El firewall de Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, que incluye el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y la funcionalidad SSL VPN e IPSec de sitio a sitio. Esta solución está disponible en el factor de forma de la máquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas de las interfaces de administración o enlace ascendente, pero no las reglas de interfaces internas.

Nota: NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena la tabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación de servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicio a los usuarios originales. Para defender Edge de los ataques de inundación SYN, es necesario implementar una lógica que detecte conexiones TCP falsas y las detenga sin consumir recursos del seguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Para habilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de REST API en true como parte de la configuración global del firewall.

Para obtener información detallada sobre el comportamiento cuando SynFloodProtection está habilitado en una instancia de NSX Edge, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/54527.