이것은 정말 간단한 것이어야합니다 :
에서 고급 Windows 방화벽 에 윈도우 서버 2008+ “무엇을, 속성> 고급, 에지 통과를 “평균?
나는 물론 그것을 구글 검색하고 구체적인 답변을 얻을 수 없었으며, 특히 Thomas Schinder의 블로그 에서 다음을 볼 때 충격을 받았습니다 .
Edge traversal 옵션은 매우 잘 설명되어 있지 않기 때문에 흥미로운 옵션입니다. 도움말 파일의 내용은 다음과 같습니다.
“가장자리 순회 이것은 가장자리 순회가 활성화되어 있는지 (Yes) 또는 비활성화되어 있는지 (No)를 나타냅니다. Edge traversal을 활성화하면 규칙이 적용되는 응용 프로그램, 서비스 또는 포트를 전체적으로 주소 지정하고 NAT (Network Address Translation) 또는 Edge 장치 외부에서 액세스 할 수 있습니다.”
이것이 무엇을 의미한다고 생각합니까? 서버 앞의 NAT 장치에서 포트 전달을 사용하여 NAT 장치에서 서비스를 사용할 수 있습니다. 이것이 IPsec과 관련이있을 수 있습니까? NAT-T와 관련이있을 수 있습니까? 이 기능에 대한 도움말 파일 작성자도 알지 못하고 팽팽하게 표현 된 것을 만들었을 수 있습니까?
나는 이것이 무엇을하는지 모르지만, 알아 내면이 정보를 내 블로그에 포함시킬 것입니다.
그의 정직함에 감사하지만 이 사람을 모른다면 누가 알겠습니까?!
머신이 라우터의 다른쪽에있는 즉시 VPN에 연결하는 데 어려움이 있으며 이것이 도움이 될지 궁금합니다. “Edge Traversal”의 기능에 대한 적절한 설명을 듣고 싶습니다.
답변
그것은 다음과 같습니다 마이크로 소프트의 특허 출원 당신이 알고 싶은 당신에게 말할 수도 올해 초부터.
내가 수집 할 수있는 것에서이 플래그는 방화벽 규칙이 네트워크 경계 외부에서 시작된 IPv6에서 IPv4 터널과 같은 캡슐화 된 트래픽에 적용되도록합니다. 특허가 종종 그렇듯이, 이것은 제가 알 수있는 것으로부터 다른 유형의 터널링 프로토콜에 적용되는 일반적인 방식으로 작성되었습니다.
이 캡슐화 된 트래픽의 페이로드는 터널의 다른 쪽 끝에있는 네트워크의 모든 방화벽에 대해 불투명합니다. 아마도이 캡슐화 된 패킷은 필터링되지 않은 채 통과되어 터널의 다른 쪽 끝이 종료 된 내부 호스트로 전달 될 것입니다. 해당 호스트는 트래픽을 수신하고 자체 방화벽을 통과하여 트래픽을 캡슐화 해제하고 (자체 방화벽에서 허용하는 경우) 캡슐화 된 패킷을 방화벽으로 다시 전달합니다. 패킷이 방화벽을 통해 두 번째로 (캡슐 제거 후) 이동할 때, “이 패킷은 네트워크 에지를 통과했습니다”비트 세트를 가지며 “가장자리 통과”비트가 설정된 규칙 만 패킷에 적용됩니다.
이 특허 출원의 그림 4는 프로세스를 그래픽으로 설명하는 것으로 보이며, 7 페이지에서 시작하는 “상세 설명”섹션은 프로세스를 매우 구체적으로 설명합니다.
이는 기본적으로 로컬 네트워크의 방화벽을 통해 터널로 캡슐화되지 않은 트래픽이 아닌 호스트 기반 방화벽이 로컬 네트워크의 방화벽을 통해 터널을 통해 들어오는 트래픽에 대해 다른 규칙을 갖도록 허용합니다.
iptables “mark”기능이이 특허의 선행 기술인지 궁금합니다. 비록 훨씬 일반적인 방식이지만, 비록 당신이 원한다면 사실상 어떤 이유로 든 패킷을 “마킹”하기 위해 사용자-랜드 코드를 작성할 수 있기는하지만, 그것은 매우 유사한 일을하는 것처럼 보입니다.
답변
오래된 게시물이지만 추가 할 가치가 있습니다. Windows Server 2012에서이 항목은 단순히 “다른 서브넷의 패킷 허용”을 의미하는 것 같습니다. 적어도 그것은 내가 관찰 한 행동입니다. IPSec VPN에 연결된 두 개의 사무실이 있습니다. VPN은 두 대의 라우터를 연결하므로 Windows 컴퓨터에 관한 한 단순히 두 개의 다른 개인 서브넷 간 트래픽입니다. “Block Edge Traversal”설정을 사용하면 Windows에서 다른 서브넷의 연결을 허용하지 않습니다.
답변
Edge traversal은 보안 수준이 낮은 네트워크로 이동하는 터널 인터페이스가있을 때마다 발생하며, 이는보다 안전한 네트워크에 연결된 다른 인터페이스를 통해 터널링됩니다. 이는 호스트가 로컬 네트워크 관리자가 설정 한 보안 경계 중 하나를 무시하고 있음을 의미합니다. 예를 들어 회사 네트워크에 연결된 물리적 인터페이스를 통해 인터넷에 터널이 있으면 “가장자리 통과”가됩니다.
Windows 7에서 Microsoft의 내장 NAT 통과 기술인 Teredo는 Edge 통과를 사용하는 규칙을 사용하여 방화벽을 통과하도록 구성 할 수 있습니다. 원칙적으로 타사 NAT 통과 터널링 기술도 그렇게 할 수 있습니다.