SpoofGuard は、「Web スプーフィング」または「フィッシング」と呼ばれる悪意のある攻撃を防ぎます。SpoofGuard ポリシーは、なりすましであると判定されたトラフィックをブロックします。

SpoofGuard は、環境内の仮想マシンが、未承認の IP アドレスを使用してトラフィックを送信することを防ぐためのツールです。仮想マシンの IP アドレスが対応する論理ポートの IP アドレスおよび SpoofGuard のスイッチ アドレス バインドに一致しない場合、仮想マシンの vNIC からネットワークへのアクセスは完全に遮断されます。SpoofGuard はポートまたはスイッチ レベルで設定することができます。SpoofGuard を導入環境で使用するのにはいくつかの理由があります。
  • 悪意のある仮想マシンが既存の仮想マシンの IP アドレスを使用することによる成りすましを防ぐ。
  • 仮想マシンの IP アドレスがユーザーの介入なしで改変されないようにする: 環境によっては、変更管理による確認なしでは、仮想マシンの IP アドレスを変更できないようにする場合があります。SpoofGuard では、仮想マシンの所有者が簡単に IP アドレスを変更できないため、妨害なしで IP アドレスを継続して使用できます。
  • 分散ファイアウォール (DFW) ルールが誤って (あるいは意図的に) 回避されないようにする: DFW ルールで、ソースまたはターゲットに IP セットを使用する場合は、仮想マシンの IP アドレスがパケット ヘッダー内で偽装され、分散ファイアウォール ルールが回避される可能性があります。

NSX-T Data Center SpoofGuard の設定には次のものが含まれます。

  • MAC SpoofGuard:パケットの MAC アドレスを認証します
  • IP SpoofGuard:パケットの MAC アドレスおよび IP アドレスを認証します
  • ダイナミック Address Resolution Protocol (ARP) 検査、すなわち ARP、Gratuitous Address Resolution Protocol (GARP) SpoofGuard、および Neighbor Discovery (ND) SpoofGuard 検証は、すべて ARP/GARP/ND ペイロードにマッピングする MAC ソース、IP ソースおよび IP-MAC ソース に対するものです。

ポート レベルでは、許可された MAC/VLAN/IP ホワイトリストは、ポートのアドレス バインド プロパティによって提供されます。仮想マシンがトラフィックを送信すると、その IP/MAC/VLAN がポートの IP/MAC/VLAN プロパティに一致しない場合、トラフィックはドロップされます。ポート レベルの SpoofGuard はトラフィック認証に対応します。つまり、トラフィックが VIF 設定に準拠することを確認します。

スイッチ レベルでは、許可された MAC/VLAN/IP ホワイトリストは、スイッチのアドレス バインド プロパティによって提供されます。これは通常、スイッチに対して許可された IP アドレス範囲/サブネットで、スイッチ レベルの SpoofGuard はトラフィック認証に対応します。

トラフィックをスイッチに送信するには、ポート レベルとスイッチ レベルの両方の SpoofGuard によって許可される必要があります。ポート レベルとスイッチ レベルの SpoofGuard を有効または無効にするには、SpoofGuard のスイッチ プロファイルを使用します。