您可以透過限制一些虛擬機器網路介面卡的 MAC 位址模式,來保護標準交換器流量不受第 2 層的攻擊。
每個虛擬機器網路介面卡均具有一個初始 MAC 位址和一個有效的 MAC 位址。
初始 MAC 位址
建立介面卡時將指派初始 MAC 位址。儘管可以從客體作業系統外部重新設定初始 MAC 位址,但客體作業系統無法變更初始 MAC 位址。
有效 MAC 位址
每個介面卡都具有一個有效 MAC 位址,可篩選出目的地 MAC 位址與有效 MAC 位址不同的傳入網路流量。客體作業系統負責設定有效 MAC 位址,且通常使有效 MAC 位址與初始 MAC 位址相符。
建立虛擬機器網路介面卡時會發生什麼
虛擬機器網路介面卡建立後,其有效 MAC 位址與初始 MAC 位址相同。客體作業系統可隨時將有效 MAC 位址更改為其他值。如果作業系統變更了有效 MAC 位址,其網路介面卡將接收傳送到新 MAC 位址的網路流量。
透過網路介面卡傳送封包時,客體作業系統通常會將其介面卡的有效 MAC 位址輸入乙太網路畫面的來源 MAC 位址欄位中。它還會將接收網路介面卡的 MAC 位址輸入目的地 MAC 位址欄位中。僅當封包中的目的地 MAC 位址與其自身有效的 MAC 位址相符時,接收介面卡才接受封包。
作業系統可傳送具有模擬來源 MAC 位址的畫面。因此作業系統可以模擬接收網路授權的網路介面卡,並且對網路中的裝置發起惡意攻擊。
使用安全性原則保護連接埠和群組
透過在連接埠群組或連接埠上設定安全性原則,防止虛擬流量受到模擬和第 2 層攔截攻擊。
分散式連接埠群組和連接埠上的安全性原則包含下列選項:
您可以透過選取與 vSphere Client 中主機相關聯的虛擬交換器,來檢視與變更預設設定。請參閱vSphere 網路說明文件。
MAC 位址變更
虛擬交換器的安全性原則包含一個 MAC 位址變更選項。透過此選項,虛擬機器能夠接收 Mac 位址不同於 VMX 中所設定位址的框架。
當 MAC 位址變更選項設定為接受時,ESXi 接受將虛擬機器的有效 MAC 位址變更為不同於初始 MAC 位址的其他位址的要求。
當 MAC 位址變更選項設定為拒絕時,ESXi 不接受將虛擬機器的有效 MAC 位址變更為不同於初始 MAC 位址的其他位址的要求。此設定可以防止主機受到 MAC 模擬的威脅。虛擬機器介面卡用於傳送要求的連接埠將已停用,必須在有效 MAC 位址與初始 MAC 位址相符後,虛擬機器介面卡才能再接收框架。客體作業系統無法偵測到 MAC 位址變更要求已被拒絕。
有時,您可能確實需要多個介面卡在網路中使用同一 MAC 位址 (例如,在單點傳播模式中使用 Microsoft 網路負載平衡時)。在標準多點傳播模式中使用 Microsoft 網路負載平衡時,介面卡不能共用 MAC 位址。
偽造的傳輸
偽造的傳輸選項會影響從虛擬機器傳輸的流量。
當偽造的傳輸選項設定為接受時,ESXi 不會比較來源 MAC 位址和有效 MAC 位址。
若要防止 MAC 模擬,請將偽造的傳輸選項設定為拒絕。因此,主機會將客體作業系統傳輸的來源 MAC 位址與其虛擬機器介面卡的有效 MAC 位址進行比較,以確認是否相符。如果位址不相符,ESXi 主機將捨棄封包。
客體作業系統未偵測到其虛擬機器介面卡無法使用模擬 MAC 位址傳送封包。ESXi 主機會在具有模擬位址的任何封包傳遞之前將其攔截,而客體作業系統可能假設封包已被捨棄。
混合模式作業
混合模式會消除虛擬機器介面卡執行的任何接收篩選,因此客體作業系統將接收在網路上觀察到的所有流量。依預設,虛擬機器介面卡不能在混合模式中運作。
儘管混合模式對於追蹤網路活動很有用,但它是一種不安全的運作模式,因為混合模式中的任何介面卡均可存取封包,即使某些封包僅由特定的網路介面卡接收也是如此。這表示,虛擬機器中的管理員或根使用者可以檢視傳送至其他客體或主機作業系統的流量。
如需為混合模式設定虛擬機器介面卡的相關資訊,請參閱vSphere 網路說明文件中有關為 vSphere Standard Switch 或標準連接埠群組設定安全性原則的主題。
