Edge 防火墙会监控南北向流量以提供边界安全功能，包括防火墙、网络地址转换 (Network Address Translation, NAT) 以及点对点 IPSec 和 SSL VPN 功能。此解决方案可用于任意虚拟机组合形式，并且可以在高可用性模式下部署。

防火墙支持仅限于逻辑路由器。只有管理接口或上行链路接口上的规则起作用，而内部接口上的规则不起作用。

注：Edge 服务网关 (ESG) 很容易受到 SYN 泛洪攻击，在这种攻击中，攻击者发送大量 SYN 数据包以填充防火墙状态跟踪表。该 DOS/DDOS 攻击导致真正用户的服务中断。 NSX Edge 可以使用 SYN Cookie 机制以智能方式检测虚假 TCP 连接并停止这些连接，从而在不消耗防火墙状态跟踪资源的情况下保护自身免受 SYN 泛洪攻击。在 SYN 队列未满之前，入站连接将正常通过。SYN 队列已满后，SYN Cookie 机制将生效。

莆田网络运维|网络维护|网络故障排除|网络维修|IT外包|数据存储备份 www.xiaolin.cc

但是，对于 NSX Edge 后面的服务器，默认情况下会禁用 SYN 泛洪保护功能。NSX Edge 使用 SYNPROXY 执行 SYN 泛洪保护。

有关在 NSX Edge 上启用 SynFloodProtection 后的 SYNPROXY 行为的详细信息，如下：

SynFloodProtection 在 NSX-v 中从内部设备打开的连接上将初始窗口大小设置为 0 (54527)

症状

SynFloodProtection 在从内部设备打开的连接上将初始窗口大小设置为 0。

目的

本文介绍了在 NSX Edge 中启用 SynFloodProtection 时的行为。

解析度

Edge 正在使用 SYNPROXY 目标来实现 SynFloodProtection。工作流程是：

1. 将来自客户端的初始 SYN 标记为 UNTRACKED，并将其定向到 SYNPROXY 目标。

2. 如果使用了时间戳（类似于 TCP），则 SYNPROXY 目标会使用包含 cookie 和编码选项（例如窗口缩放因子、SACK perm 等）的 SYN/ACK 响应到时间戳中。请注意，此响应的窗口大小设置为 0，它也是 UNTRACKED 发送到客户端。

3. 当 SYNPROXY 目标（Edge）向客户端发送窗口 0 时，它会在验证 cookie 之前阻止进一步的数据传输。

4. 在 SYNPROXY 目标中，当收到来自客户端的最终 ACK 时，验证 cookie，提取原始选项并生成到原始目标（服务器）的 SYN。此 SYN 使用来自最终 ACK 的广告窗口大小和来自初始 SYN 的选项。

5. 这个 SYN 不是作为 UNTRACKED 发送的，所以从 conntrack 的角度来看，客户端实例化了一个到服务器的新连接。

6. 原始目标（服务器）向 SYNPROXY 目标响应 SYN/ACK，然后生成原始目标（服务器）的最终 ACK。

7. 具有由原始目标（服务器）宣布的窗口大小的窗口更新被发送到客户端。验证通过后，会向客户端发送窗口更新以打开数据传输。

8. 从这一点开始，连接将作为正常进程处理到 conntrack。

注意：上述行为可能会导致应用程序启动时应用程序性能不佳，尤其是当 Edge 连接到第 3 方负载均衡器时。负载均衡器将根据 TCP 标准解释窗口大小 0，该标准规定发送方在收到获胜大小 0 后必须暂停。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复

莆田网络运维|网络维护|网络故障排除|网络维修|IT外包|数据存储备份 www.xiaolin.cc

使用用NSX Edge防火墙规则

应用于逻辑路由器的防火墙规则仅保护流入和流出逻辑路由器控制虚拟机的控制层面流量。这些规则不强制执行任何数据层面保护。要保护数据层面流量，请为东西向保护创建逻辑防火墙规则，或者在 NSX Edge 服务网关级别为南北向保护创建规则。

规则按以下顺序显示并强制实施：

1. 应用于 Edge 的预定义分布式防火墙规则。

o 这些规则是在“防火墙”用户界面（网络和安全 > 安全性 > 防火墙）上定义的。

o 这些规则在“NSX Edge 防火墙”用户界面上以只读模式显示。

2. 允许为 Edge 服务传输控制流量的内部规则。例如，内部规则包括以下自动检测规则：

o SSL VPN 自动检测规则：在配置服务器设置并启用 SSL VPN 服务后，“Edge 防火墙”选项卡会显示 sslvpn 自动检测规则。

o DNAT 自动检测规则：“Edge NAT”选项卡将 DNAT 自动检测规则显示为默认 SSL VPN 配置的一部分。

3. 在“NSX Edge 防火墙”用户界面上添加的用户定义的规则。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复

4. 默认规则。

• 编辑默认的NSX Edge防火墙规则
  默认防火墙设置应用于与任何用户定义的防火墙规则均不匹配的流量。默认的 Edge 防火墙策略会阻止所有入站流量。您可以更改默认操作和日志记录设置。
• 添加NSX Edge防火墙规则
  您可以在 NSX Edge 服务网关上添加用户定义的 Edge 防火墙规则以接受或拒绝特定类型的流量。不过，您无法在分布式逻辑路由器上添加用户定义的防火墙规则。
• 编辑NSX Edge防火墙规则
  您只能编辑用户定义的 Edge 防火墙规则，并对系统生成的默认防火墙规则进行有限的更改。
• 更改NSX Edge防火墙规则的顺序
  可以更改“Edge 防火墙”选项卡中添加的用户定义防火墙规则的顺序，以自定义流过 NSX Edge 的流量。例如，假设您有一条允许负载平衡器流量的规则。您现在可以添加一个规则以拒绝来自特定 IP 地址组的负载平衡器流量，并将该规则放在 LB 允许流量规则上方。
• 删除NSX Edge防火墙规则
  您只能删除在“NSX Edge 防火墙”选项卡中添加的用户定义的防火墙规则。IT外包 服务器虚拟化 数据存储 数据备份 数据恢复IT外包 服务器虚拟化 数据存储 数据备份 数据恢复
• 将Edge防火墙规则标记为有效
  在删除 Edge 防火墙规则中使用的分组对象、服务或服务组时，该规则将变得无效。无法发布无效的防火墙规则。
• Edge对象
  您可以创建 Edge 级别分组对象以将对象范围限制为 Edge。Edge 分组对象与网络分组对象不同，它们具有全局范围并且可以在 Edge 和其他对象中使用这些对象。
• 管理NAT规则
  NSX Edge 提供网络地址转换 (NAT) 服务来将公共地址分配给专用网络内的计算机或计算机组。出于经济和安全目的，NAT 技术限制组织或公司必须使用的公共 IP 地址数。您必须在 Edge 设备上配置 NAT 规则，以访问在公司的专用网络中的虚拟机上运行的服务。

莆田网络运维|网络维护|网络故障排除|网络维修|IT外包|数据存储备份 www.xiaolin.cc