Nach der Synchronisierung mit vCenter Server erfasst NSX Manager auf allen virtuellen Maschinen die IP-Adressen aller virtuellen vCenter-Gastmaschinen aus VMware Tools. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen.

Erstellen Sie eine SpoofGuard-Richtlinie für bestimmte Netzwerke. Dadurch können Sie die von VMware Tools gemeldeten IP-Adressen autorisieren und diese bei Bedarf ändern, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den Firewallregeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde.

SpoofGuard unterstützt sowohl IPv4- als auch IPv6-Adressen. Bei Verwendung von IPv4 unterstützt die SpoofGuard-Richtlinie eine einzelne IP-Adresse, die einer vNIC zugewiesen ist. IPv6 unterstützt mehrere IP-Adressen, die einer vNIC zugewiesen sind. Die SpoofGuard-Richtlinie überwacht und verwaltet die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in einem der folgenden Modi.

IP-Zuweisungen automatisch bei erster Verwendung vertrauen

Dieser Modus erlaubt die Durchleitung des gesamten, von Ihren virtuellen Maschinen ausgehenden Datenverkehrs. Dabei wird eine Zuweisungstabelle zwischen vNIC- und IP-Adressen erstellt. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen. In diesem Modus werden automatisch alle IPv4- und IPv6-Adressen auf einer vNIC genehmigt.

Alle IP-Zuweisungen vor der Verwendung manuell überprüfen und genehmigen

In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweilige vNIC-zu-IP-Adressenzuweisung genehmigen.

Anmerkung:

SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu. Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde.

SpoofGuard beinhaltet eine systemgenerierte Standardrichtlinie, die auf Portgruppen und logische Netzwerke angewendet wird, die nicht anderen SpoofGuard-Richtlinien unterliegen. Ein neu hinzugefügtes Netzwerk wird automatisch zur Standardrichtlinie hinzugefügt, bis Sie das Netzwerk zu einer bestehenden Richtlinie hinzufügen oder eine neue Richtlinie dafür erstellen.

SpoofGuard ist eine der Möglichkeiten, die eine NSX Distributed Firewall-Richtlinie verwenden kann, um die IP-Adresse einer virtuellen Maschine zu ermitteln. Weitere Informationen hierzu finden Sie unter IP-Erkennung für virtuelle Maschinen.