Nach der Synchronisierung mit vCenter Server erfasst NSX Manager auf allen virtuellen Maschinen die IP-Adressen aller virtuellen vCenter-Gastmaschinen aus VMware Tools. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen.

Erstellen Sie eine SpoofGuard-Richtlinie für bestimmte Netzwerke. Dadurch können Sie die von VMware Tools gemeldeten IP-Adressen autorisieren und diese bei Bedarf ändern, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den Firewallregeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde.

SpoofGuard unterstützt sowohl IPv4- als auch IPv6-Adressen. Die SpoofGuard-Richtlinie unterstützt mehrere einer vNIC zugewiesenen IP-Adressen, wenn VMware Tools und das DHCP-Snooping verwendet werden. Wenn das ARP-Snooping aktiviert ist, werden mehrere IP-Adressen nicht unterstützt. Die SpoofGuard-Richtlinie überwacht und verwaltet die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in einem der folgenden Modi.

IP-Zuweisungen automatisch bei erster Verwendung vertrauen

Dieser Modus erlaubt die Durchleitung des gesamten, von Ihren virtuellen Maschinen ausgehenden Datenverkehrs. Dabei wird eine Zuweisungstabelle zwischen vNIC- und IP-Adressen erstellt. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen. In diesem Modus werden automatisch alle IPv4- und IPv6-Adressen, die zuerst auf einer vNIC angezeigt werden, genehmigt.

Alle IP-Zuweisungen vor der Verwendung manuell überprüfen und genehmigen

In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweilige vNIC-zu-IP-Adressenzuweisung genehmigen. In diesem Modus können mehrere IPv4-Adressen genehmigt werden.

Anmerkung:

SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu. Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde.

SpoofGuard beinhaltet eine systemgenerierte Standardrichtlinie, die auf Portgruppen und logische Netzwerke angewendet wird, die nicht anderen SpoofGuard-Richtlinien unterliegen. Ein neu hinzugefügtes Netzwerk wird automatisch zur Standardrichtlinie hinzugefügt, bis Sie das Netzwerk zu einer bestehenden Richtlinie hinzufügen oder eine neue Richtlinie dafür erstellen.

SpoofGuard ist eine der Möglichkeiten, die eine Richtlinie für eine Verteilte Firewall von NSX verwenden kann, um die IP-Adresse einer virtuellen Maschine zu ermitteln. Weitere Informationen hierzu finden Sie unter IP-Erkennung für virtuelle Maschinen.