SpoofGuard 有助于防止一种称为“网络欺骗”或“网络钓鱼”的恶意攻击。SpoofGuard 策略阻止确定为欺骗的流量。
SpoofGuard 工具旨在防止您环境中的虚拟机更改其现有的 IP 地址。如果虚拟机的 IP 地址与 SpoofGuard 上的相应逻辑端口和交换机地址绑定中的 IP 地址不匹配,将完全禁止虚拟机的 vNIC 访问网络。可以在端口或交换机级别配置 SpoofGuard。在您的环境中使用 SpoofGuard 可能有以下几个原因:
- 防止恶意虚拟机使用现有虚拟机的 IP 地址。
- 确保无法在没有干预的情况下更改虚拟机的 IP 地址 - 在某些环境中,在没有正确的更改控制检查的情况下,最好禁止虚拟机更改其 IP 地址。SpoofGuard 确保虚拟机所有者无法直接更改 IP 地址并继续工作而不会受到妨碍,从而简化了该过程。
- 保证不会无意(或有意)绕过分布式防火墙 (Distributed Firewall, DFW) 规则 - 对于将 IP 集作为源或目标创建的 DFW 规则,始终存在虚拟机可能在数据包标头中伪造其 IP 地址的可能性,从而绕过相关的规则。
NSX SpoofGuard 配置包括以下内容:
- MAC SpoofGuard - 验证数据包的 MAC 地址。
- IP SpoofGuard - 验证数据包的 MAC 和 IP 地址。
-
动态地址解析协议 (Dynamic Address Resolution Protocol, ARP) 检查(即,ARP)以及无故地址解析协议 (Gratuitous Address Resolution Protocol, GARP) SpoofGuard 和邻居发现 (Neighbor Discovery, ND) SpoofGuard 验证针对的都是 ARP/GARP/ND 负载中的 MAC 源、IP 源和 IP-MAC 源映射。
在端口级别,允许的 MAC/VLAN/IP 允许列表是通过端口的地址绑定属性提供的。在虚拟机发送流量时,如果流量的 IP/MAC/VLAN 与端口的 IP/MAC/VLAN 属性不匹配,则会丢弃该流量。端口级别 SpoofGuard 处理流量验证,即,流量与 VIF 配置是否一致。
在交换机级别,允许的 MAC/VLAN/IP 允许列表是通过交换机的地址绑定属性提供的。这通常是交换机的允许的 IP 范围/子网,交换机级别 SpoofGuard 处理流量授权。
端口级别和交换机级别 SpoofGuard 必须允许流量,然后才允许流量进入交换机。可以使用 SpoofGuard 交换机配置文件来控制端口和交换机级别 SpoofGuard 的激活或停用。