Windows Advanced Firewall : "Edge Traversal"은 무엇을 의미합니까?


21

이것은 정말 간단한 것이어야합니다 :

에서 고급 Windows 방화벽윈도우 서버 2008+ "무엇을, 속성> 고급, 에지 통과를 "평균?

나는 물론 그것을 구글 검색하고 구체적인 답변을 얻을 수 없었으며, 특히 Thomas Schinder의 블로그 에서 다음을 볼 때 충격을 받았습니다 .

Edge traversal 옵션은 매우 잘 설명되어 있지 않기 때문에 흥미로운 옵션입니다. 도움말 파일의 내용은 다음과 같습니다.

“가장자리 순회 이것은 가장자리 순회가 활성화되어 있는지 (Yes) 또는 비활성화되어 있는지 (No)를 나타냅니다. Edge traversal을 활성화하면 규칙이 적용되는 응용 프로그램, 서비스 또는 포트를 전체적으로 주소 지정하고 NAT (Network Address Translation) 또는 Edge 장치 외부에서 액세스 할 수 있습니다.”

이것이 무엇을 의미한다고 생각합니까? 서버 앞의 NAT 장치에서 포트 전달을 사용하여 NAT 장치에서 서비스를 사용할 수 있습니다. 이것이 IPsec과 관련이있을 수 있습니까? NAT-T와 관련이있을 수 있습니까? 이 기능에 대한 도움말 파일 작성자도 알지 못하고 팽팽하게 표현 된 것을 만들었을 수 있습니까?

나는 이것이 무엇을하는지 모르지만, 알아 내면이 정보를 내 블로그에 포함시킬 것입니다.

그의 정직함에 감사하지만 사람을 모른다면 누가 알겠습니까?!

머신이 라우터의 다른쪽에있는 즉시 VPN에 연결하는 데 어려움이 있으며 이것이 도움이 될지 궁금합니다. "Edge Traversal"의 기능에 대한 적절한 설명을 듣고 싶습니다.


이것을 얻으십시오 ... 내 dhcp 규칙에서 엣지 통과를 허용하지 않으면 dhcp가 끊어졌습니다. Microsoft가 dhcp 도우미 장비의 dhcp 프레임을 캡슐화 된 것으로 분류하려고 할 것 같습니다. 꽤 스트레칭입니다.

답변:


14

그것은 다음과 같습니다 마이크로 소프트의 특허 출원 당신이 알고 싶은 당신에게 말할 수도 올해 초부터.

내가 수집 할 수있는 것에서이 플래그는 방화벽 규칙이 네트워크 경계 외부에서 시작된 IPv6에서 IPv4 터널과 같은 캡슐화 된 트래픽에 적용되도록합니다. 특허가 종종 그렇듯이, 이것은 제가 알 수있는 것으로부터 다른 유형의 터널링 프로토콜에 적용되는 일반적인 방식으로 작성되었습니다.

이 캡슐화 된 트래픽의 페이로드는 터널의 다른 쪽 끝에있는 네트워크의 모든 방화벽에 대해 불투명합니다. 아마도이 캡슐화 된 패킷은 필터링되지 않은 채 통과되어 터널의 다른 쪽 끝이 종료 된 내부 호스트로 전달 될 것입니다. 해당 호스트는 트래픽을 수신하고 자체 방화벽을 통과하여 트래픽을 캡슐화 해제하고 (자체 방화벽에서 허용하는 경우) 캡슐화 된 패킷을 방화벽으로 다시 전달합니다. 패킷이 방화벽을 통해 두 번째로 (캡슐 제거 후) 이동할 때, "이 패킷은 네트워크 에지를 통과했습니다"비트 세트를 가지며 "가장자리 통과"비트가 설정된 규칙 만 패킷에 적용됩니다.

이 특허 출원의 그림 4는 프로세스를 그래픽으로 설명하는 것으로 보이며, 7 페이지에서 시작하는 "상세 설명"섹션은 프로세스를 매우 구체적으로 설명합니다.

이는 기본적으로 로컬 네트워크의 방화벽을 통해 터널로 캡슐화되지 않은 트래픽이 아닌 호스트 기반 방화벽이 로컬 네트워크의 방화벽을 통해 터널을 통해 들어오는 트래픽에 대해 다른 규칙을 갖도록 허용합니다.

iptables "mark"기능이이 특허의 선행 기술인지 궁금합니다. 비록 훨씬 일반적인 방식이지만, 비록 당신이 원한다면 사실상 어떤 이유로 든 패킷을 "마킹"하기 위해 사용자-랜드 코드를 작성할 수 있기는하지만, 그것은 매우 유사한 일을하는 것처럼 보입니다.


따라서 Edge Traversal을 "활성화"하면 해당 패킷이 방화벽을 통해 캡슐화되지 않은 상태로 전송 될 수 있습니까? 그렇다면 기본적으로 거부로 설정되어 있다는 사실에 놀랐습니다. 대부분의 패킷이 그런 식으로 전송됩니까? (또는 내가 여기서 이해하는 것이 완전히 잘못 되었습니까?)
Django Reinhardt

5
@ 장고 : Edge traversal은 패킷 거부 / 수락에 관한 것이 아닙니다. 호스트에서 종료되는 터널을 통해 도착한 패킷은 해당 호스트가 에지 통과를 통해 도착한 것으로 간주됩니다. 해당 패킷이 터널링 프로토콜에서 분리되면 캡슐화 해제 된 패킷은 방화벽 규칙을 통해 실행되며 패킷은 에지 통과 비트가 설정된 규칙에 대해서만 검사됩니다.
Evan Anderson

규칙이 캡슐화 해제 된 패킷에 적용되고 해당 규칙에 에지 통과 비트가 허용으로 설정되어있는 경우, 에지 통과 비트가 차단으로 설정되면 캡슐화 해제 된 패킷이 허용되고 캡슐화 해제 된 패킷이 차단됩니다. 캡슐화 해제 된 패킷과 일치 할 수있는 두 가지 규칙이 각각있는 경우 이상한 일이 발생할 수 있지만 캡슐화 해제 된 패킷 허용에 따라 다릅니다. 특허에 대한 그림 3은 가장 의미있는 것입니다!
CMCDragonkai

4

오래된 게시물이지만 추가 할 가치가 있습니다. Windows Server 2012에서이 항목은 단순히 "다른 서브넷의 패킷 허용"을 의미하는 것 같습니다. 적어도 그것은 내가 관찰 한 행동입니다. IPSec VPN에 연결된 두 개의 사무실이 있습니다. VPN은 두 대의 라우터를 연결하므로 Windows 컴퓨터에 관한 한 단순히 두 개의 다른 개인 서브넷 간 트래픽입니다. "Block Edge Traversal"설정을 사용하면 Windows에서 다른 서브넷의 연결을 허용하지 않습니다.


2
이것은이 설정에 대한 실제 테스트 경험이 아니며 실제로이 해석에 반대되는 기사가 있습니다. blog.boson.com/bid/95501/…
Cameron

2

Edge traversal은 보안 수준이 낮은 네트워크로 이동하는 터널 인터페이스가있을 때마다 발생하며, 이는보다 안전한 네트워크에 연결된 다른 인터페이스를 통해 터널링됩니다. 이는 호스트가 로컬 네트워크 관리자가 설정 한 보안 경계 중 하나를 무시하고 있음을 의미합니다. 예를 들어 회사 네트워크에 연결된 물리적 인터페이스를 통해 인터넷에 터널이 있으면 "가장자리 통과"가됩니다.

Windows 7에서 Microsoft의 내장 NAT 통과 기술인 Teredo는 Edge 통과를 사용하는 규칙을 사용하여 방화벽을 통과하도록 구성 할 수 있습니다. 원칙적으로 타사 NAT 통과 터널링 기술도 그렇게 할 수 있습니다.


1
터널이 Windows 호스트 대신 외부 장치에서 종료되면 Windows 방화벽에 에지 통과가 표시되지 않을 수 있습니다. Cisco SSL VPN과 클라이언트-인터넷 --VPN 장치-기업 넷 --Windows 호스트와 같은 경로의 경우, "블록 에지 통과"설정은 달리 허용되는 TCP 트래픽을 차단하지 않습니다.
Paul
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.