Das Erstellen eines DNS-Sicherheitsprofils hilft beim Schutz vor DNS-bezogenen Angriffen.

Erstellen Sie ein DNS-Sicherheitsprofil und konfigurieren Sie TTL im DNS-Sicherheitsprofil. Nach der Einrichtung des DNS-Sicherheitsprofils können Sie Folgendes tun:

  • Führen Sie einen Snooping-Vorgang auf DNS-Antworten für eine VM oder eine Gruppe von VMs auf dem Transportknoten aus, um FQDN mit IP-Adressen zu verknüpfen.

  • Erstellen Sie eine Gruppe mit VMs als Mitgliedern und wenden Sie DNS-Profile auf Gruppen an.

Hinweis: In der aktuellen Version wird nur ESXi unterstützt.

Prozedur

  1. Navigieren Sie zu Sicherheit > Allgemeine Einstellungen > Firewall > DNS-Sicherheit.
  2. Klicken Sie auf Profil hinzufügen.
  3. Geben Sie die folgenden Werte ein:
    Option Beschreibung
    Profilname Geben Sie einen Profilnamen an.
    TTL

    In diesem Feld wird die Lebenszeit für den DNS-Cache-Eintrag in Sekunden erfasst. Sie haben die folgenden Optionen:

    TTL 0 – zwischengespeicherter Eintrag läuft nie ab.

    TTL 1 bis 3599 – ungültig

    TTL 3600 bis 864000 – gültig

    TTL leer gelassen – automatische TTL, festgelegt im DNS-Antwortpaket.

    Hinweis: Das DNS-Sicherheitsprofil verfügt über eine standardmäßige DNS-Cache-Zeitüberschreitung von 24 Stunden.
    Angewendet auf Sie können eine Gruppe basierend auf beliebigen Kriterien auswählen, um das DNS-Sicherheitsprofil darauf anzuwenden.
    Hinweis: Nur ein DNS-Serverprofil wird auf eine VM angewendet.
    Tags

    Optional Weisen Sie dem DNS-Profil ein Tag und einen Geltungsbereich zu, um die Suche zu vereinfachen. Weitere Informationen hierzu finden Sie unter Hinzufügen von Tags zu einem NSX-Objekt.

  4. Klicken Sie auf Speichern.

Nächste Maßnahme

Klicken Sie nach dem Speichern auf Gruppen-zu-Profil-Vorrang verwalten, um die Bindungspriorität zwischen Gruppe und Profil zu verwalten.