網路安全性原則可保護流量免受 MAC 位址模擬和有害連接埠掃描的威脅

標準交換器或分散式交換器的安全性原則會在網路通訊協定堆疊的第 2 層 (資料連結層) 實作。安全性原則的三大要素分別是混合模式、MAC 位址變更和偽造的傳輸。如需有關潛在網路威脅的資訊,請參閱 vSphere 安全性說明文件。

設定 vSphere Standard Switch 或標準連接埠群組的安全性原則

對於 vSphere Standard Switch,您可在虛擬機器的客體作業系統中設定安全性原則以拒絕 MAC 位址和混合模式變更。您可以覆寫繼承自個別連接埠群組上標準交換器的安全性原則。

程序

  1. vSphere Client中,導覽至主機。
  2. 設定索引標籤上,展開網路,然後選取虛擬交換器
  3. 導覽到標準交換器或連接埠群組的安全性原則。
    選項 動作
    vSphere Standard Switch
    1. 從清單中選取標準交換器。
    2. 按一下編輯設定
    3. 選取安全性
    標準連接埠群組
    1. 選取連接埠群組所位於的標準交換器。
    2. 在拓撲圖中,選取標準連接埠群組。
    3. 按一下編輯設定
    4. 選取安全性,然後選取要覆寫之選項旁的覆寫
  4. 拒絕或接受附加至標準交換器或連接埠群組的虛擬機器客體作業系統中的混合模式啟動或 MAC 位址變更。
    選項 說明
    混合模式
    • 拒絕。虛擬機器網路介面卡僅接收傳輸到虛擬機器的框架。
    • 接受。虛擬交換器會根據虛擬機器網路介面卡所連線到的連接埠的作用中 VLAN 原則,將所有框架轉送到虛擬機器。
    備註: 混合模式是一種不安全的運作模式。防火牆、連接埠掃描程式、入侵偵測系統必須在混合模式下執行。
    MAC 位址變更
    • 拒絕。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值,交換器會捨棄到介面卡的所有輸入畫面。

      如果客體作業系統將虛擬機器的有效 MAC 位址變更為虛擬機器網路介面卡的 MAC 位址,則虛擬機器會重新接收框架。

    • 接受。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值,則交換器允許到該新位址的框架通過。
    偽造的傳輸
    • 拒絕。如果從虛擬機器介面卡輸出的任何框架的來源 MAC 位址不同於 .vmx 組態檔中的來源 MAC 位址,則交換器會捨棄這些框架。
    • 接受。交換器不執行篩選,並允許所有輸出框架。
    狀態 啟用或停用 MAC 學習功能。預設值為已停用。
    允許單點傳播洪泛 當連接埠收到的封包具有未知的目的地 MAC 位址時,將捨棄該封包。如果啟用未知的單點傳播洪泛,則連接埠會將未知的單點傳播流量洪泛至已啟用 MAC 學習和未知單點傳播洪泛之交換器上的每個連接埠。如果已啟用 MAC 學習,則此內容預設處於啟用狀態。
    MAC 限制 您可以設定可學習的 MAC 位址數目。每個連接埠的最大值為 4096,這是預設值。
    MAC 限制原則 達到 MAC 限制時的原則。選項包括:
    • 捨棄 - 捨棄來自未知來源 MAC 位址的封包。輸入至此 MAC 位址的封包將視為未知的單點傳播。連接埠只有在已啟用未知單點傳播洪泛時才會接收封包。
    • 允許 - 來自未知來源 MAC 位址的封包會進行轉送,但無法學習位址。輸入至此 MAC 位址的封包將視為未知的單點傳播。連接埠只有在已啟用未知單點傳播洪泛時才會接收封包。
  5. 按一下確定

為分散式連接埠群組或分散式連接埠設定安全性原則

瞭解如何對分散式連接埠群組設定安全性原則,以允許或拒絕與連接埠群組相關聯的虛擬機器客體作業系統中的混合模式和 MAC 位址變更。您可以覆寫繼承自個別連接埠的分散式連接埠群組的安全性原則。

必要條件

若要在分散式連接埠層級覆寫原則,請針對此原則啟用連接埠層級覆寫選項。請參閱設定連接埠層級的覆寫網路原則

程序

  1. vSphere Client 首頁上,按一下網路,然後導覽至分散式交換器。
  2. 導覽至分散式連接埠群組或連接埠的安全性原則。
    選項 動作
    分散式連接埠群組
    1. 動作功能表中,選取分散式連接埠群組 > 管理分散式連接埠群組
    2. 選取安全性,然後按下一步
    3. 選取連接埠群組,然後按下一步
    分散式連接埠
    1. 網路索引標籤上,按一下分散式連接埠群組,然後按兩下某個分散式連接埠群組。
    2. 連接埠索引標籤上,選取連接埠,然後按一下編輯設定圖示。
    3. 選取安全性
    4. 選取要覆寫之內容旁的覆寫
  3. 拒絕或接受附加至分散式連接埠群組或連接埠的虛擬機器客體作業系統中的混合模式啟動或 MAC 位址變更。
    選項 說明
    混合模式
    • 拒絕。虛擬機器網路介面卡僅接收傳輸到虛擬機器的框架。
    • 接受。虛擬交換器會根據虛擬機器網路介面卡所連線到的連接埠的作用中 VLAN 原則,將所有框架轉送到虛擬機器。
    備註: 混合模式是一種不安全的運作模式。防火牆、連接埠掃描程式、入侵偵測系統必須在混合模式下執行。
    MAC 位址變更
    • 拒絕。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值,交換器會捨棄到介面卡的所有輸入畫面。

      如果客體作業系統將虛擬機器的有效 MAC 位址變更為虛擬機器網路介面卡的 MAC 位址,則虛擬機器會重新接收框架。

    • 接受。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值,則交換器允許到該新位址的框架通過。
    偽造的傳輸
    • 拒絕。如果從虛擬機器介面卡輸出的任何框架的來源 MAC 位址不同於 .vmx 組態檔中的來源 MAC 位址,則交換器會捨棄這些框架。
    • 接受。交換器不執行篩選,並允許所有輸出框架。
    狀態 啟用或停用 MAC 學習功能。預設值為已停用。
    允許單點傳播洪泛 當連接埠收到的封包具有未知的目的地 MAC 位址時,將捨棄該封包。如果啟用未知的單點傳播洪泛,則連接埠會將未知的單點傳播流量洪泛至已啟用 MAC 學習和未知單點傳播洪泛之交換器上的每個連接埠。如果已啟用 MAC 學習,則此內容預設處於啟用狀態。
    MAC 限制 您可以設定可學習的 MAC 位址數目。每個連接埠的最大值為 4096,這是預設值。
    MAC 限制原則 達到 MAC 限制時的原則。選項包括:
    • 捨棄 - 捨棄來自未知來源 MAC 位址的封包。輸入至此 MAC 位址的封包將視為未知的單點傳播。連接埠只有在已啟用未知單點傳播洪泛時才會接收封包。
    • 允許 - 來自未知來源 MAC 位址的封包會進行轉送,但無法學習位址。輸入至此 MAC 位址的封包將視為未知的單點傳播。連接埠只有在已啟用未知單點傳播洪泛時才會接收封包。
  4. 檢閱設定並套用組態。