SpoofGuard は、「Web スプーフィング」または「フィッシング」と呼ばれる悪意のある攻撃を防ぎます。SpoofGuard ポリシーは、なりすましであると判定されたトラフィックをブロックします。
- 悪意のある仮想マシンが既存の仮想マシンの IP アドレスを使用することによる成りすましを防ぐ。
- 仮想マシンの IP アドレスがユーザーの介入なしで改変されないようにする: 環境によっては、変更管理による確認なしでは、仮想マシンの IP アドレスを変更できないようにする場合があります。SpoofGuard では、仮想マシンの所有者が簡単に IP アドレスを変更できないため、妨害なしで IP アドレスを継続して使用できます。
- 分散ファイアウォール (DFW) ルールが誤って(あるいは意図的に)回避されないようにする: DFW ルールで、送信元または宛先に IP セットを使用する場合は、仮想マシンの IP アドレスがパケット ヘッダー内で偽装され、分散ファイアウォール ルールが回避される可能性があります。
NSX SpoofGuard の構成には次のものが含まれます。
- MAC SpoofGuard:パケットの MAC アドレスを認証します
- IP SpoofGuard:パケットの MAC アドレスおよび IP アドレスを認証します
-
ダイナミック Address Resolution Protocol (ARP) 検査、すなわち ARP、Gratuitous Address Resolution Protocol (GARP) SpoofGuard、および Neighbor Discovery (ND) SpoofGuard 検証は、すべて ARP/GARP/ND ペイロードにマッピングする MAC ソース、IP ソースおよび IP-MAC ソース に対するものです。
ポート レベルでは、許可された MAC/VLAN/IP 許可リストは、ポートのアドレス バインド プロパティによって提供されます。仮想マシンがトラフィックを送信すると、その IP/MAC/VLAN がポートの IP/MAC/VLAN プロパティに一致しない場合、トラフィックはドロップされます。ポート レベルの SpoofGuard はトラフィック認証に対応します。つまり、トラフィックが VIF 構成に準拠することを確認します。
セグメント レベルでは、許可された MAC/VLAN/IP 許可リストは、セグメントのアドレス バインド プロパティによって提供されます。これは通常、セグメントに対して許可された IP アドレス範囲/サブネットで、セグメント レベルの SpoofGuard はトラフィック認証に対応します。
トラフィックをセグメントに送信するには、ポート レベルとセグメント レベルの両方の SpoofGuard によって許可される必要があります。ポート レベルとセグメントレベルの SpoofGuard を有効または無効にするには、SpoofGuard のセグメント プロファイルを使用します。