Edge 방화벽은 북-남 트래픽을 모니터링하여 방화벽, NAT(네트워크 주소 변환), 사이트 간 IPSec, SSL VPN 기능과 경계 보안 기능을 제공합니다. 이 솔루션은 가상 시스템 폼 팩터로 제공되며 고가용성 모드에서 배포할 수 있습니다.
방화벽 지원은 논리적 라우터로 제한됩니다. 관리 또는 업링크 인터페이스의 규칙만 작동하고, 내부 인터페이스의 규칙은 작동하지 않습니다.
참고: ESG(Edge Services Gateway)는 공격자가 SYN 패킷을 폭발적으로 증가시켜 방화벽 상태 추적 테이블을 채우는 SYN 플러드(Syn-Flood) 공격에 취약합니다. 이 DOS/DDOS 공격은 정품 사용자에게 서비스 중단을 야기합니다.
NSX Edge는 SYN 쿠키 메커니즘을 스마트한 방법으로 사용하여 bogus TCP 연결을 감지하고 방화벽 상태 추적 리소스를 소비하지 않으면서 이러한 연결을 중지함으로써 SYN 플러드(Syn-Flood) 공격으로부터 자신을 방어할 수 있습니다. SYN 대기열이 가득 차지 않기 전에 수신 연결이 정상적으로 전달됩니다. SYN 대기열이 가득 차면 SYN 쿠키 메커니즘이 적용됩니다.
그러나 NSX Edge 뒤에 있는 서버의 경우 SYN 플러드 보호 기능이 기본적으로 사용되지 않도록 설정됩니다. NSX Edge에서 SYNPROXY를 사용하여 SYN 플러드 보호를 수행합니다.
SynFloodProtection이 NSX Edge에서 사용하도록 설정된 경우 SYNPROXY 동작에 대한 자세한 내용은 https://kb.vmware.com/s/article/54527의 VMware 기술 자료 문서를 참조하십시오.
