Edge Firewall supervisa el tráfico de Norte a Sur para proporcionar la funcionalidad de seguridad del perímetro, incluido el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y la funcionalidad SSL VPN e IPsec de sitio a sitio. Esta solución está disponible en el factor de forma de la máquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas en las interfaces de administración o vínculo superior, pero las reglas en las interfaces internas no funcionan.

Nota:

NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena la tabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación de servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicio a los usuarios originales. Para defender a Edge de los ataques de inundación SYN, es necesario implementar la lógica para que detecte conexiones TCP falsas y las finalice sin consumir recursos del seguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Para habilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de la API de REST a "verdadero" ("true") como parte de la configuración global del firewall (Firewall Global Configuration).