量的 IP 地址。如果虚拟机的 IP 地址与 SpoofGuard 上的相应逻辑端口和分段地址绑定中的 IP 地址不匹配,将完全禁止虚拟机的 vNIC 访问网络。可以在端口或分段级别配置 SpoofGuard。在您的环境中使用 SpoofGuard 可能有以下几个原因:
  • 防止恶意虚拟机使用现有虚拟机的 IP 地址。
  • 确保无法在没有干预的情况下更改虚拟机的 IP 地址 - 在某些环境中,在没有正确的更改控制检查的情况下,最好禁止虚拟机更改其 IP 地址。SpoofGuard 确保虚拟机所有者无法直接更改 IP 地址并继续工作而不会受到妨碍,从而简化了该过程。
  • 保证不会无意(或有意)绕过分布式防火墙 (Distributed Firewall, DFW) 规则 - 对于将 IP 集作为源或目标创建的 DFW 规则,始终存在虚拟机可能在数据包标头中伪造其 IP 地址的可能性,从而绕过相关的规则。

NSX-T Data Center SpoofGuard 配置包括以下内容:

  • MAC SpoofGuard - 验证数据包的 MAC 地址。
  • IP SpoofGuard - 验证数据包的 IP 地址。
  • 动态地址解析协议 (Dynamic Address Resolution Protocol, ARP) 检查(即,ARP)以及无故地址解析协议 (Gratuitous Address Resolution Protocol, GARP) SpoofGuard 和邻居发现 (Neighbor Discovery, ND) SpoofGuard 验证针对的都是 ARP/GARP/ND 负载中的 MAC 源、IP 源和 IP-MAC 源映射。

在端口级别,允许的 MAC/VLAN/IP 白名单是通过端口的地址绑定属性提供的。在虚拟机发送流量时,如果流量的 IP/MAC/VLAN 与端口的 IP/MAC/VLAN 属性不匹配,则会丢弃该流量。端口级别 SpoofGuard 处理流量验证,即,流量与 VIF 配置是否一致。

在分段级别,允许的 MAC/VLAN/IP 白名单是通过分段的地址绑定属性提供的。这通常是分段的允许的 IP 范围/子网,分段级别 SpoofGuard 处理流量授权。

端口级别和分段级别 SpoofGuard 必须允许流量,然后才允许流量进入分段。可以使用 SpoofGuard 分段配置文件控制启用或禁用端口和分段级别 SpoofGuard。