SpoofGuard는 "웹 스푸핑" 또는 "피싱"이라고 하는 악의적인 공격 형태를 방지하는 데 도움이 됩니다. SpoofGuard 정책은 스푸핑으로 확인된 트래픽을 차단합니다.

SpoofGuard는 작업 환경의 가상 시스템이 기존 IP 주소를 변경하지 못하게 하도록 설계된 도구입니다. 가상 시스템의 IP 주소가 SpoofGuard의 해당 논리적 포트 및 스위치 주소 바인딩에 있는 IP 주소와 일치하지 않을 경우 가상 시스템의 vNIC는 네트워크에 전혀 액세스하지 못합니다. SpoofGuard는 포트 또는 스위치 수준에서 구성할 수 있습니다. 작업 환경에서 SpoofGuard를 사용하는 이유에는 다음과 같은 몇 가지가 있습니다.
  • 악성 가상 시스템이 기존 VM의 IP 주소를 가정하지 못하도록 방지합니다.
  • 가상 시스템의 IP 주소를 개입 없이 변경할 수 없도록 합니다. 일부 환경에서는 가상 시스템이 적절한 변경 제어 검토 없이 IP 주소를 변경할 수 없도록 하는 것이 좋습니다. SpoofGuard는 가상 시스템 소유자가 IP 주소를 변경하고 방해 없이 계속 작업하지 못 하도록 하여 이러한 작동을 용이하게 합니다.
  • DFW(분산 방화벽) 규칙이 실수로(또는 고의로) 우회되지 않도록 보장합니다. IP 집합을 소스 또는 대상으로 활용하여 생성한 DFW 규칙의 경우 가상 시스템이 패킷 헤더에서 IP 주소를 위조하여 문제의 규칙을 우회할 가능성이 항상 존재합니다.

NSX-T Data Center SpoofGuard 구성에는 다음이 포함됩니다.

  • MAC SpoofGuard - 패킷의 MAC 주소를 인증합니다.
  • IP SpoofGuard - 패킷의 MAC 및 IP 주소를 인증합니다.

  • 동적 ARP(Address Resolution Protocol) 검사 즉, ARP 및 GARP(Gratuitous Address Resolution Protocol) SpoofGuard와 ND(Neighbor Discovery) SpoofGuard 유효성 검사는 모두 ARP/GARP/ND 페이로드의 MAC 소스, IP 소스 및 IP-MAC 소스 매핑에 대해 수행됩니다.

포트 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 포트의 [주소 바인딩] 속성을 통해 제공됩니다. 가상 시스템이 트래픽을 전송할 경우 해당 IP/MAC/VLAN이 포트의 IP/MAC/VLAN 속성과 일치하지 않으면 트래픽이 삭제됩니다. 포트 수준 SpoofGuard는 트래픽 인증을 처리합니다. 즉, 트래픽이 VIF 구성과 일치하는지 확인합니다.

스위치 수준에서 허용되는 MAC/VLAN/IP 허용 목록은 스위치의 [주소 바인딩] 속성을 통해 제공됩니다. 이는 일반적으로 스위치에 대해 허용되는 IP 범위/서브넷이며, 스위치 수준 SpoofGuard는 트래픽 인증을 처리합니다.

트래픽은 스위치로 들어가도록 허용되기 전에 먼저 포트 수준 및 스위치 수준 SpoofGuard에서 허용되어야 합니다. 포트 및 스위치 수준 SpoofGuard를 활성화하거나 비활성화하는 작업은 SpoofGuard 스위치 프로파일을 사용하여 제어할 수 있습니다.