像物理网络适配器一样,虚拟网络适配器也可以发送看似来自不同计算机的帧,或者模拟另一台计算机。此外,还可以像物理网络适配器一样,将虚拟网络适配器配置为接收发向其他计算机的帧。

创建标准的交换机时,会添加一些端口组,对连接到此交换机的虚拟机和存储系统施行策略配置。虚拟端口是通过 vSphere Web ClientvSphere Client 创建的。

在标准交换机中添加端口或标准端口组的过程中,vSphere Client 会为端口配置安全配置文件。这样,主机便可以防止其虚拟机模拟网络中的其他计算机。负责模拟的客户机操作系统检测不到模拟行为已被阻止。

安全配置文件决定主机对虚拟机执行的防模拟和截断攻击保护强度。为了正确使用安全配置文件中的设置,必须了解一些虚拟网络适配器如何控制传送及此级别的攻击如何进行的基础知识。

创建每个虚拟网络适配器时,都将向其分配 MAC 地址。此地址称为初始 MAC 地址。尽管初始 MAC 地址可以从客户机操作系统外部重新配置,但不能由客户机操作系统进行更改。此外,每个适配器具有一个有效 MAC 地址,可筛选目标 MAC 地址与该有效 MAC 地址不同的入站网络流量。客户机操作系统负责设置有效 MAC 地址,并通常将有效 MAC 地址与初始 MAC 地址保持一致。

发送数据包时,操作系统通常将其网络适配器的有效 MAC 地址输入以太网帧的源 MAC 地址字段。它还将接收网络适配器的 MAC 地址输入目标 MAC 地址字段。接收网络适配器仅在数据包的目标 MAC 地址与其自己的有效 MAC 地址匹配时才接受数据包。

网络适配器在创建时,其有效 MAC 地址便与初始 MAC 地址相同。虚拟机的操作系统可随时将有效 MAC 地址更改为其他值。如果操作系统更改了有效 MAC 地址,其网络适配器将收到传至新 MAC 地址的网络流量。操作系统可随时发送带有模拟源 MAC 地址的帧。这意味着操作系统便可通过模拟接收网络授权的网络适配器对网络中的设备进行恶意攻击。

可以使用主机上的标准交换机安全配置文件设置三个选项以防止此类攻击。如果更改端口的任何默认设置,必须在 vSphere Client 中通过编辑标准交换机设置来修改安全配置文件。