Windows Advanced Firewall: Apa yang dimaksud dengan "Edge Traversal"?

ini harus sangat sederhana:

Di Advanced Windows Firewall pada Windows Server 2008+ , Properties> Advanced, apa artinya " Edge Traversal "?

Saya mencarinya di Google, tentu saja, dan tidak dapat memberikan jawaban yang konkret, dan saya sangat terkejut melihat hal berikut di blog Thomas Schinder :

Opsi Edge traversal adalah opsi yang menarik, karena tidak didokumentasikan dengan baik. Inilah yang dikatakan file Bantuan:

“Edge traversal Ini menunjukkan apakah edge traversal diaktifkan (Ya) atau dinonaktifkan (Tidak). Ketika edge traversal diaktifkan, aplikasi, layanan, atau port yang aturannya berlaku bisa dialamatkan secara global dan dapat diakses dari luar terjemahan alamat jaringan (NAT) atau perangkat edge. "

Menurut Anda apa artinya ini? Kami dapat membuat layanan tersedia di perangkat NAT dengan menggunakan penerusan port pada perangkat NAT di depan server. Mungkinkah ini ada hubungannya dengan IPsec? Mungkinkah ada hubungannya dengan NAT-T? Mungkinkah penulis file Bantuan untuk fitur ini juga tidak tahu, dan membuat sesuatu yang mewakili tautologi?

Saya tidak tahu apa fungsinya, tetapi jika saya mengetahuinya, saya akan memastikan untuk memasukkan informasi ini di blog saya.

Saya menghargai kejujurannya, tapi kalau ini orang tidak tahu, siapa yang melakukan ?!

Kami mengalami kesulitan menghubungkan ke VPN segera setelah mesin berada di sisi lain dari router, dan saya bertanya-tanya apakah ini dapat membantu? Jadi saya sangat ingin mendengar deskripsi yang tepat tentang apa yang "Edge Traversal" lakukan!

Sepertinya pengarsipan paten Microsoft ini dari awal tahun ini mungkin memberi tahu Anda apa yang ingin Anda ketahui.

Dari apa yang dapat saya kumpulkan, flag ini memungkinkan aturan firewall berlaku untuk lalu lintas yang telah dienkapsulasi oleh, misalnya, terowongan IPv6 ke IPv4 yang berasal di luar perbatasan jaringan. Seperti paten yang sering, ini ditulis sedemikian umum untuk diterapkan pada berbagai jenis protokol tunneling, dari apa yang bisa saya katakan.

Payload lalu lintas yang dienkapsulasi ini akan menjadi buram ke firewall apa pun di jaringan di ujung terowongan. Agaknya, paket enkapsulasi ini akan diteruskan tanpa filter ke host internal di mana ujung terowongan berakhir. Tuan rumah itu akan menerima lalu lintas, meneruskannya melalui firewallnya sendiri, mendekapsulasi lalu lintas (jika diizinkan oleh firewallnya sendiri), dan meneruskan paket-paket yang diuraikan kembali ke firewallnya. Ketika paket berjalan melalui firewall untuk kedua kalinya (setelah decapsulation), ia memiliki bit set "paket ini melintasi tepi jaringan" sehingga hanya aturan dengan bit "edge traversal" yang juga diatur akan berlaku untuk paket tersebut.

Gambar 4 dari aplikasi paten tersebut tampaknya menggambarkan proses tersebut secara grafis, dan bagian "Deskripsi Lengkap" yang dimulai pada halaman 7 menjelaskan proses tersebut dalam rincian spesifik yang menyakitkan.

Ini pada dasarnya memungkinkan firewall berbasis host untuk memiliki aturan yang berbeda untuk lalu lintas yang masuk melalui terowongan melalui firewall jaringan lokal, sebagai lawan dari lalu lintas yang baru saja dikirim tidak dienkapsulasi oleh terowongan langsung melalui firewall jaringan lokal.

Saya ingin tahu apakah fungsionalitas "mark" iptables akan menjadi prior art dari paten ini? Sepertinya ini melakukan hal yang sangat mirip, walaupun dengan cara yang lebih umum (karena Anda dapat menulis kode pengguna-tanah untuk "menandai" paket untuk hampir semua alasan jika Anda mau).

Pos yang lebih lama, tetapi masih layak ditambahkan. Tampaknya di Windows Server 2012, item ini berarti "izinkan paket dari subnet lain". Setidaknya itulah perilaku yang saya amati. Kami memiliki dua kantor yang terhubung dengan IPSec VPN. VPN menghubungkan dua router, sejauh menyangkut komputer Windows, itu hanya lalu lintas antara dua subnet pribadi yang berbeda. Dengan pengaturan "Block Edge Traversal" Windows tidak akan mengizinkan koneksi dari subnet lainnya.

Edge traversal terjadi setiap kali Anda memiliki antarmuka terowongan yang masuk ke jaringan yang kurang aman, yang disalurkan ke antarmuka lain yang terpasang ke jaringan yang lebih aman. Ini berarti bahwa host melewati (tunneling over) salah satu batas keamanan yang ditetapkan oleh administrator jaringan lokal. Misalnya, dengan terowongan apa pun ke Internet melalui antarmuka fisik yang terhubung ke jaringan perusahaan, Anda memiliki "edge traversal".

Di Windows 7, teknologi bawaan NAT NATO, Teredo, dapat dikonfigurasi untuk bekerja melalui firewall menggunakan aturan yang menggunakan Edge Traversal. Pada prinsipnya, pihak ketiga NAT melintasi teknologi tunneling bisa melakukannya juga.