Edge ファイアウォールは、North-South トラフィックを監視して、ファイアウォール、ネットワーク アドレス変換 (NAT)、サイト間 IPsec VPN、SSL VPN などの境界セキュリティ機能を提供します。このソリューションは仮想マシンで利用でき、高可用性モードでデプロイできます。
Edge ファイアウォールのサポートは、分散論理ルーターに制限されます。管理インターフェイスまたはアップリンク インターフェイスのルールのみが機能しますが、内部インターフェイスのルールは機能しません。
注: Edge Services Gateway(ESG)は、攻撃者が SYN パケットのフラッディングによって、ファイアウォールのステートトラッキング テーブルをいっぱいにする SYN フラッド攻撃に対して脆弱性があります。この DOS/DDOS 攻撃によって、ユーザーへのサービスが中断されてしまいます。
NSX Edge は、SYN Cookie メカニズムをスマートな方法で使用して不正な物理 TCP 接続を検出し、ファイアウォールの状態追跡リソースを使用せずに停止することで、SYN フラッド攻撃から自身を防御します。SYN キューがいっぱいになる前は、受信接続は正常に通過します。SYN キューがいっぱいになると、SYN Cookie メカニズムが有効になります。
ただし、NSX Edge の背後にあるサーバの場合、SYN フラッドからの保護機能はデフォルトで無効になっています。NSX Edge は、SYNPROXY を使用して SYN フラッドから保護します。
NSX Edge で SynFloodProtection が有効な場合の SYNPROXY 動作については、VMware ナレッジベースの記事https://kb.vmware.com/s/article/54527を参照してください。
