Windows Advanced防火墙:“边缘遍历”是什么意思?


21

这应该是一个非常简单的方法:

Windows Server 2008+的高级Windows防火墙的 “ 属性”>“高级”中,“ 边缘遍历 ”是什么意思?

我用Google搜索了它,但是无法给出具体的答案,当我在Thomas Schinder的博客上看到以下内容时,我尤其感到震惊:

边缘遍历选项是一个有趣的选项,因为它的文档介绍得不够好。这是帮助文件的内容:

“边沿遍历这表明是启用边(是)还是禁用边遍(否)。启用边缘遍历后,该规则适用的应用程序,服务或端口可全局寻址,并可从网络地址转换(NAT)或边缘设备外部访问。”

您认为这可能意味着什么?通过在服务器前面的NAT设备上使用端口转发,我们可以使服务跨NAT设备可用。这可能与IPsec有关吗?可能与NAT-T有关吗?可能是该功能的帮助文件编写器也不知道,并且做了一些表示重言式的事情吗?

我不知道该怎么做,但是如果我发现了,我将确保在我的博客中包含此信息。

我很欣赏他的诚实,但如果这个不知道,谁会呢?

一旦机器位于路由器的另一侧,我们就很难连接到VPN,我想知道这是否有帮助?因此,我非常渴望听到有关“ Edge Traversal”功能的正确描述!


得到这个...不允许在我的dhcp规则上遍历边打破了dhcp。似乎Microsoft可能正在尝试将dhcp帮助器齿轮中的dhcp框架分类为已封装。相当舒展。

Answers:


14

看起来今年早些时候的Microsoft专利申请可能会告诉您您想知道的内容。

据我所知,此标志允许防火墙规则应用于已由例如网络边界外部的IPv6到IPv4隧道封装的流量。正如我所知道的那样,正如专利经常使用的那样,以一种通用的方式编写该专利,以适用于任何不同类型的隧道协议。

封装流量的有效负载对于隧道另一端的网络上的任何防火墙都是不透明的。据推测,这些封装的数据包将未经过滤地传递到内部主机,隧道的另一端终止于该内部主机。该主机将接收流量,将其通过自己的防火墙,解封装流量(如果其自己的防火墙允许),然后将解封装的数据包传递回其防火墙。当数据包第二次通过防火墙(解封装后)时,它设置了“此数据包穿越网络边缘”位,因此仅设置了“边缘穿越”位的规则也将应用于该数据包。

该专利申请的图4似乎以图形方式描述了该过程,而从第7页开始的“详细说明”部分以痛苦的具体细节描述了该过程。

基本上,这使基于主机的防火墙对通过本地网络的防火墙通过隧道传入的流量具有不同的规则,这与隧道直接通过本地网络的防火墙未封装发送的流量不同。

我想知道iptables的“标记”功能是否是该专利的现有技术?尽管以更通用的方式,它看起来似乎确实做了非常类似的事情(因为如果您愿意的话,您几乎可以出于任何原因编写用户态代码来“标记”数据包)。


那么“启用”边缘遍历将允许那些未封装的数据包通过防火墙发送吗?如果是这样,我很惊讶默认情况下将其设置为“拒绝” ...肯定会发送大多数数据包吗?(还是我的理解完全不对?)
Django Reinhardt

5
@Django:边缘遍历与拒绝/接受数据包无关。通过在主机上终止的隧道到达的数据包将被视为已通过该主机的边缘遍历到达。当该数据包从其隧道协议中解封装后,解封装的数据包将通过防火墙规则运行,并且仅根据设置了其边缘遍历位的规则检查该数据包。
Evan Anderson

我将其解释为,如果将规则应用于解封装的数据包,并且该规则将边缘遍历位设置为允许,则允许解封装的数据包;如果边缘遍历位设置为阻塞,则解封的数据包将被阻塞。如果有两个规则都可以与解封装的数据包匹配,那么可能会发生一些奇怪的事情,但是它们在允许解封装的数据包方面有所不同。专利中的图3最有意义!
CMCDragonkai '17

4

较旧的帖子,但仍然值得添加。似乎在Windows Server 2012中,此项仅表示“允许来自其他子网的数据包”。至少这是我观察到的行为。我们有两个通过IPSec VPN连接的办公室。VPN连接两个路由器,因此就Windows计算机而言,它只是两个不同专用子网之间的流量。通过设置“阻止边缘遍历”,Windows将不允许来自其他子网的连接。


2
这不是我在此设置的动手测试中的经验,实际上,有些文章对此解释提出异议。blog.boson.com/bid/95501/...
卡梅伦

2

只要您具有连接到安全性较低的网络的隧道接口(通过连接到安全性较高的网络的另一个接口进行隧道连接),就会发生边缘遍历。这意味着主机正在绕过(隧道)本地网络管理员设置的安全边界之一。例如,通过连接到公司网络的物理接口到Internet的任何隧道都具有“边缘遍历”功能。

在Windows 7中,可以将Microsoft内置的NAT遍历技术Teredo配置为使用使用边缘遍历的规则来穿越防火墙。原则上,第三方NAT穿越隧道技术也可以这样做。


1
请注意,如果隧道终止于外部设备而不是Windows主机,则Windows防火墙可能看不到边缘遍历。在我们使用Cisco SSL VPN和客户端-Internet-VPN设备-企业网络-Windows主机之类的路径的情况下,“阻止边缘遍历”设置不会阻止TCP流量,否则将禁止该流量。
保罗
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.