这应该是一个非常简单的:
在Windows Server 2008+的 高级Windows防火墙中 ,属性>高级,“ 边缘遍历 ”是什么意思?
当然,我用Googlesearch了一下,并且没有提出具体的答案,在Thomas Schinder的博客上看到以下内容我特别震惊:
边缘遍历选项是一个有趣的select,因为它没有很好的logging。 以下是帮助文件所说的内容:
- “传入”和“传出”stream量是什么意思?
- 硬件防火墙vs VMware防火墙设备
- UFW防火墙规则sorting?
- 在`last`的输出中,IP地址后缀“.d”是什么意思?
- 如何将iptables转为无状态?
“边缘遍历这表示是否启用边缘遍历(是)还是禁用(否)。 启用边缘遍历后,应用该规则的应用程序,服务或端口是全局可寻址的,并可从networking地址转换(NAT)或边缘设备外部访问。
你觉得这可能意味着什么? 通过在服务器前面的NAT设备上使用端口转发,我们可以在NAT设备上提供服务。 这可能与IPsec有关吗? 难道它与NAT-T有关吗? 难道这个function的帮助文件编写者也不知道,而且做了一些代表重言式的东西?
我不知道这是什么,但如果我发现,我会确保将这些信息包含在我的博客中。
我很欣赏他的诚实,但如果这个家伙不知道,谁呢?!
一旦机器在路由器的另一端,我们很难连接到VPN,我想知道这是否可以帮助? 所以我非常渴望听到“边缘遍历”的正确描述!
看起来今年早些时候的微软专利申请可能会告诉你你想知道什么。
从我可以收集的信息来看,这个标志允许防火墙规则应用于已经封装的stream量,例如,从IPv6到外部networking的IPv4隧道。 由于专利通常是这样的,所以这个通用的方式写成,适用于任何不同types的隧道协议。
该封装stream量的负载对于隧道另一端networking上的任何防火墙都是不透明的。 据推测,这些封装的数据包将通过未过滤到隧道另一端终止的内部主机。 该主机将接收stream量,通过自己的防火墙,解封装stream量(如果自己的防火墙允许的话),并将解封的数据包传回防火墙。 当数据包第二次穿越防火墙(解封装后)时,它有一个“这个数据包遍历networking边缘”位,这样只有“边缘遍历”位也被设置的规则才会应用于数据包。
该专利申请的图4似乎以graphics方式描述该过程,并且从第7页开始的“详细描述”部分以痛苦的具体细节描述该过程。
这基本上允许基于主机的防火墙针对通过本地networking的防火墙通过隧道进入的stream量具有不同的规则,而不是直接通过本地networking的防火墙未经隧道发送的stream量。
我不知道iptables“标记”function是否会成为这个专利的先有技术? 它看起来似乎是一个非常类似的东西,尽pipe它是一个更通用的方式(因为如果你愿意,你可以编写用户代码来“标记”数据包)。
一个较旧的post,但仍值得添加。 看来,在Windows Server 2012中,这个项目只是意味着“允许来自其他子网的数据包”。 至less这是我观察到的行为。 我们有两个办公室与IPSec VPN连接。 VPN连接两个路由器,就Windows计算机而言,它只是两个不同私有子网之间的stream量。 通过设置“块边缘遍历”,Windows将不允许来自其他子网的连接。
无论何时您将隧道接口转到不太安全的networking(即通过连接到更安全的networking的另一个接口)上,都会发生边缘遍历。 这意味着主机绕过(隧道)由本地networkingpipe理员设置的安全边界之一。 例如,通过连接到公司networking的物理接口连接到Internet的任何隧道,都有“边缘遍历”。
在Windows 7中,可以将Microsoft内置的NAT穿越技术Teredoconfiguration为使用使用边缘遍历的规则在防火墙中工作。 原则上,第三方NAT穿越隧道技术也可以这样做。