Edge-Firewall überwacht den Nord-Süd-Datenverkehr und bietet Sicherheitsfunktionen im Randbereich, einschließlich Firewall, NAT (Network Address Translation, Netzwerkadressenübersetzung) sowie Site-to-Site-IPSec und SSL VPN-Funktionen. Diese Lösung ist im VM-Formfaktor erhältlich und kann im Hochverfügbarkeitsmodus bereitgestellt werden.

Firewall-Support ist auf den logischen Router begrenzt. Es greifen nur die Regeln für Management- oder Uplink-Schnittstellen, die Regeln für interne Schnittstellen greifen jedoch nicht.

Hinweis: Das Edge Services Gateway (ESG) ist anfällig für SYN-Flood-Angriffe, bei denen ein Angreifer die Tabelle für die Nachverfolgung des Firewallstatus durch massenhaftes Einfügen von SYN-Paketen blockiert. Ein solcher DOS/DDOS-Angriff führt zu einer Dienstunterbrechung für die Originalbenutzer. Der NSX Edge kann sich gegen SYN-Flood-Angriffe schützen, indem er den SYN-Cookie-Mechanismus auf intelligente Weise verwendet, um gefälschte TCP-Verbindungen zu erkennen und zu stoppen, ohne Ressourcen zur Nachverfolgung des Firewallstatus zu verbrauchen. Bevor die SYN-Warteschlange nicht voll ist, werden die eingehenden Verbindungen normal hergestellt. Wenn die SYN-Warteschlange voll ist, tritt der SYN-Cookie-Mechanismus in Kraft.

Für die Server hinter dem NSX Edge ist die SYN-Flood-Schutzfunktion jedoch standardmäßig deaktiviert. Der NSX Edge verwendet SYNPROXY für den SYN-Flood-Schutz.

Detaillierte Informationen über das Verhalten von SYNPROXY bei SynFloodProtection-Aktivierung auf einem NSX Edge finden Sie im VMware-Wissensdatenbankartikel unter https://kb.vmware.com/s/article/54527.