SpoofGuard protège contre l'usurpation d'adresse IP en conservant une table de référence des noms et des adresses IP de la machine virtuelle. SpoofGuard conserve cette table de référence à l'aide des adresses IP que NSX Manager récupère de VMware Tools lors du démarrage initial d'une machine virtuelle.

Après la synchronisation avec le serveur vCenter Server, NSX Manager collecte les adresses IP de toutes les machines virtuelles invitées de vCenter à partir de VMware Tools sur chaque machine virtuelle. Si une machine virtuelle a été compromise, l'adresse IP peut être usurpée et des transmissions malveillantes peuvent contourner les stratégies de pare-feu.

SpoofGuard est inactif par défaut et vous devez l'activer explicitement sur chaque commutateur logique ou groupe de ports VDS. Lorsqu'un changement d'adresse IP de machine virtuelle est détecté, le pare-feu distribué (DFW) bloque le trafic depuis ou vers cette VM jusqu'à ce que vous approuviez cette nouvelle adresse IP.

Vous créez une stratégie SpoofGuard pour des réseaux spécifiques, qui vous permet d'autoriser les adresses IP signalées par VMware Tools et de les modifier si nécessaire pour empêcher l'usurpation. SpoofGuard fait confiance essentiellement aux adresses MAC des machines virtuelles recueillies dans les fichiers VMX et vSphere SDK. Comme SpoofGuard fonctionne indépendamment des règles de pare-feu, vous pouvez l'utiliser pour bloquer du trafic considéré comme usurpé.

Important : SpoofGuard fonctionne uniquement lorsque le pare-feu distribué (DFW) est activé.

Le pare-feu prend en charge les adresses IPv4 et IPv6. La stratégie SpoofGuard prend en charge plusieurs adresses IP attribuées à une vNIC lors de l'utilisation de VMware Tools et de l'écoute DHCP. L'écoute ARP prend en charge jusqu'à 128 adresses détectées par machine virtuelle, par vNIC. La stratégie SpoofGuard surveille et gère les adresses IP signalées par vos machines virtuelles dans l'un des modes suivants.

Faire automatiquement confiance aux attributions IP lors de leur première utilisation
Ce mode autorise la transmission de l'ensemble du trafic de vos machines virtuelles pendant la création d'une table d'attribution d'adresses vNIC à IP. Vous pouvez consulter cette table quand vous le souhaitez pour apporter des modifications d'adresse IP. Ce mode approuve automatiquement toutes les adresses IPv4 et IPv6 qui sont vues en premier sur une vNIC.
Inspecter et approuver manuellement toutes les attributions IP avant leur utilisation
Ce mode bloque tout le trafic jusqu'à ce que vous approuviez chaque attribution d'adresse de carte réseau virtuelle à IP. Dans ce mode, plusieurs adresses IPv4 peuvent être approuvées.
Note : SpoofGuard autorise toutes les demandes DHCP, quel que soit le mode activé. Cependant, en mode d'inspection manuelle, le trafic ne passe pas tant que l'adresse IP attribuée par DHCP n'a pas été approuvée.

SpoofGuard inclut une stratégie par défaut générée par le système qui s'applique aux groupes de ports et réseaux logiques non couverts par d'autres stratégies SpoofGuard. Un réseau récemment ajouté est automatiquement ajouté à la stratégie par défaut tant que vous ne l'ajoutez pas à une stratégie existante ou que vous ne créez pas de stratégie pour lui.

SpoofGuard est l'un des moyens qui permettent à une règle du pare-feu distribué NSX de déterminer l'adresse IP d'une machine virtuelle. Pour plus d'informations, consultez Découverte d'adresses IP pour les machines virtuelles.