Windows Advanced Firewall:“ Edge Traversal” หมายถึงอะไร

นี่ควรเป็นเรื่องง่าย ๆ :

ในAdvanced Windows FirewallบนWindows Server 2008+คุณสมบัติ> ขั้นสูง " Edge Traversal " หมายถึงอะไร

แน่นอนฉัน Googled แน่นอนและไม่สามารถหาคำตอบที่เป็นรูปธรรมได้และฉันรู้สึกตกใจเป็นพิเศษที่เห็นสิ่งต่อไปนี้ในบล็อกของ Thomas Schinder :

ตัวเลือกการข้ามผ่านของ Edge เป็นสิ่งที่น่าสนใจเพราะมันไม่ได้บันทึกไว้อย่างดี นี่คือสิ่งที่ไฟล์ช่วยเหลือบอกว่า:

“ การแวะผ่านขอบนี่เป็นการระบุว่าเปิดใช้งานการข้ามผ่านขอบ (ใช่) หรือปิดใช้งาน (ไม่) เมื่อเปิดใช้งานการข้ามผ่านขอบแอปพลิเคชันบริการหรือพอร์ตที่ใช้กฎนั้นสามารถกำหนดแอดเดรสได้ทั่วโลกและสามารถเข้าถึงได้จากภายนอกการแปลที่อยู่เครือข่าย (NAT) หรืออุปกรณ์ขอบ”

คุณคิดว่านี่อาจหมายถึงอะไร เราสามารถให้บริการผ่านอุปกรณ์ NAT โดยใช้การส่งต่อพอร์ตบนอุปกรณ์ NAT ด้านหน้าเซิร์ฟเวอร์ สิ่งนี้มีส่วนเกี่ยวข้องกับ IPsec หรือไม่ มีสิ่งที่ต้องทำกับ NAT-T หรือไม่? เป็นไปได้หรือไม่ที่ตัวเขียนไฟล์วิธีใช้สำหรับคุณลักษณะนี้ไม่รู้เช่นกันและสร้างบางสิ่งที่แสดงถึงความซ้ำซาก

ฉันไม่รู้ว่ามันทำอะไร แต่ถ้าฉันรู้ฉันจะต้องแน่ใจว่าได้รวมข้อมูลนี้ไว้ในบล็อกของฉัน

ฉันขอขอบคุณความซื่อสัตย์ของเขา แต่ถ้านี้ผู้ชายไม่ทราบที่ไม่ ?!

เราประสบปัญหาในการเชื่อมต่อกับ VPN ทันทีที่เครื่องอยู่ที่อีกด้านหนึ่งของเราเตอร์และฉันสงสัยว่าสิ่งนี้อาจช่วยได้หรือไม่ ดังนั้นฉันค่อนข้างกระตือรือร้นที่จะได้ยินคำอธิบายที่ถูกต้องว่า "Edge Traversal" ทำอะไร!

ดูเหมือนว่าการยื่นจดสิทธิบัตรของ Microsoftเมื่อต้นปีนี้อาจบอกคุณได้ว่าคุณต้องการรู้อะไร

จากสิ่งที่ฉันสามารถรวบรวมได้แฟล็กนี้อนุญาตให้กฎไฟร์วอลล์ใช้กับทราฟฟิกที่ถูกห่อหุ้มโดยตัวอย่างเช่นอุโมงค์ IPv6 ถึง IPv4 ที่มีต้นกำเนิดอยู่นอกขอบเขตของเครือข่าย สิทธิบัตรมักเป็นสิ่งนี้เขียนขึ้นในลักษณะทั่วไปเพื่อนำไปใช้กับโปรโตคอลการขุดอุโมงค์ชนิดต่าง ๆ จากสิ่งที่ฉันสามารถบอกได้

เพย์โหลดของทราฟฟิกที่ถูกห่อหุ้มนี้จะทึบแสงไปยังไฟร์วอลล์ใด ๆ ที่เครือข่ายที่ปลายอีกด้านของอุโมงค์ สันนิษฐานว่าแพ็กเก็ตที่ถูกห่อหุ้มเหล่านี้จะถูกส่งผ่านไปยังโฮสต์ภายในที่ไม่มีการกรองที่ปลายอีกด้านของอุโมงค์สิ้นสุดลง โฮสต์นั้นจะได้รับทราฟฟิกส่งผ่านไฟร์วอลล์ของตัวเองถอดรหัสทราฟฟิกของทราฟฟิค (หากได้รับอนุญาตจากไฟร์วอลล์ของตัวเอง) และส่งแพ็กเก็ตที่ถอดรหัสกลับไปที่ไฟร์วอลล์ เมื่อแพ็กเก็ตเดินทางผ่านไฟร์วอลล์เป็นครั้งที่สอง (หลังจาก decapsulation) จะมีการตั้งค่าบิต "แพ็คเก็ตนี้ลัดเลาะไปตามขอบเครือข่าย" ซึ่งจะมีเฉพาะกฎที่มีบิต "edge traversal" ตั้งอยู่เท่านั้น

รูปที่ 4 ของการยื่นขอรับสิทธิบัตรนั้นปรากฏขึ้นเพื่ออธิบายกระบวนการกราฟิกและส่วน "คำอธิบายโดยละเอียด" ที่เริ่มต้นในหน้า 7 อธิบายกระบวนการในรายละเอียดเฉพาะอย่างเจ็บปวด

การทำเช่นนี้เป็นการอนุญาตให้ไฟร์วอลล์บนโฮสต์มีกฎที่แตกต่างกันสำหรับทราฟฟิกที่เข้ามาผ่านอุโมงค์ผ่านไฟร์วอลล์ของเครือข่ายท้องถิ่นเมื่อเทียบกับทราฟฟิกที่เพิ่งส่งอุโมงค์โดยไม่ผ่านการเข้ารหัสโดยตรงผ่านไฟร์วอลล์ของเครือข่ายท้องถิ่น

ฉันสงสัยว่าการทำงานของ "เครื่องหมาย" iptables จะเป็นงานศิลปะก่อนสิทธิบัตรนี้หรือไม่? แน่นอนดูเหมือนว่ามันจะเป็นสิ่งที่คล้ายกันมากแม้ว่าจะเป็นแบบทั่วไปมากขึ้น (เนื่องจากคุณสามารถเขียนรหัสผู้ใช้ที่ดินเพื่อแพ็คเก็ต "ทำเครื่องหมาย" ด้วยเหตุผลใดก็ตามถ้าคุณต้องการ)

โพสต์เก่า แต่ก็ยังคุ้มที่จะเพิ่ม ดูเหมือนว่าใน Windows Server 2012 รายการนี้หมายถึง "อนุญาตให้แพ็คเก็ตจากเครือข่ายย่อยอื่น" อย่างน้อยนั่นคือพฤติกรรมที่ฉันได้สังเกต เรามีสำนักงานสองแห่งที่เชื่อมต่อกับ IPSec VPN VPN เชื่อมต่อเราเตอร์สองตัวดังนั้นเท่าที่คอมพิวเตอร์ Windows เกี่ยวข้องมันเป็นเพียงการรับส่งข้อมูลระหว่างเครือข่ายส่วนตัวสองเครือข่ายที่ต่างกัน ด้วยการตั้งค่า "Block Edge Traversal" Windows จะไม่อนุญาตการเชื่อมต่อจากซับเน็ตอื่น

การข้ามผ่านของขอบเกิดขึ้นเมื่อใดก็ตามที่คุณมีช่องสัญญาณแบบอุโมงค์ที่ไปยังเครือข่ายที่มีความปลอดภัยน้อยกว่าซึ่งจะถูกช่องสัญญาณผ่านส่วนต่อประสานอื่นที่เชื่อมต่อกับเครือข่ายที่ปลอดภัยยิ่งขึ้น ซึ่งหมายความว่าโฮสต์กำลังข้าม (tunneling over) หนึ่งในขอบเขตความปลอดภัยที่ตั้งค่าโดยผู้ดูแลระบบเครือข่ายท้องถิ่น ตัวอย่างเช่นเมื่อมีอุโมงค์ใด ๆ ไปยังอินเทอร์เน็ตผ่านทางกายภาพที่เชื่อมต่อกับเครือข่ายขององค์กรคุณมี "การข้ามผ่านขอบ"

ใน Windows 7, Teredo เทคโนโลยีการแวะผ่าน NAT ในตัวของ Microsoft สามารถกำหนดค่าให้ทำงานผ่านไฟร์วอลล์โดยใช้กฎที่ใช้ Edge Traversal ตามหลักการแล้ว NAT ของบุคคลที่สามที่ใช้เทคโนโลยีการขุดอุโมงค์สามารถทำได้เช่นกัน