El firewall de Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, que incluye el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y la funcionalidad SSL VPN e IPSec de sitio a sitio. Esta solución está disponible en el factor de forma de la máquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas de las interfaces de administración o enlace ascendente, pero no las reglas de interfaces internas.

Nota: La puerta de enlace de servicios de Edge (ESG) es vulnerable ante ataques de inundación SYN en los que un atacante llena la tabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación de servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicio a los usuarios originales. NSX Edge puede defenderse de los ataques de inundación SYN mediante el uso del mecanismo de cookie SYN de forma inteligente para detectar conexiones TCP falsas y detenerlas sin consumir recursos de seguimiento de estado del firewall. Mientras la cola SYN no esté llena, las conexiones entrantes pasan con normalidad. Una vez que la cola SYN esté llena, se aplicará el mecanismo de cookie SYN.

Sin embargo, para los servidores que hay detrás de NSX Edge, la función de protección contra inundación SYN está deshabilitada de forma predeterminada. NSX Edge utiliza SYNPROXY para realizar la protección contra inundación SYN.

Para obtener información detallada sobre el comportamiento SYNPROXY cuando SynFloodProtection está habilitado en una instancia de NSX Edge, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/54527.