Windows Gelişmiş Güvenlik Duvarı: “Edge Traversal” ne demektir?

bu gerçekten basit olmalı:

In Gelişmiş Windows Güvenlik Duvarı üzerinde Windows Server 2008+ "ne işe yaradığı Özellikleri> Gelişmiş, Kenar Geçişi " demek?

Tabii ki Google'ı aradım ve somut bir cevap bulamadım ve özellikle Thomas Schinder'ın blogunda aşağıdakileri görmekten şok oldum :

Edge traversal seçeneği ilginç bir seçenektir, çünkü çok iyi belgelenmemiştir. Yardım dosyasının söyledikleri:

“Kenar geçişi Bu, kenar geçişinin etkin (Evet) veya devre dışı (Hayır) olduğunu gösterir. Kenar geçişi etkinleştirildiğinde, kuralın uygulandığı uygulama, hizmet veya bağlantı noktası genel olarak adreslenebilir ve bir ağ adresi çevirisi (NAT) veya kenar aygıtının dışından erişilebilir. ”

Bunun ne anlama geldiğini düşünüyorsun? Sunucunun önündeki NAT aygıtında bağlantı noktası yönlendirme kullanarak bir NAT aygıtında hizmetler sunabiliriz. Bunun IPsec ile bir ilgisi olabilir mi? NAT-T ile bir ilgisi olabilir mi? Bu özellik için Yardım dosyası yazarı da bilmiyor olabilir ve bir totolojiyi temsil eden bir şey yapabilir mi?

Bunun ne yaptığını bilmiyorum, ancak öğrenirsem, bu bilgileri bloguma eklediğimden emin olacağım.

Dürüstlüğünü takdir ediyorum, ama bu adam bilmiyorsa, kim bilir ?!

Makine bir yönlendiricinin diğer tarafındayken bir VPN'ye bağlanmakta zorluk yaşıyoruz ve bunun yardımcı olup olmayacağını merak ediyordum? Bu yüzden "Edge Traversal" 'in ne yaptığının doğru bir tanımını duymaya çok hevesliyim!

Bu şuna benzer , Microsoft patent başvuru bilmek istediğini söyleyebilir Bu yılın önceki.

Toplayabildiğim kadarıyla, bu bayrak, güvenlik duvarı kurallarının, örneğin ağ sınırının dışından kaynaklanan bir IPv6 - IPv4 tüneli tarafından kapsüllenmiş trafiğe uygulanmasına izin verir. Patentler sıklıkla olduğu gibi, bu, söyleyebileceğimden farklı herhangi bir tünel protokolüne uygulanacak şekilde genel bir şekilde yazılmıştır.

Bu kapsüllenmiş trafiğin yükü, tünelin diğer ucundaki ağdaki herhangi bir güvenlik duvarına opak olacaktır. Muhtemelen, bu kapsüllenmiş paketler, filtrelenmemiş içinden tünelin diğer ucunun sonlandığı dahili ana bilgisayara geçirilecektir. Bu ana bilgisayar trafiği alır, kendi güvenlik duvarından geçirir, trafiği açar (kendi güvenlik duvarının izin verdiği takdirde) ve kesilen paketleri güvenlik duvarından geçirir. Paket güvenlik duvarından ikinci kez (dekapülasyondan sonra) geçtiği zaman, pakete yalnızca "kenar geçişi" bitine sahip kurallar da geçerli olacak şekilde "bu paket ağın kenarından geçti" bit kümesine sahiptir.

Bu patent başvurusunun Şekil 4, işlemi grafik olarak açıklamaktadır ve sayfa 7'de başlayan "Ayrıntılı Açıklamalar" bölümü, işlemi ağrılı bir şekilde ayrıntılı olarak açıklamaktadır.

Bu temelde, ana bilgisayar tabanlı bir güvenlik duvarının, yerel ağın güvenlik duvarı üzerinden doğrudan bir tünel tarafından kapsüllenmemiş gönderilen trafiğin aksine, yerel ağın güvenlik duvarı üzerinden bir tünel üzerinden gelen trafik için farklı kurallara sahip olmasına izin verir.

Ben iptables "mark" işlevselliğinin bu patent önceki teknik olup olmadığını merak ediyorum? Kesinlikle çok daha genel bir tarzda da olsa çok benzer bir şey yapıyor gibi görünüyor (çünkü isterseniz neredeyse her nedenden dolayı paketleri "işaretlemek" için kullanıcı-toprak kodu yazabilirsiniz).

Eski bir gönderi, ama yine de eklemeye değer. Windows Server 2012'de bu öğenin "diğer alt ağlardan gelen paketlere izin ver" anlamına geldiği anlaşılmaktadır. En azından gözlemlediğim davranış bu. Bir IPSec VPN ile bağlı iki ofisimiz var. VPN iki yönlendiriciyi birbirine bağlar, bu nedenle Windows bilgisayarları söz konusu olduğunda, iki farklı özel alt ağ arasındaki trafiktir. "Blok Kenarı Geçişi" ayarıyla Windows diğer alt ağlardan bağlantılara izin vermez.

Kenar geçişi, daha güvenli bir ağa bağlı olan ve daha güvenli bir ağa bağlı başka bir arabirime tünellenen bir tünel arabiriminiz olduğunda oluşur. Bu, ana bilgisayarın yerel ağ yöneticisi tarafından belirlenen güvenlik sınırlarından birini atladığı (tünel oluşturduğu) anlamına gelir. Örneğin, kurumsal ağa bağlı fiziksel bir arabirim üzerinden Internet'e yapılan herhangi bir tünelde “kenar geçişi” vardır.

Windows 7'de, Microsoft'un yerleşik NAT geçiş teknolojisi Teredo, Edge Traversal kullanan kurallar kullanılarak güvenlik duvarı üzerinden çalışacak şekilde yapılandırılabilir. Prensip olarak, 3. taraf NAT çaprazlama tünelleme teknolojileri de bunu yapabilir.