SpoofGuard는 VM 이름 및 IP 주소의 참조 테이블을 유지하여 IP 스푸핑을 방지합니다. SpoofGuard는 VM이 처음 시작될 때 NSX Manager가 VMware Tools에서 검색하는 IP 주소를 사용하여 이 참조 테이블을 유지합니다.
vCenter Server와 동기화되면 NSX Manager가 각 가상 시스템의 VMware Tools에서 모든 vCenter 게스트 가상 시스템의 IP 주소를 수집합니다. 가상 시스템이 손상된 경우 IP 주소가 스푸핑되고 악의적인 전송이 방화벽 정책을 우회할 수 있습니다.
SpoofGuard는 기본적으로 비활성화되어 있으며 각 논리적 스위치 또는 VDS 포트 그룹에서 명시적으로 사용하도록 설정해야 합니다. VM IP 주소 변경이 감지되면 이 새 IP 주소를 승인할 때까지 DFW(분산 방화벽)가 이 VM의 트래픽을 차단합니다.
특정 네트워크에 대해 SpoofGuard 정책을 생성하면 VMware Tools에서 보고되는 IP 주소를 인증하고, 필요한 경우 이를 변경하여 스푸핑을 방지할 수 있습니다. SpoofGuard는 VMX 파일 및 vSphere SDK에서 수집된 가상 시스템의 MAC 주소를 기본적으로 신뢰합니다. 방화벽 규칙과 별도로 작동하므로, SpoofGuard를 사용하여 스푸핑된 것으로 확인된 트래픽을 차단할 수 있습니다.
SpoofGuard는 IPv4와 IPv6 주소를 모두 지원합니다. SpoofGuard 정책은 VMwareTools 및 DHCP 스누핑을 사용할 때 vNIC에 할당된 다중 IP 주소를 지원합니다. ARP 스누핑은 vNIC당 VM별로 최대 128개의 주소를 검색하도록 지원합니다. SpoofGuard 정책은 다음 모드 중 하나에서 가상 시스템이 보고한 IP 주소를 모니터링하고 관리합니다.
- 최초 사용 시 IP 할당 자동 신뢰
- 이 모드에서는 vNIC-IP 주소 할당 테이블이 작성되는 동안 가상 시스템의 모든 트래픽이 통과하도록 허용됩니다. 언제든지 이 테이블을 검토하고 IP 주소를 변경할 수 있습니다. 이 모드에서는 vNIC에서 처음 확인된 모든 IPv4 및 IPv6 주소를 자동으로 승인합니다.
- 사용하기 전 모든 IP 할당 수동 검사 및 승인
- 이 모드에서는 사용자가 각 vNIC-IP 주소 할당을 승인할 때까지 모든 트래픽이 차단됩니다. 이 모드에서는 다중 IPv4 주소가 승인될 수 있습니다.
SpoofGuard에는 다른 SpoofGuard 정책에서 처리하지 않는 포트 그룹 및 논리적 네트워크에 적용되는 시스템 생성 기본 정책이 포함되어 있습니다. 새로 추가된 네트워크의 경우 기존 정책에 추가하거나 네트워크에 대해 새 정책을 생성할 때까지 자동으로 기본 정책에 추가됩니다.
SpoofGuard는 NSX 분산 방화벽 정책이 가상 시스템의 IP 주소를 확인할 수 있는 방법 중 한 가지입니다. 자세한 내용은 가상 시스템에 대한 IP 검색 항목을 참조하십시오.
