Windows Advanced Firewall:「エッジトラバーサル」とはどういう意味ですか?

21

これは本当にシンプルなものでなければなりません:

高度なWindowsファイアウォールWindows Serverの2008+「何をするか、[プロパティ]> [詳細設定、エッジトラバーサルを」意味ですか?

もちろん私はそれをグーグルで検索しましたが、具体的な答えを思い付くことができませんでした。特に、Thomas Schinderのブログで次のことを見てショックを受けました。

エッジトラバーサルオプションは、あまり詳しく説明されていないため、興味深いものです。ヘルプファイルの内容は次のとおりです。

「エッジトラバーサルこれは、エッジトラバーサルが有効(はい)または無効(いいえ)かどうかを示します。エッジトラバーサルが有効になっている場合、ルールが適用されるアプリケーション、サービス、またはポートはグローバルにアドレス可能であり、ネットワークアドレス変換(NAT)またはエッジデバイスの外部からアクセスできます。

これはどういう意味だと思いますか?サーバーの前にあるNATデバイスでポート転送を使用することにより、NATデバイスでサービスを利用できるようにすることができます。これはIPsecと関係があるのでしょうか?NAT-Tと関係があるのでしょうか?この機能のヘルプファイルライターがどちらも知らず、トートロジーを表す何かを作成した可能性がありますか?

私はこれが何をするのか分かりませんが、私が見つけたら、私のブログにこの情報を含めるようにします。

私は彼の誠実さに感謝しますが、このが知らない場合、誰が知っていますか?!

マシンがルーターの反対側にあるとすぐにVPNに接続できなくなります。だから、「エッジトラバーサル」が何をするのかについての適切な説明を聞きたいと思っています。

windows-server-2008  vpn  firewall  windows-firewall 
ジャンゴ・ラインハルト
ソース
これを取得する...私のdhcpルールでエッジトラバーサルを許可しないとdhcpが壊れます。マイクロソフトがカプセル化されたdhcpヘルパーギアからdhcpフレームを分類しようとしているようです。かなり伸びます。

回答:

14

今年の初めからこのマイクロソフトの特許申請があなたが知りたいことをあなたに伝えるかもしれないようです。

収集できるものから、このフラグを使用すると、たとえばネットワークの境界外から発信されるIPv6からIPv4へのトンネルによってカプセル化されたトラフィックにファイアウォールルールを適用できます。特許がよくあるように、これは、私が知ることができるものから、あらゆる異なるタイプのトンネリングプロトコルに適用されるような一般的な方法で書かれています。

このカプセル化されたトラフィックのペイロードは、トンネルの反対側にあるネットワークのファイアウォールに対して不透明です。おそらく、これらのカプセル化されたパケットは、フィルタリングされずに、トンネルのもう一方の端が終了した内部ホストに渡されます。そのホストはトラフィックを受信し、独自のファイアウォールを通過させ、トラフィックをカプセル化解除し(独自のファイアウォールで許可されている場合)、カプセル化解除されたパケットをファイアウォールに戻します。パケットがファイアウォールを2回通過すると(カプセル化解除後)、「このパケットはネットワークエッジを通過しました」ビットが設定され、「エッジトラバーサル」ビットも設定されたルールのみがパケットに適用されます。

その特許出願の図4はプロセスをグラフィカルに説明しているように見え、7ページ以降の「詳細な説明」セクションではプロセスを非常に詳細に説明しています。

これにより、ローカルネットワークのファイアウォールを直接トンネルでカプセル化せずに直接送信されたトラフィックとは対照的に、ホストベースのファイアウォールは、ローカルネットワークのファイアウォールを介してトンネルを介して入ってくるトラフィックに対して異なるルールを持つことができます。

iptablesの「マーク」機能がこの特許の先行技術になるのだろうか?さらに一般的な方法ではありますが、非常に似ていることは確かに思われます(ユーザーランドコードを記述して、必要に応じて事実上あらゆる理由でパケットを「マーク」できるため)。

エヴァン・アンダーソン
ソース
では、エッジトラバーサルを「有効化」すると、これらのパケットはファイアウォールを介してカプセル化されずに送信されますか?もしそうなら、私はそれがデフォルトで拒否に設定されていることに驚いています...確かにほとんどのパケットはそのように送信されますか?(または、ここで私の理解がまったく間違っていますか?)
ジャンゴラインハルト
5
@Django:エッジトラバーサルは、パケットの拒否/受け入れに関するものではありません。ホストで終端するトンネル経由で到着したパケットは、そのホストによるエッジトラバーサル経由で到着したと見なされます。そのパケットがトンネリングプロトコルからカプセル化解除されると、カプセル化解除されたパケットはファイアウォールルールを介して実行され、パケットはエッジトラバーサルビットが設定されているルールに対してのみチェックされます。
エヴァンアンダーソン
カプセル化解除されたパケットにルールが適用され、そのルールに許可するように設定されたエッジトラバーサルビットがあり、その後、カプセル化解除されたパケットが許可され、エッジトラバーサルビットがブロックに設定されている場合、カプセル化解除されたパケットがブロックされていると解釈します カプセル化解除されたパケットと一致するルールがそれぞれ2つある場合、奇妙なことが発生する可能性がありますが、カプセル化解除されたパケットの許可は異なります。特許の図3が最も理にかなっています!
CMCDragonkai
4

古い投稿ですが、まだ追加する価値があります。Windows Server 2012では、この項目は単に「他のサブネットからのパケットを許可する」という意味です。少なくともそれは私が観察した動作です。2つのオフィスがIPSec VPNで接続されています。VPNは2台のルーターを接続するため、Windowsコンピューターに関する限り、2つの異なるプライベートサブネット間のトラフィックにすぎません。[エッジトラバーサルをブロック]設定では、Windowsは他のサブネットからの接続を許可しません。

ケビン・キーン
ソース
2
これは、この設定を実際にテストした経験ではなく、実際、この解釈に異議を唱える記事があります。blog.boson.com/bid/95501/…–
キャメロン
2

エッジトラバーサルは、安全性の低いネットワークに向かうトンネルインターフェイスがあり、安全性の高いネットワークに接続されている別のインターフェイスを介してトンネルされる場合に発生します。これは、ホストがローカルネットワーク管理者によって設定されたセキュリティ境界の1つをバイパス(トンネリング)していることを意味します。たとえば、企業ネットワークに接続された物理インターフェイスを介したインターネットへのトンネルでは、「エッジトラバーサル」が発生します。

Windows 7では、Microsoftの組み込みNATトラバーサルテクノロジーであるTeredoは、エッジトラバーサルを利用するルールを使用してファイアウォールを通過するように構成できます。原則として、トンネリングテクノロジーを通過するサードパーティのNATも同様に行うことができます。

アミット・ティワリ
ソース
1
トンネルがWindowsホストではなく外部デバイスで終了する場合、Windowsファイアウォールはエッジトラバーサルを認識しない場合があることに注意してください。Cisco SSL VPNと、クライアント-インターネット-VPNデバイス-企業ネット-Windowsホストなどのパスの場合、「ブロックエッジトラバーサル」設定は、許可されていないTCPトラフィックをブロックしません。
ポール
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.