题 Windows高级防火墙:“Edge Traversal”是什么意思?


这应该是一个非常简单的:

高级Windows防火墙 上 Windows Server 2008+,属性>高级,什么“边缘遍历“ 意思?

当然,我用谷歌搜索了,并且无法得出具体的答案,我特别震惊地看到以下内容 Thomas Schinder的博客

Edge遍历选项是一个   有趣的一个,因为它不是   记录得非常好。这是什么的   帮助文件说:

“边缘遍历这表明是否   边缘遍历已启用(是)或   残疾人(否)。边缘遍历时   启用,应用程序,服务或   规则适用的端口   全球可寻址和可访问   来自网络地址之外   翻译(NAT)或边缘设备。“

您认为这可能意味着什么?我们   可以提供跨越的服务   NAT设备使用端口转发   服务器前面的NAT设备。   这可能与此有关   IPsec的?它有什么可做的吗?   用NAT-T?可能是帮助   该功能的文件编写器没有   我也知道,并且做了些什么   这代表了重言式?

我不知道这是做什么的,但如果我   找出来,我一定要包括   这个信息在我的博客中。

我很欣赏他的诚实,但如果 这个 家伙 不知道,谁做的?!

当机器在路由器的另一端时,我们很难连接到VPN,我想知道这是否有帮助?因此,我非常希望能够正确地了解“Edge Traversal”的功能!


16
2017-12-01 14:47




得到这个...不允许在我的dhcp规则上进行边缘遍历破坏了dhcp。似乎微软可能试图将dhcp辅助设备中的dhcp帧分类为封装。相当一段时间。


答案:


看起来像这样 微软专利申请 从今年早些时候可能会告诉你你想知道什么。

根据我可以收集的内容,此标志允许防火墙规则应用于已由例如源自网络边界之外的IPv6到IPv4隧道封装的流量。正如我所知道的那样,这个专利通常是以适用于任何不同类型的隧道协议的通用方式编写的。

此封装流量的有效负载对隧道另一端网络上的任何防火墙都是不透明的。据推测,这些封装的数据包将被未经过滤地传递到隧道另一端终止的内部主机。该主机将接收流量,将其传递通过自己的防火墙,解封流量(如果自己的防火墙允许),并将解封装的数据包传回防火墙。当数据包第二次通过防火墙时(在解封装之后),它具有“该数据包遍历网络边缘”比特集,使得只有具有“边缘遍历”比特的规则也将应用于该分组。

该专利申请的图4似乎以图形方式描述了该过程,并且从第7页开始的“详细描述”部分以痛苦的具体细节描述了该过程。

这基本上允许基于主机的防火墙对通过本地网络的防火墙通过隧道传入的流量具有不同的规则,而不是直接通过本地网络的防火墙通过隧道发送的流量。

我想知道iptables“标记”功能是否是该专利的先前技术?它看起来确实像一个非常类似的东西,虽然是更通用的方式(因为你可以编写用户土地代码来“标记”数据包,几乎任何原因,如果你想)。


12
2017-12-01 16:03



因此,“启用”Edge Traversal会允许那些未通过防火墙发送的数据包?如果是这样,我很惊讶它默认设置为拒绝...当然大多数数据包是以这种方式发送的? (或者我在这里的理解完全错了吗?) - Django Reinhardt
@Django:边缘遍历不是拒绝/接受数据包。通过终止在主机上的隧道到达的分组将被认为是通过该主机的边缘遍历到达的。当该数据包从其隧道协议解封装时,解封装的数据包将通过防火墙规则运行,并且仅根据设置了其边缘遍历位的规则检查数据包。 - Evan Anderson
啊,我明白了。谢谢你清理它。 - Django Reinhardt
我解释为好像规则应用于解封装的数据包,并且该规则将边缘遍历位设置为允许,然后允许解封装的数据包,如果边缘遍历位设置为阻止,则解封装的数据包被阻止。如果有两个规则可以匹配解封装的数据包,那么可能会发生一些奇怪的事情,但它们在允许解封装的数据包方面有所不同。关于专利的图3是最有意义的! - CMCDragonkai


一个较旧的帖子,但仍然值得添加。似乎在Windows Server 2012中,此项仅表示“允许来自其他子网的数据包”。至少这是我观察到的行为。我们有两个办公室与IPSec VPN连接。 VPN连接两台路由器,因此就Windows计算机而言,它只是两个不同私有子网之间的流量。使用“Block Edge Traversal”设置,Windows将不允许来自其他子网的连接。


4
2017-08-29 08:23



这不是我亲身体验这种设置的经验,事实上有些文章对这种解释提出质疑。 blog.boson.com/bid/95501/... - Cameron


只要您有一个隧道接口进入安全性较低的网络,就会发生边缘遍历,该网络通过连接到更安全网络的另一个接口进行隧道传输。这意味着主机绕过(隧道传输)本地网络管理员设置的安全边界之一。例如,通过连接到公司网络的物理接口连接到Internet的任何隧道,您都有“边缘遍历”。

在Windows 7中,Microsoft的内置NAT遍历技术Teredo可以配置为使用利用Edge Traversal的规则在防火墙中工作。原则上,第三方NAT遍历隧道技术也可以这样做。


2
2018-06-14 06:25



请注意,如果隧道终止于外部设备而不是Windows主机,则Windows防火墙可能看不到边缘遍历。在我们的情况下,使用思科SSL VPN和类似客户端的路径 - 互联网 - VPN设备 - 企业网 - Windows主机,“阻止边缘遍历”设置不会阻止否则允许的TCP流量。 - Paul