SpoofGuard는 "웹 스푸핑" 또는 "피싱"이라고 하는 악의적인 공격 형태를 방지하는 데 도움이 됩니다. SpoofGuard 정책은 스푸핑으로 확인된 트래픽을 차단합니다.

SpoofGuard는 작업 환경의 가상 시스템이 트래픽을 끝낼 권한이 없는 IP 주소를 사용하여 트래픽을 전송하지 못하게 하도록 설계된 도구입니다. 가상 시스템의 IP 주소가 SpoofGuard의 해당 논리적 포트 및 세그먼트 주소 바인딩에 있는 IP 주소와 일치하지 않을 경우 가상 시스템의 vNIC는 네트워크에 전혀 액세스하지 못합니다. SpoofGuard는 포트 또는 세그먼트 수준에서 구성할 수 있습니다. 작업 환경에서 SpoofGuard를 사용하는 이유에는 다음과 같은 몇 가지가 있습니다.
  • 악성 가상 시스템이 기존 VM의 IP 주소를 가정하지 못하도록 방지합니다.
  • 가상 시스템의 IP 주소를 개입 없이 변경할 수 없도록 합니다. 일부 환경에서는 가상 시스템이 적절한 변경 제어 검토 없이 IP 주소를 변경할 수 없도록 하는 것이 좋습니다. SpoofGuard는 가상 시스템 소유자가 IP 주소를 변경하고 방해 없이 계속 작업하지 못 하도록 하여 이러한 작동을 용이하게 합니다.
  • DFW(분산 방화벽) 규칙이 실수로(또는 고의로) 우회되지 않도록 보장합니다. IP 집합을 소스 또는 대상으로 활용하여 생성한 DFW 규칙의 경우 가상 시스템이 패킷 헤더에서 IP 주소를 위조하여 문제의 규칙을 우회할 가능성이 항상 존재합니다.

NSX-T Data Center SpoofGuard 구성에는 다음이 포함됩니다.

  • MAC SpoofGuard - 패킷의 MAC 주소를 인증합니다.
  • IP SpoofGuard - 패킷의 MAC 및 IP 주소를 인증합니다.

  • 동적 ARP(Address Resolution Protocol) 검사 즉, ARP 및 GARP(Gratuitous Address Resolution Protocol) SpoofGuard와 ND(Neighbor Discovery) SpoofGuard 유효성 검사는 모두 ARP/GARP/ND 페이로드의 MAC 소스, IP 소스 및 IP-MAC 소스 매핑에 대해 수행됩니다.

포트 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 포트의 [주소 바인딩] 속성을 통해 제공됩니다. 가상 시스템이 트래픽을 전송할 경우 해당 IP/MAC/VLAN이 포트의 IP/MAC/VLAN 속성과 일치하지 않으면 트래픽이 삭제됩니다. 포트 수준 SpoofGuard는 트래픽 인증을 처리합니다. 즉, 트래픽이 VIF 구성과 일치하는지 확인합니다.

세그먼트 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 세그먼트의 [주소 바인딩] 속성을 통해 제공됩니다. 이는 일반적으로 세그먼트에 대해 허용되는 IP 범위/서브넷이며, 세그먼트 수준 SpoofGuard는 트래픽 인증을 처리합니다.

트래픽은 세그먼트로 들어가도록 허용되기 전에 먼저 포트 수준 및 세그먼트 수준 SpoofGuard에서 허용되어야 합니다. 포트 및 세그먼트 수준 SpoofGuard를 사용하거나 사용하지 않도록 설정하는 작업은 SpoofGuard 세그먼트 프로파일을 사용하여 제어할 수 있습니다.