Edge 防火墙会监控南北向流量以提供边界安全功能,包括防火墙、网络地址转换 (Network Address Translation, NAT) 以及点对点 IPSec 和 SSL VPN 功能。此解决方案可用于任意虚拟机组合形式,并且可以在高可用性模式下部署。

防火墙支持仅限于逻辑路由器。只有管理接口或上行链路接口上的规则起作用,而内部接口上的规则不起作用。

注: NSX-V Edge 很容易受到 SYN 泛洪攻击,在这种攻击中,攻击者发送大量 SYN 数据包以填充防火墙状态跟踪表。该 DOS/DDOS 攻击导致真正用户的服务中断。Edge 必须实施逻辑以检测并停止伪造的 TCP 连接,而不会消耗防火墙状态跟踪资源,从而抵御 SYN 泛洪攻击。默认情况下,将禁用该功能。要在高风险环境中启用该功能,请将防火墙全局配置中的 REST API enableSynFloodProtection 值设置为 true

有关在 NSX Edge 上启用 SynFloodProtection 后的行为的详细信息,请参见 VMware 知识库文章:https://kb.vmware.com/s/article/54527