Edge Firewall surveille le trafic vertical afin de fournir une fonctionnalité de sécurité du périmètre comportant le pare-feu, la traduction d'adresse réseau (NAT), IPSec de site à site et la fonctionnalité VPN SSL. Cette solution est disponible dans le format de la machine virtuelle et peut être déployée en mode High Availability.

La prise en charge de Firewall est limitée sur le routeur logique. Seules les règles sur les interfaces de gestion ou de liaison montante fonctionnent. Les règles sur les interfaces internes ne fonctionnent pas.

Note : Edge Services Gateway (ESG) est vulnérable aux attaques SYN Flood, lorsqu'une personne malveillante remplit la table de suivi de l'état du pare-feu en la saturant de paquets SYN. Cette attaque DOS/DDOS crée une interruption de service pour les utilisateurs de bonne foi. NSX Edge peut se défendre contre les attaques par propagation SYN en utilisant le mécanisme de cookie SYN de manière intelligente pour détecter les connexions TCP factices et les arrêter sans consommer de ressources de suivi de l'état du pare-feu. Avant que la file d’attente SYN ne soit saturée, les connexions entrantes passent normalement. Une fois la file d'attente SYN pleine, le mécanisme des cookies SYN prend effet.

Toutefois, pour les serveurs derrière NSX Edge, la fonctionnalité de protection de propagation SYN est désactivée par défaut. NSX Edge utilise SYNPROXY pour effectuer la protection de propagation SYN.

Pour des informations détaillées sur le comportement de SYNPROXY lorsque SynFloodProtection est activé sur un dispositif NSX Edge, consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/54527.