SpoofGuard는 "웹 스푸핑" 또는 "피싱"이라고 하는 악의적인 공격 형태를 방지하는 데 도움이 됩니다. SpoofGuard 정책은 스푸핑으로 확인된 트래픽을 차단합니다.
- 악성 가상 시스템이 기존 VM의 IP 주소를 가정하지 못하도록 방지합니다.
- 가상 시스템의 IP 주소를 개입 없이 변경할 수 없도록 합니다. 일부 환경에서는 가상 시스템이 적절한 변경 제어 검토 없이 IP 주소를 변경할 수 없도록 하는 것이 좋습니다. SpoofGuard는 가상 시스템 소유자가 IP 주소를 변경하고 방해 없이 계속 작업하지 못 하도록 하여 이러한 작동을 용이하게 합니다.
- DFW(분산 방화벽) 규칙이 실수로(또는 고의로) 우회되지 않도록 보장합니다. IP 집합을 소스 또는 대상으로 활용하여 생성한 DFW 규칙의 경우 가상 시스템이 패킷 헤더에서 IP 주소를 위조하여 문제의 규칙을 우회할 가능성이 항상 존재합니다.
NSX-T Data Center SpoofGuard 구성에는 다음이 포함됩니다.
- MAC SpoofGuard - 패킷의 MAC 주소를 인증합니다.
- IP SpoofGuard - 패킷의 MAC 및 IP 주소를 인증합니다.
-
동적 ARP(Address Resolution Protocol) 검사 즉, ARP 및 GARP(Gratuitous Address Resolution Protocol) SpoofGuard와 ND(Neighbor Discovery) SpoofGuard 유효성 검사는 모두 ARP/GARP/ND 페이로드의 MAC 소스, IP 소스 및 IP-MAC 소스 매핑에 대해 수행됩니다.
포트 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 포트의 [주소 바인딩] 속성을 통해 제공됩니다. 가상 시스템이 트래픽을 전송할 경우 해당 IP/MAC/VLAN이 포트의 IP/MAC/VLAN 속성과 일치하지 않으면 트래픽이 삭제됩니다. 포트 수준 SpoofGuard는 트래픽 인증을 처리합니다. 즉, 트래픽이 VIF 구성과 일치하는지 확인합니다.
세그먼트 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 세그먼트의 [주소 바인딩] 속성을 통해 제공됩니다. 이는 일반적으로 세그먼트에 대해 허용되는 IP 범위/서브넷이며, 세그먼트 수준 SpoofGuard는 트래픽 인증을 처리합니다.
트래픽은 세그먼트로 들어가도록 허용되기 전에 먼저 포트 수준 및 세그먼트 수준 SpoofGuard에서 허용되어야 합니다. 포트 및 세그먼트 수준 SpoofGuard를 사용하거나 사용하지 않도록 설정하는 작업은 SpoofGuard 세그먼트 프로파일을 사용하여 제어할 수 있습니다.