Edge 防火墙会监控南北向流量以提供边界安全功能,包括防火墙、网络地址转换 (Network Address Translation, NAT) 以及点对点 IPSec 和 SSL VPN 功能。此解决方案可用于任意虚拟机组合形式,并且可以在高可用性模式下部署。
防火墙支持仅限于逻辑路由器。只有管理接口或上行链路接口上的规则起作用,而内部接口上的规则不起作用。
注: Edge 服务网关 (ESG) 很容易受到 SYN 泛洪攻击,在这种攻击中,攻击者发送大量 SYN 数据包以填充防火墙状态跟踪表。该 DOS/DDOS 攻击导致真正用户的服务中断。
NSX Edge 可以使用 SYN Cookie 机制以智能方式检测虚假 TCP 连接并停止这些连接,从而在不消耗防火墙状态跟踪资源的情况下保护自身免受 SYN 泛洪攻击。在 SYN 队列未满之前,入站连接将正常通过。SYN 队列已满后,SYN Cookie 机制将生效。
但是,对于 NSX Edge 后面的服务器,默认情况下会禁用 SYN 泛洪保护功能。NSX Edge 使用 SYNPROXY 执行 SYN 泛洪保护。
有关在 NSX Edge 上启用 SynFloodProtection 后的 SYNPROXY 行为的详细信息,请参见 VMware 知识库文章:https://kb.vmware.com/s/article/54527。
