网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁
在网络协议堆栈的第 2 层(数据链路层)执行标准交换机或 Distributed Switch 的安全策略。安全策略的三大要素是混杂模式、MAC 地址更改和伪信号。有关潜在网络威胁的信息,请参见 《vSphere 安全性》文档。
配置 vSphere Standard Switch 或标准端口组的安全策略
对于 vSphere Standard Switch,您可以在虚拟机的客户机操作系统中配置安全策略以拒绝 MAC 地址和混杂模式更改。可以替代从单个端口组上的标准交换机继承的安全策略。
过程
- 在 vSphere Client 中,导航到主机。
- 在配置选项卡上,展开网络,然后选择虚拟交换机。
- 导航到标准交换机或端口组的安全策略。
选项 操作 vSphere 标准交换机 - 在列表中选择一个标准交换机。
- 单击编辑设置。
- 选择安全。
标准端口组 - 选择端口组所在的标准交换机。
- 在拓扑图中,选择一个标准端口组。
- 单击编辑设置。
- 选择安全,然后选择选项旁边的替代以替代。
- 拒绝或接受与标准交换机或端口组相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改。
选项 描述 混杂模式 - 拒绝。虚拟机网络适配器仅接收发送到虚拟机的帧。
- 接受。虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机。
注: 混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模式下运行。MAC 地址更改 - 拒绝。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机会丢弃所有到适配器的入站帧。
如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址,则虚拟机将重新接收帧。
- 接受。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机将允许传递到新地址的帧。
伪信号 - 拒绝。如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于 .vmx 配置文件中的源 MAC 地址,则交换机会丢弃该出站帧。
- 接受。交换机不执行筛选,并允许所有出站帧通过。
状态 启用或禁用 MAC 学习功能。默认禁用该功能。 允许单播泛洪 当端口收到的数据包具有未知目标 MAC 地址时,将丢弃该数据包。在启用未知单播泛洪的情况下,端口将未知单播流量泛洪到交换机上启用了 MAC 学习和未知单播泛洪的每个端口。如果启用了 MAC 学习,则默认情况下启用该属性。 MAC 限制 可以配置可学习 MAC 地址的数量。最大值为每端口 4096,这是默认值。 MAC 限制策略 达到 MAC 限制时的策略。选项包括: - 丢弃 - 来自未知源 MAC 地址的数据包被丢弃。此 MAC 地址的入站数据包将被视为未知单播。仅当端口启用了未知单播泛洪时,端口才会接收数据包。
- 允许 - 尽管不会学习未知源 MAC 地址,但会转发来自该地址的数据包。此 MAC 地址的入站数据包将被视为未知单播。仅当端口启用了未知单播泛洪时,端口才会接收数据包。
- 单击确定。
配置分布式端口组或分布式端口的安全策略
了解如何对分布式端口组设置安全策略,以允许或拒绝在与端口组关联的虚拟机的客户机操作系统中启用混杂模式和 MAC 地址更改。可以替代从单个端口上的分布式端口组继承的安全策略。
前提条件
要替代分布式端口级别的策略,请为此策略启用端口级别替代选项。请参见在端口级别配置替代网络策略。
过程
- 在 vSphere Client 主页上,单击网络,然后导航到 Distributed Switch。
- 导航到分布式端口组或端口的安全策略。
选项 操作 分布式端口组 - 在操作菜单中,选择 。
- 选择安全,然后单击下一步。
- 选择端口组,然后单击下一步。
分布式端口 - 在网络选项卡上,单击分布式端口组,然后双击分布式端口组。
- 在端口选项卡上,选择端口,然后单击编辑设置图标。
- 选择安全。
- 选择要替代的属性旁边的替代。
- 拒绝或接受与分布式端口组或端口相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改。
选项 描述 混杂模式 - 拒绝。虚拟机网络适配器仅接收发送到虚拟机的帧。
- 接受。虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机。
注: 混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模式下运行。MAC 地址更改 - 拒绝。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机会丢弃所有到适配器的入站帧。
如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址,则虚拟机将重新接收帧。
- 接受。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机将允许传递到新地址的帧。
伪信号 - 拒绝。如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于 .vmx 配置文件中的源 MAC 地址,则交换机会丢弃该出站帧。
- 接受。交换机不执行筛选,并允许所有出站帧通过。
状态 启用或禁用 MAC 学习功能。默认禁用该功能。 允许单播泛洪 当端口收到的数据包具有未知目标 MAC 地址时,将丢弃该数据包。在启用未知单播泛洪的情况下,端口将未知单播流量泛洪到交换机上启用了 MAC 学习和未知单播泛洪的每个端口。如果启用了 MAC 学习,则默认情况下启用该属性。 MAC 限制 可以配置可学习 MAC 地址的数量。最大值为每端口 4096,这是默认值。 MAC 限制策略 达到 MAC 限制时的策略。选项包括: - 丢弃 - 来自未知源 MAC 地址的数据包被丢弃。此 MAC 地址的入站数据包将被视为未知单播。仅当端口启用了未知单播泛洪时,端口才会接收数据包。
- 允许 - 尽管不会学习未知源 MAC 地址,但会转发来自该地址的数据包。此 MAC 地址的入站数据包将被视为未知单播。仅当端口启用了未知单播泛洪时,端口才会接收数据包。
- 查看设置并应用配置。