นี่ควรจะเป็นเรื่องง่ายจริงๆ:

ในAdvanced Windows FirewallบนWindows Server 2008+ , Properties > Advanced " Edge Traversal " หมายถึงอะไร

แน่นอนฉัน Googled และไม่สามารถหาคำตอบที่เป็นรูปธรรมได้และฉันรู้สึกตกใจเป็นพิเศษเมื่อเห็นสิ่งต่อไปนี้ในบล็อกของ Thomas Schinder :

The Edge traversal option is an interesting one, because it’s not documented very well. Here’s what the Help file says:

“Edge traversal This indicates whether edge traversal is enabled (Yes) or disabled (No). When edge traversal is enabled, the application, service, or port to which the rule applies is globally addressable and accessible from outside a network address translation (NAT) or edge device.”

What do you think this might mean? We can make services available across a NAT device by using port forwarding on the NAT device in front of the server. Could this have something to do with IPsec? Could it have something to do with NAT-T? Could it be that the Help file writer for this feature didn’t know either, and made something up that represented a tautology?

I don’t know what this does, but if I find out, I’ll make sure to include this information in my blog.

ฉันขอขอบคุณความซื่อสัตย์ของเขา แต่ถ้านี้ผู้ชายไม่ทราบที่ไม่ ?!

เรากำลังประสบปัญหาในการเชื่อมต่อกับ VPN ทันทีที่เครื่องอยู่อีกด้านหนึ่งของเราเตอร์ และฉันสงสัยว่าสิ่งนี้จะช่วยได้หรือไม่ ดังนั้นฉันจึงอยากได้ยินคำอธิบายที่ถูกต้องว่า "Edge Traversal" ทำอะไรได้บ้าง!

answer

ดูเหมือนว่าการยื่นจดสิทธิบัตรของ Microsoftเมื่อต้นปีนี้อาจบอกคุณได้ว่าคุณอยากรู้อะไร

จากสิ่งที่ฉันรวบรวมได้ แฟล็กนี้อนุญาตให้กฎไฟร์วอลล์นำไปใช้กับทราฟฟิกที่ถูกห่อหุ้มด้วย ตัวอย่างเช่น อุโมงค์ข้อมูล IPv6 ถึง IPv4 ที่มีต้นทางนอกขอบเขตของเครือข่าย สิทธิบัตรมักจะเขียนในลักษณะทั่วไปที่ใช้กับโปรโตคอลทันเนลประเภทต่าง ๆ จากสิ่งที่ฉันสามารถบอกได้

เพย์โหลดของทราฟฟิกที่ถูกห่อหุ้มนี้จะทึบแสงกับไฟร์วอลล์ใดๆ ที่เครือข่ายที่ปลายอีกด้านของอุโมงค์ สันนิษฐานได้ว่าแพ็กเก็ตที่ถูกห่อหุ้มเหล่านี้จะถูกส่งผ่านแบบไม่กรองไปยังโฮสต์ภายในโดยที่ปลายอีกด้านหนึ่งของอุโมงค์ข้อมูลสิ้นสุดลง โฮสต์นั้นจะได้รับการรับส่งข้อมูล ส่งผ่านไฟร์วอลล์ของตัวเอง แยกการรับส่งข้อมูล (หากอนุญาตโดยไฟร์วอลล์ของตัวเอง) และส่งแพ็กเก็ตที่แยกส่วนกลับมายังไฟร์วอลล์ เมื่อแพ็กเก็ตเดินทางผ่านไฟร์วอลล์เป็นครั้งที่สอง (หลังจากการแยกแคปซูลออก) แพ็กเก็ตจะมีการตั้งค่าบิต "แพ็กเก็ตนี้ข้ามผ่านขอบเครือข่าย" ซึ่งกำหนดให้เฉพาะกฎที่มีบิต "การข้ามผ่านขอบ" ตั้งค่าไว้เท่านั้นที่จะนำไปใช้กับแพ็กเก็ต

รูปที่ 4 ของคำขอรับสิทธิบัตรนั้นดูเหมือนจะอธิบายกระบวนการเป็นภาพกราฟิก และส่วน "คำอธิบายโดยละเอียด" ที่เริ่มต้นในหน้า 7 อธิบายกระบวนการในรายละเอียดที่เฉพาะเจาะจงอย่างเจ็บปวด

โดยพื้นฐานแล้วอนุญาตให้ไฟร์วอลล์ที่ใช้โฮสต์มีกฎที่แตกต่างกันสำหรับการรับส่งข้อมูลที่เข้ามาทางอุโมงค์ผ่านไฟร์วอลล์ของเครือข่ายท้องถิ่น ตรงข้ามกับการรับส่งข้อมูลที่เพิ่งส่งโดยไม่ได้ห่อหุ้มโดยอุโมงค์โดยตรงผ่านไฟร์วอลล์ของเครือข่ายท้องถิ่น

ฉันสงสัยว่าฟังก์ชัน "mark" ของ iptables จะเป็นผลงานก่อนหน้าของสิทธิบัตรนี้หรือไม่? ดูเหมือนว่าจะทำสิ่งที่คล้ายคลึงกันแม้ว่าจะเป็นแบบทั่วไปมากขึ้น (เนื่องจากคุณสามารถเขียนรหัสผู้ใช้ที่ดินเพื่อ "ทำเครื่องหมาย" แพ็กเก็ตด้วยเหตุผลใดก็ได้หากคุณต้องการ )

โพสต์เก่า แต่ก็ยังคุ้มค่าที่จะเพิ่ม ดูเหมือนว่าใน Windows Server 2012 รายการนี้หมายถึง "อนุญาตแพ็กเก็ตจากเครือข่ายย่อยอื่น" อย่างน้อยนั่นคือพฤติกรรมที่ฉันสังเกตเห็น เรามีสำนักงานสองแห่งที่เชื่อมต่อกับ IPSec VPN VPN เชื่อมต่อเราเตอร์ทั้งสองตัว เท่าที่คอมพิวเตอร์ Windows เกี่ยวข้อง มันเป็นเพียงการรับส่งข้อมูลระหว่างเครือข่ายย่อยส่วนตัวที่แตกต่างกันสองเครือข่าย ด้วยการตั้งค่า "Block Edge Traversal" Windows จะไม่อนุญาตให้มีการเชื่อมต่อจากซับเน็ตอื่น

Edge Traversal เกิดขึ้นเมื่อใดก็ตามที่คุณมีอินเทอร์เฟซทันเนลที่ไปยังเครือข่ายที่มีความปลอดภัยน้อยกว่า ซึ่งถูกเชื่อมต่อผ่านอินเทอร์เฟสอื่นที่เชื่อมต่อกับเครือข่ายที่ปลอดภัยกว่า ซึ่งหมายความว่าโฮสต์กำลังข้าม (อุโมงค์ข้าม) หนึ่งในขอบเขตความปลอดภัยที่ผู้ดูแลระบบเครือข่ายท้องถิ่นกำหนด ตัวอย่างเช่น เมื่อมีอุโมงค์ข้อมูลใด ๆ ไปยังอินเทอร์เน็ตผ่านอินเทอร์เฟซทางกายภาพที่เชื่อมต่อกับเครือข่ายขององค์กร คุณมี "การข้ามผ่านขอบ"

ใน Windows 7 Teredo ซึ่งเป็นเทคโนโลยี NAT traversal ในตัวของ Microsoft สามารถกำหนดค่าให้ทำงานผ่านไฟร์วอลล์ได้โดยใช้กฎที่ใช้ประโยชน์จาก Edge Traversal โดยหลักการแล้ว NAT ของบุคคลที่สามที่ข้ามผ่านเทคโนโลยีการขุดอุโมงค์ก็สามารถทำได้เช่นกัน

ตัวเลือก Edge Traversal จะควบคุมว่าจะอนุญาตการรับส่งข้อมูลที่ไม่พึงประสงค์จาก Teredo (และอาจเป็นซอฟต์แวร์ช่องสัญญาณอื่นๆ) หรือไม่ เอกสารประกอบสำหรับตัวเลือกซ็อกเก็ต IPV6_PROTECTION_LEVEL อธิบายสิ่งนี้: https://docs.microsoft.com/en-us/windows/win32/winsock/ipv6-protection-level