SpoofGuard 可協助防止一種稱為「網路詐騙」或「網路釣魚」的惡意攻擊。SpoofGuard 原則可封鎖判定為詐騙的流量。
SpoofGuard 是一種工具,專門設計來防止您環境中的虛擬機器從未獲授權的 IP 位址傳送流量。如果虛擬機器的 IP 位址不符合 SpoofGuard 中相對應之邏輯連接埠和區段位址繫結的 IP 位址,系統即會完全阻止虛擬機器的 vNIC 存取網路。您可以在連接埠或區段層級設定 SpoofGuard。您可以基於下列幾個原因而在環境中使用 SpoofGuard:
- 防止惡意虛擬機器取得現有虛擬機器的 IP 位址。
- 確保虛擬機器的 IP 位址不會在未經介入的情況便遭到更改,在某些環境中,建議虛擬機器無法在未經適當的變更控制審查之下即更改其 IP 位址。為了促進此一目的,SpoofGuard 會確保虛擬機器擁有者無法輕鬆更改 IP 位址並順利繼續進行工作。
- 保證分散式防火牆 (DFW) 規則不會被無意 (或故意) 略過 – 對於使用 IP 集合作為來源或目的地的已建立 DFW 規則,虛擬機器的 IP 位址可能在封包標頭中遭到偽造,藉以略過相關規則。
NSX SpoofGuard 組態涵蓋下列項目:
- MAC SpoofGuard - 驗證封包的 MAC 位址
- IP SpoofGuard - 驗證封包的 MAC 和 IP 位址
-
動態位址解析通訊協定 (ARP) 檢查,亦即會針對 ARP/GARP/ND 裝載中的 MAC 來源、IP 來源和 IP-MAC 來源對應,進行所有 ARP 和 Gratuitous 位址解析通訊協定 (GARP) SpoofGuard 和芳鄰探索 (ND) SpoofGuard 驗證。
在連接埠層級中,系統會透過連接埠的位址繫結內容提供允許的 MAC/VLAN/IP 允許清單。當虛擬機器傳送流量時,如果其 IP/MAC/VLAN 不符合連接埠的 IP/MAC/VLAN 內容,即會遭到捨棄。連接埠層級 SpoofGuard 會負責處理流量驗證,例如流量是否符合 VIF 組態。
在區段層級中,系統會透過區段的位址繫結內容提供允許的 MAC/VLAN/IP 允許清單。這通常是區段的允許 IP 範圍/子網路,並由區段層級 SpoofGuard 負責處理流量授權。
流量必須獲得連接埠層級和區段層級 SpoofGuard 的允許,才能允許進入區段。連接埠和區段層級 SpoofGuard 的啟用或停用可使用 SpoofGuard 區段設定檔來控制。