vCenter Server와 동기화되면 NSX Manager가 각 가상 시스템의 VMware Tools에서 모든 vCenter 게스트 가상 시스템의 IP 주소를 수집합니다. 가상 시스템이 손상된 경우 IP 주소가 스푸핑되고 악의적인 전송이 방화벽 정책을 우회할 수 있습니다.

특정 네트워크에 대해 SpoofGuard 정책을 생성하면 VMware Tools에서 보고되는 IP 주소를 인증하고, 필요한 경우 이를 변경하여 스푸핑을 방지할 수 있습니다. SpoofGuard는 VMX 파일 및 vSphere SDK에서 수집된 가상 시스템의 MAC 주소를 기본적으로 신뢰합니다. 방화벽 규칙과 별도로 작동하므로, SpoofGuard를 사용하여 스푸핑된 것으로 확인된 트래픽을 차단할 수 있습니다.

SpoofGuard는 IPv4와 IPv6 주소를 모두 지원합니다. IPv4를 사용할 때 SpoofGuard 정책은 vNIC에 할당된 단일 IP 주소를 지원합니다. IPv6은 vNIC에 할당된 다중 IP 주소를 지원합니다. SpoofGuard 정책은 다음 모드 중 하나에서 가상 시스템이 보고한 IP 주소를 모니터링하고 관리합니다.

최초 사용 시 IP 할당 자동 신뢰

이 모드에서는 vNIC-IP 주소 할당 테이블이 작성되는 동안 가상 시스템의 모든 트래픽이 통과하도록 허용됩니다. 언제든지 이 테이블을 검토하고 IP 주소를 변경할 수 있습니다. 이 모드에서는 vNIC의 모든 IPv4 및 IPv6 주소가 자동으로 승인됩니다.

사용하기 전 모든 IP 할당 수동 검사 및 승인

이 모드에서는 사용자가 각 vNIC-IP 주소 할당을 승인할 때까지 모든 트래픽이 차단됩니다.

참고:

기본적으로 SpoofGuard는 사용하도록 설정된 모드에 관계없이 DHCP 요청을 허용합니다. 하지만 수동 검사 모드에서는 DHCP로 할당된 IP 주소가 승인될 때까지 트래픽이 통과되지 않습니다.

SpoofGuard에는 다른 SpoofGuard 정책에서 처리하지 않는 포트 그룹 및 논리적 네트워크에 적용되는 시스템 생성 기본 정책이 포함되어 있습니다. 새로 추가된 네트워크의 경우 기존 정책에 추가하거나 네트워크에 대해 새 정책을 생성할 때까지 자동으로 기본 정책에 추가됩니다.

SpoofGuard는 NSX 분산 방화벽 정책이 가상 시스템의 IP 주소를 확인할 수 있는 방법 중 한 가지입니다. 자세한 내용은 가상 시스템에 대한 IP 검색 항목을 참조하십시오.