Tường lửa nâng cao của Windows: Cái gì mà Edge Edge Traversal có nghĩa là gì?


21

đây phải là một điều thực sự đơn giản:

Trong Tường lửa Windows nâng cao trên Windows Server 2008+ , Properties> Advanced, " Edge Traversal " nghĩa là gì?

Dĩ nhiên, tôi đã tìm ra nó và không thể đưa ra câu trả lời cụ thể, và tôi đã rất sốc khi thấy những điều sau trên blog của Thomas Schinder :

Tùy chọn truyền tải Edge là một lựa chọn thú vị, vì nó không được ghi chép tốt lắm. Đây là những gì tập tin trợ giúp nói:

Truyền tải cạnh Edge Điều này cho biết liệu truyền tải cạnh được bật (Có) hay bị vô hiệu hóa (Không). Khi tính năng truyền tải cạnh được bật, ứng dụng, dịch vụ hoặc cổng mà quy tắc được áp dụng có thể truy cập toàn cầu và có thể truy cập từ bên ngoài bản dịch địa chỉ mạng (NAT) hoặc thiết bị cạnh.

Bạn nghĩ điều này có nghĩa là gì? Chúng tôi có thể cung cấp dịch vụ trên một thiết bị NAT bằng cách sử dụng chuyển tiếp cổng trên thiết bị NAT trước máy chủ. Điều này có thể có liên quan đến IPsec? Nó có liên quan gì đến NAT-T không? Có thể là người viết tệp Trợ giúp cho tính năng này cũng không biết và đã tạo ra thứ gì đó đại diện cho một tautology?

Tôi không biết điều này làm gì, nhưng nếu tôi tìm ra, tôi sẽ đảm bảo đưa thông tin này vào blog của mình.

Tôi đánh giá cao sự trung thực của mình, nhưng nếu này anh chàng không biết, ai làm ?!

Chúng tôi gặp khó khăn khi kết nối với VPN ngay khi máy ở phía bên kia của bộ định tuyến và tôi tự hỏi liệu điều này có giúp ích gì không? Vì vậy, tôi rất muốn nghe một mô tả thích hợp về những gì "Edge Traversal" làm!


Có được điều này ... không cho phép truyền tải cạnh trên quy tắc dhcp của tôi đã phá vỡ dhcp. Có vẻ như microsoft có thể đang cố gắng phân loại các khung dhcp từ thiết bị trợ giúp dhcp như được gói gọn. Khá căng.

Câu trả lời:


14

Có vẻ như việc nộp bằng sáng chế của Microsoft từ đầu năm nay có thể cho bạn biết những gì bạn muốn biết.

Từ những gì tôi có thể thu thập, cờ này cho phép các quy tắc tường lửa áp dụng cho lưu lượng đã được gói gọn bởi, ví dụ, đường hầm IPv6 sang IPv4 có nguồn gốc bên ngoài biên giới của mạng. Như các bằng sáng chế thường là, cái này được viết theo cách chung chung để áp dụng cho bất kỳ loại giao thức đường hầm khác nhau, từ những gì tôi có thể nói.

Tải trọng của lưu lượng được đóng gói này sẽ mờ đục đối với bất kỳ tường lửa nào ở mạng ở đầu kia của đường hầm. Có lẽ, các gói được đóng gói này sẽ được chuyển qua không được lọc đến máy chủ nội bộ nơi đầu kia của đường hầm kết thúc. Máy chủ đó sẽ nhận lưu lượng, chuyển qua tường lửa của chính nó, giải mã lưu lượng (nếu được tường lửa của chính nó cho phép) và chuyển các gói được giải mã trở lại tường lửa của nó. Khi gói đi qua tường lửa lần thứ hai (sau khi giải mã), nó có một bit "gói này đi qua cạnh mạng" để chỉ các quy tắc với bit "traverseal" cũng được áp dụng cho gói.

Hình 4 của ứng dụng bằng sáng chế đó xuất hiện để mô tả quy trình bằng đồ họa và phần "Mô tả chi tiết" bắt đầu trên trang 7 mô tả quy trình một cách chi tiết cụ thể.

Điều này về cơ bản cho phép tường lửa dựa trên máy chủ có các quy tắc khác nhau đối với lưu lượng truy cập thông qua một đường hầm thông qua tường lửa của mạng cục bộ, trái ngược với lưu lượng truy cập vừa được gửi bởi một đường hầm trực tiếp qua tường lửa của mạng cục bộ.

Tôi tự hỏi nếu chức năng "đánh dấu" iptables sẽ là nghệ thuật trước bằng sáng chế này? Nó chắc chắn có vẻ như là một điều rất giống nhau, mặc dù theo kiểu thậm chí còn chung chung hơn (vì bạn có thể viết mã đất người dùng để "đánh dấu" các gói cho hầu hết mọi lý do nếu bạn muốn).


Vì vậy, "kích hoạt" Edge Traversal sẽ cho phép những gói được gửi không được bao bọc thông qua tường lửa? Nếu vậy, tôi ngạc nhiên rằng nó được đặt thành Từ chối theo mặc định ... chắc chắn hầu hết các gói được gửi theo cách đó? (Hay tôi hoàn toàn sai trong cách hiểu của tôi ở đây?)
Django Reinhardt

5
@Django: Truyền tải cạnh không phải là về việc từ chối / chấp nhận các gói. Một gói đến qua một đường hầm kết thúc trên máy chủ sẽ được coi là đã đến qua giao dịch cạnh của máy chủ đó. Khi gói đó được giải mã từ giao thức đường hầm của nó, gói được giải mã sẽ được chạy thông qua các quy tắc tường lửa và gói sẽ chỉ được kiểm tra theo các quy tắc có bit truyền tải cạnh của chúng.
Evan Anderson

Tôi giải thích rằng như thể một quy tắc được áp dụng cho gói giải mã và quy tắc đó có bit truyền tải cạnh được đặt thành cho phép, thì gói giải mã được cho phép, nếu bit truyền tải cạnh được đặt thành chặn, thì gói giải mã bị chặn. Một cái gì đó kỳ lạ có thể xảy ra nếu có 2 quy tắc mỗi quy tắc có thể khớp với gói được giải mã, nhưng chúng khác nhau về việc cho phép các gói được giải mã. Hình 3 về bằng sáng chế là những gì có ý nghĩa nhất!
CMCDragonkai

4

Một bài viết cũ hơn, nhưng vẫn còn giá trị để thêm vào. Có vẻ như trong Windows Server 2012, mục này chỉ đơn giản là "cho phép các gói từ các mạng con khác". Ít nhất đó là hành vi tôi đã quan sát. Chúng tôi có hai văn phòng được kết nối với VPN IPSec. VPN kết nối hai bộ định tuyến, theo như các máy tính Windows có liên quan, nó chỉ đơn giản là lưu lượng giữa hai mạng con riêng tư khác nhau. Với cài đặt "Block Edge Traversal", Windows sẽ không cho phép kết nối từ mạng con khác.


2
Đây không phải là kinh nghiệm của tôi khi thử nghiệm thực hành cài đặt này và trên thực tế có những bài viết tranh chấp cách giải thích này. blog.boson.com/bid/95501/
Cameron

2

Truyền tải cạnh xảy ra bất cứ khi nào bạn có giao diện đường hầm đi đến một mạng kém an toàn hơn, được truyền qua một giao diện khác được gắn vào một mạng an toàn hơn. Điều này có nghĩa là máy chủ lưu trữ đang bỏ qua (đường hầm) một trong những ranh giới bảo mật được thiết lập bởi quản trị viên mạng cục bộ. Ví dụ, với bất kỳ đường hầm nào tới Internet qua giao diện vật lý được gắn vào mạng công ty, bạn có đường biên ngang góc cạnh.

Trong Windows 7, công nghệ truyền tải NAT tích hợp của Microsoft, Teredo, có thể được cấu hình để hoạt động thông qua tường lửa bằng cách sử dụng các quy tắc sử dụng Edge Traversal. Về nguyên tắc, các công nghệ đào hầm NAT của bên thứ 3 cũng có thể làm như vậy.


1
Lưu ý rằng nếu đường hầm chấm dứt trên một thiết bị bên ngoài thay vì máy chủ Windows, tường lửa Windows có thể không nhìn thấy đường biên. Trong trường hợp của chúng tôi với Cisco SSL VPN và một đường dẫn như máy khách - Internet - Thiết bị VPN - mạng công ty - máy chủ Windows, cài đặt "Truyền tải cạnh khối" KHÔNG chặn lưu lượng TCP được cho phép.
Paul
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.