与 vCenter Server 同步后,NSX Manager 会从每个虚拟机上的 VMware Tools 中收集所有 vCenter 客户机虚拟机的 IP 地址。如果虚拟机被攻击,则 IP 地址可能被假冒,恶意传输信息可能会绕过防火墙策略。

为特定网络创建 SpoofGuard 策略后,您可以授权 VMware Tools 所报告的 IP 地址,并在必要时更改这些地址以防止欺骗。SpoofGuard 本身还信任从 VMX 文件和 vSphere SDK 收集的虚拟机的 MAC 地址。可以在防火墙规则之外使用 SpoofGuard 阻止已确认为虚假的流量。

SpoofGuard 同时支持 IPv4 和 IPv6 地址。使用 VMwareTools 和 DHCP 侦听时,SpoofGuard 策略支持为一个虚拟网卡分配多个 IP 地址。如果启用了 ARP 侦听,则不支持多个 IP 地址。SpoofGuard 策略将以下列模式之一监控和管理虚拟机所报告的 IP 地址。

首次使用时自动信任 IP 分配

此模式允许来自虚拟机的所有流量通过,同时还会构建一个有关虚拟网卡到 IP 地址的分配表。您可在方便时查看此表并更改 IP 地址。此模式将自动批准在虚拟网卡上首先看到的所有 IPv4 和 IPv6 地址。

使用前手动检查和批准所有 IP 分配

此模式会阻止所有流量,直到您批准所有虚拟网卡到 IP 地址分配。在此模式中,可以批准多个 IPv4 地址。

注:

不管启用哪种模式,SpoofGuard 本身都会允许 DHCP 请求。不过,如果处于手动检测模式,流量将无法通过,除非 DHCP 分配的 IP 地址经过批准。

SpoofGuard 包括系统生成的默认策略,该策略会应用于其他 SpoofGuard 策略未涉及的端口组和逻辑网络。新添加的网络会自动添加到默认策略中,除非您将该网络添加到现有策略或为其创建新策略。

SpoofGuard 是 NSX 分布式防火墙策略用来确定虚拟机 IP 地址的方法之一。有关信息,请参见虚拟机的 IP 发现