Firewall Avançado do Windows: O que significa “Edge Traversal”?

17

isso deve ser realmente simples:

No Firewall avançado do Windows no Windows Server 2008 + , Propriedades > Avançado, o que significa " Edge Traversal "?

Eu pesquisei no Google, é claro, e não consegui chegar a uma resposta concreta, e fiquei especialmente chocado ao ver o seguinte em Blog do Thomas Schinder :

The Edge traversal option is an interesting one, because it’s not documented very well. Here’s what the Help file says:

“Edge traversal This indicates whether edge traversal is enabled (Yes) or disabled (No). When edge traversal is enabled, the application, service, or port to which the rule applies is globally addressable and accessible from outside a network address translation (NAT) or edge device.”

What do you think this might mean? We can make services available across a NAT device by using port forwarding on the NAT device in front of the server. Could this have something to do with IPsec? Could it have something to do with NAT-T? Could it be that the Help file writer for this feature didn’t know either, and made something up that represented a tautology?

I don’t know what this does, but if I find out, I’ll make sure to include this information in my blog.

Eu aprecio sua honestidade, mas se esse cara não sabe, quem faz?!

Estamos com dificuldades para nos conectar a uma VPN assim que a máquina estiver do outro lado de um roteador, e eu queria saber se isso pode ajudar? Então, estou muito interessado em ouvir uma descrição adequada do que "Edge Traversal" faz!

    
por Django Reinhardt 01.12.2009 / 15:47

3 respostas

12

Parece que este arquivamento de patentes da Microsoft do começo deste ano pode informar o que você deseja saber.

Pelo que consigo reunir, esse sinalizador permite que as regras de firewall se apliquem ao tráfego que foi encapsulado, por exemplo, por um túnel IPv6 para IPv4 originado fora da borda da rede. Como as patentes costumam ser, esta é escrita de uma maneira tão genérica que se aplica a qualquer tipo diferente de protocolo de tunelamento, pelo que eu posso dizer.

A carga útil desse tráfego encapsulado seria opaca para qualquer firewall na rede na outra extremidade do túnel. Presumivelmente, esses pacotes encapsulados seriam passados através de não filtrados para o host interno, onde a outra extremidade do túnel terminava. Esse host receberia o tráfego, passaria por seu próprio firewall, decapsularia o tráfego (se permitido por seu próprio firewall) e passaria os pacotes decapsulados de volta ao seu firewall. Quando o pacote viaja pelo firewall pela segunda vez (após o decapsulamento), ele tem um conjunto de bits "este pacote percorreu a borda da rede" de tal forma que somente as regras com o bit "transversal de travessia" também serão aplicadas ao pacote.

A Figura 4 desse pedido de patente parece descrever graficamente o processo, e a seção "Descrições Detalhadas", que começa na página 7, descreve o processo com detalhes dolorosamente específicos.

Isso basicamente permite que um firewall baseado em host tenha regras diferentes para o tráfego que veio através de um túnel através do firewall da rede local, em oposição ao tráfego que foi enviado sem encapsulamento por um túnel diretamente através do firewall da rede local. p>

Gostaria de saber se a funcionalidade "marca" do iptables seria a arte anterior a esta patente? Certamente parece que faz uma coisa muito similar, embora de uma maneira ainda mais genérica (já que você pode escrever código de usuário para "marcar" pacotes virtualmente por qualquer razão, se você quiser).

    
por 01.12.2009 / 17:03
4

Uma postagem mais antiga, mas ainda vale a pena adicionar. Parece que no Windows Server 2012, este item significa simplesmente "permitir pacotes de outras sub-redes". Pelo menos esse é o comportamento que observei. Temos dois escritórios conectados a uma VPN IPSec. A VPN conecta os dois roteadores, portanto, no que diz respeito aos computadores Windows, trata-se simplesmente de tráfego entre duas sub-redes privadas diferentes. Com a configuração "Block Edge Traversal", o Windows não permitirá conexões da outra sub-rede.

    
por 29.08.2014 / 10:23
2

O percurso de borda ocorre sempre que você tem uma interface de túnel que vai para uma rede menos segura, que é encapsulada por outra interface conectada a uma rede mais segura. Isso significa que o host está ignorando (encapsulando) um dos limites de segurança configurados pelo administrador da rede local. Por exemplo, com qualquer túnel para a Internet em uma interface física conectada à rede corporativa, você tem "passagem de borda".

No Windows 7, a tecnologia de passagem NAT incorporada da Microsoft, Teredo, pode ser configurada para funcionar através do firewall usando regras que fazem uso do Edge Traversal. Em princípio, as tecnologias NAT de passagem de tunelamento de terceiros também poderiam fazê-lo.

    
por 14.06.2012 / 08:25