Розширений брандмауер Windows: Що означає "Обхід краю"?

це має бути дійсно простим:

У розширеному брандмауері Windows на Windows Server 2008+ , Властивості> Додатково, що означає " Обхід краю "?

Я, звичайно, погукав це, і не зміг придумати конкретної відповіді, і був особливо шокований, побачивши наступне в блозі Томаса Шиндера :

Варіант обходу Edge є цікавим, оскільки він не дуже добре задокументований. Ось що говорить файл довідки:

“Обхід краю Показує, чи ввімкнено обхід краю (Так) чи вимкнено (Ні). Якщо ввімкнено обхід краю, програма, служба або порт, до яких застосовується правило, є адресованими у всьому світі та доступні за межами трансляції мережевих адрес (NAT) або крайового пристрою. "

Як ви думаєте, що це може означати? Ми можемо зробити сервіси доступними на пристрої NAT, використовуючи переадресацію портів на пристрої NAT перед сервером. Чи може це мати щось спільне з IPsec? Чи може це мати щось спільне з NAT-T? Чи може бути, що автор файлів довідки про цю функцію теж не знав, і створив щось, що являло собою тавтологію?

Я не знаю, що це робить, але якщо я це дізнаюся, я обов’язково включу цю інформацію у свій блог.

Я ціную його чесність, але якщо цей хлопець не знає, хто це робить ?!

У нас виникають труднощі з підключенням до VPN, як тільки машина знаходиться на іншій стороні маршрутизатора, і мені було цікаво, чи може це допомогти? Тож я дуже зацікавлений почути належний опис того, що робить "Обхід краю"!

Схоже, подача заявки на патент Microsoft з початку цього року може сказати вам, що ви хочете знати.

З того, що я можу зібрати, цей прапор дозволяє застосовувати правила брандмауера до трафіку, який був інкапсульований, наприклад, тунелем IPv6 до IPv4, що походить за межами мережі. Оскільки патенти часто є, цей записується так загально, що стосується будь-якого іншого типу протоколу тунелювання, від того, що я можу сказати.

Корисне навантаження цього інкапсульованого трафіку було б непрозорим для будь-якого брандмауера в мережі на іншому кінці тунелю. Імовірно, ці інкапсульовані пакети будуть передані через нефільтроване до внутрішнього вузла, де закінчується інший кінець тунелю. Цей хост отримає трафік, передасть його через власний брандмауер, декапсулює трафік (якщо це дозволяє власний брандмауер) і передасть декапсульовані пакети назад його брандмауер. Коли пакет проходить через брандмауер вдруге (після декапсуляції), у нього встановлений біт "цей пакет, який пройшов мережевий край" таким чином, що до цього пакета будуть застосовуватися лише правила з бітом "обходу краю".

На фіг.4 цієї патентної заявки описується процес графічно, а розділ "Детальні описи", що починається на сторінці 7, описує процес до болісно конкретних деталей.

Це в основному дозволяє брандмауеру, заснованому на хості, мати різні правила дорожнього руху, які надходять через тунель через брандмауер локальної мережі, на відміну від трафіку, який щойно був відправлений некапсульованим тунелем безпосередньо через брандмауер локальної мережі.

Цікаво, чи функціональність iptables "маркувати" була б попереднім рівнем техніки для цього патенту? Звичайно, схоже, що це дуже схожа річ, хоч і в ще більш загальній формі (оскільки ви можете написати користувальницький код, щоб "позначити" пакети практично з будь-якої причини).

Старіший пост, але все ж варто додати. Схоже, що в Windows Server 2012 цей елемент просто означає "дозволити пакети з інших підмереж". Принаймні, така поведінка, яку я спостерігав. У нас є два офіси, підключені до VPN IPSec. VPN з'єднує два маршрутизатори, тому що стосується комп'ютерів Windows, це просто трафік між двома різними приватними підмережами. З налаштуванням "Блок обходу краю" Windows не дозволить з'єднатись з іншої підмережі.

Обхід краю відбувається щоразу, коли у вас є інтерфейс тунелю, який переходить до менш захищеної мережі, який тунелюється через інший інтерфейс, приєднаний до більш захищеної мережі. Це означає, що хост обходить (тунелює) один із меж безпеки, встановлений адміністратором локальної мережі. Наприклад, з будь-яким тунелем до Інтернету через фізичний інтерфейс, приєднаний до корпоративної мережі, у вас є "обхід краю".

У Windows 7, вбудована технологія обходу NAT, Teredo, Microsoft може бути налаштована для роботи через брандмауер, використовуючи правила, які використовують Edge Traversal. У принципі, сторонні технології NAT для проходження тунельних технологій також могли б це зробити.