Tường lửa nâng cao của Windows: Cái gì mà Edge Edge Traversal có nghĩa là gì?

đây phải là một điều thực sự đơn giản:

Trong Tường lửa Windows nâng cao trên Windows Server 2008+ , Properties> Advanced, " Edge Traversal " nghĩa là gì?

Dĩ nhiên, tôi đã tìm ra nó và không thể đưa ra câu trả lời cụ thể, và tôi đã rất sốc khi thấy những điều sau trên blog của Thomas Schinder :

Tùy chọn truyền tải Edge là một lựa chọn thú vị, vì nó không được ghi chép tốt lắm. Đây là những gì tập tin trợ giúp nói:

Truyền tải cạnh Edge Điều này cho biết liệu truyền tải cạnh được bật (Có) hay bị vô hiệu hóa (Không). Khi tính năng truyền tải cạnh được bật, ứng dụng, dịch vụ hoặc cổng mà quy tắc được áp dụng có thể truy cập toàn cầu và có thể truy cập từ bên ngoài bản dịch địa chỉ mạng (NAT) hoặc thiết bị cạnh.

Bạn nghĩ điều này có nghĩa là gì? Chúng tôi có thể cung cấp dịch vụ trên một thiết bị NAT bằng cách sử dụng chuyển tiếp cổng trên thiết bị NAT trước máy chủ. Điều này có thể có liên quan đến IPsec? Nó có liên quan gì đến NAT-T không? Có thể là người viết tệp Trợ giúp cho tính năng này cũng không biết và đã tạo ra thứ gì đó đại diện cho một tautology?

Tôi không biết điều này làm gì, nhưng nếu tôi tìm ra, tôi sẽ đảm bảo đưa thông tin này vào blog của mình.

Tôi đánh giá cao sự trung thực của mình, nhưng nếu này anh chàng không biết, ai làm ?!

Chúng tôi gặp khó khăn khi kết nối với VPN ngay khi máy ở phía bên kia của bộ định tuyến và tôi tự hỏi liệu điều này có giúp ích gì không? Vì vậy, tôi rất muốn nghe một mô tả thích hợp về những gì "Edge Traversal" làm!

Có vẻ như việc nộp bằng sáng chế của Microsoft từ đầu năm nay có thể cho bạn biết những gì bạn muốn biết.

Từ những gì tôi có thể thu thập, cờ này cho phép các quy tắc tường lửa áp dụng cho lưu lượng đã được gói gọn bởi, ví dụ, đường hầm IPv6 sang IPv4 có nguồn gốc bên ngoài biên giới của mạng. Như các bằng sáng chế thường là, cái này được viết theo cách chung chung để áp dụng cho bất kỳ loại giao thức đường hầm khác nhau, từ những gì tôi có thể nói.

Tải trọng của lưu lượng được đóng gói này sẽ mờ đục đối với bất kỳ tường lửa nào ở mạng ở đầu kia của đường hầm. Có lẽ, các gói được đóng gói này sẽ được chuyển qua không được lọc đến máy chủ nội bộ nơi đầu kia của đường hầm kết thúc. Máy chủ đó sẽ nhận lưu lượng, chuyển qua tường lửa của chính nó, giải mã lưu lượng (nếu được tường lửa của chính nó cho phép) và chuyển các gói được giải mã trở lại tường lửa của nó. Khi gói đi qua tường lửa lần thứ hai (sau khi giải mã), nó có một bit "gói này đi qua cạnh mạng" để chỉ các quy tắc với bit "traverseal" cũng được áp dụng cho gói.

Hình 4 của ứng dụng bằng sáng chế đó xuất hiện để mô tả quy trình bằng đồ họa và phần "Mô tả chi tiết" bắt đầu trên trang 7 mô tả quy trình một cách chi tiết cụ thể.

Điều này về cơ bản cho phép tường lửa dựa trên máy chủ có các quy tắc khác nhau đối với lưu lượng truy cập thông qua một đường hầm thông qua tường lửa của mạng cục bộ, trái ngược với lưu lượng truy cập vừa được gửi bởi một đường hầm trực tiếp qua tường lửa của mạng cục bộ.

Tôi tự hỏi nếu chức năng "đánh dấu" iptables sẽ là nghệ thuật trước bằng sáng chế này? Nó chắc chắn có vẻ như là một điều rất giống nhau, mặc dù theo kiểu thậm chí còn chung chung hơn (vì bạn có thể viết mã đất người dùng để "đánh dấu" các gói cho hầu hết mọi lý do nếu bạn muốn).

Một bài viết cũ hơn, nhưng vẫn còn giá trị để thêm vào. Có vẻ như trong Windows Server 2012, mục này chỉ đơn giản là "cho phép các gói từ các mạng con khác". Ít nhất đó là hành vi tôi đã quan sát. Chúng tôi có hai văn phòng được kết nối với VPN IPSec. VPN kết nối hai bộ định tuyến, theo như các máy tính Windows có liên quan, nó chỉ đơn giản là lưu lượng giữa hai mạng con riêng tư khác nhau. Với cài đặt "Block Edge Traversal", Windows sẽ không cho phép kết nối từ mạng con khác.

Truyền tải cạnh xảy ra bất cứ khi nào bạn có giao diện đường hầm đi đến một mạng kém an toàn hơn, được truyền qua một giao diện khác được gắn vào một mạng an toàn hơn. Điều này có nghĩa là máy chủ lưu trữ đang bỏ qua (đường hầm) một trong những ranh giới bảo mật được thiết lập bởi quản trị viên mạng cục bộ. Ví dụ, với bất kỳ đường hầm nào tới Internet qua giao diện vật lý được gắn vào mạng công ty, bạn có đường biên ngang góc cạnh.

Trong Windows 7, công nghệ truyền tải NAT tích hợp của Microsoft, Teredo, có thể được cấu hình để hoạt động thông qua tường lửa bằng cách sử dụng các quy tắc sử dụng Edge Traversal. Về nguyên tắc, các công nghệ đào hầm NAT của bên thứ 3 cũng có thể làm như vậy.