SpoofGuard は、「Web スプーフィング」または「フィッシング」と呼ばれる悪意のある攻撃を防ぎます。SpoofGuard ポリシーは、なりすましであると判定されたトラフィックをブロックします。

SpoofGuard は、環境内の仮想マシンが、未承認の IP アドレスを使用してトラフィックを送信することを防ぐためのツールです。仮想マシンの IP アドレスが対応する論理ポートの IP アドレスおよび SpoofGuard のセグメント アドレス バインドに一致しない場合、仮想マシンの vNIC からネットワークへのアクセスは完全に遮断されます。SpoofGuard はポートまたはセグメント レベルで構成することができます。SpoofGuard を導入環境で使用するのにはいくつかの理由があります。
  • 悪意のある仮想マシンが既存の仮想マシンの IP アドレスを使用することによる成りすましを防ぐ。
  • 仮想マシンの IP アドレスがユーザーの介入なしで改変されないようにする: 環境によっては、変更管理による確認なしでは、仮想マシンの IP アドレスを変更できないようにする場合があります。SpoofGuard では、仮想マシンの所有者が簡単に IP アドレスを変更できないため、妨害なしで IP アドレスを継続して使用できます。
  • 分散ファイアウォール (DFW) ルールが誤って(あるいは意図的に)回避されないようにする: DFW ルールで、送信元または宛先に IP セットを使用する場合は、仮想マシンの IP アドレスがパケット ヘッダー内で偽装され、分散ファイアウォール ルールが回避される可能性があります。

NSX-T Data Center SpoofGuard の構成には次のものが含まれます。

  • MAC SpoofGuard:パケットの MAC アドレスを認証します
  • IP SpoofGuard:パケットの MAC アドレスおよび IP アドレスを認証します

  • ダイナミック Address Resolution Protocol (ARP) 検査、すなわち ARP、Gratuitous Address Resolution Protocol (GARP) SpoofGuard、および Neighbor Discovery (ND) SpoofGuard 検証は、すべて ARP/GARP/ND ペイロードにマッピングする MAC ソース、IP ソースおよび IP-MAC ソース に対するものです。

ポート レベルでは、許可された MAC/VLAN/IP 許可リストは、ポートのアドレス バインド プロパティによって提供されます。仮想マシンがトラフィックを送信すると、その IP/MAC/VLAN がポートの IP/MAC/VLAN プロパティに一致しない場合、トラフィックはドロップされます。ポート レベルの SpoofGuard はトラフィック認証に対応します。つまり、トラフィックが VIF 構成に準拠することを確認します。

セグメント レベルでは、許可された MAC/VLAN/IP 許可リストは、セグメントのアドレス バインド プロパティによって提供されます。これは通常、セグメントに対して許可された IP アドレス範囲/サブネットで、セグメント レベルの SpoofGuard はトラフィック認証に対応します。

トラフィックをセグメントに送信するには、ポート レベルとセグメント レベルの両方の SpoofGuard によって許可される必要があります。ポート レベルとセグメントレベルの SpoofGuard を有効または無効にするには、SpoofGuard のセグメント プロファイルを使用します。