这应该是一个非常简单的:
在高级 Windows 防火墙在Windows Server 2008 及以上,属性 > 高级,什么是“边遍历“ 意思是?
当然,我用谷歌搜索了一下,但没能找到一个具体的答案,当我看到下面的内容时,我特别震惊Thomas Schinder 的博客:
Edge traversal 选项很有趣,因为它没有很好的文档记录。帮助文件中是这样说的:
“边缘遍历这表示边缘遍历是启用(是)还是禁用(否)。启用边缘遍历后,规则适用的应用程序、服务或端口是全局可寻址的,并且可以从网络地址转换 (NAT) 或边缘设备外部访问。”
您认为这可能意味着什么?我们可以通过在服务器前面的 NAT 设备上使用端口转发来跨 NAT 设备提供服务。这可能与 IPsec 有关吗?这可能与 NAT-T 有关吗?可能是此功能的帮助文件编写者也不知道,并编造了一些代表同义反复的东西?
我不知道这有什么用处,但如果我找到答案,我一定会将此信息包含在我的博客中。
我欣赏他的诚实,但如果这家伙不知道,谁知道?!
当机器位于路由器的另一端时,我们很难连接到 VPN,我想知道这是否有帮助?所以我非常想听到关于“边缘遍历”的正确描述!
答案1
它看起来像这样微软专利申请今年早些时候的调查可能会告诉你你想知道的事情。
据我所知,此标志允许防火墙规则应用于已封装的流量,例如源自网络边界外的 IPv6 到 IPv4 隧道。正如专利通常那样,据我所知,此标志以通用方式编写,可应用于任何类型的隧道协议。
这种封装流量的有效负载对于隧道另一端网络中的任何防火墙来说都是不透明的。据推测,这些封装的数据包将未经过滤地传递到隧道另一端终止的内部主机。该主机将接收流量,将其通过自己的防火墙,解封装流量(如果其自己的防火墙允许),并将解封装的数据包传回其防火墙。当数据包第二次穿过防火墙时(解封装后),它会设置一个“此数据包穿越网络边缘”位,这样只有设置了“边缘穿越”位的规则才会适用于该数据包。
该专利申请的图 4 似乎以图形方式描述了该过程,并且从第 7 页开始的“详细描述”部分以非常具体的细节描述了该过程。
这基本上允许基于主机的防火墙对通过本地网络防火墙的隧道进入的流量制定不同的规则,而不是直接通过本地网络防火墙通过隧道未封装的流量制定不同的规则。
我想知道 iptables “标记”功能是否是该专利的现有技术?它看起来确实做了非常相似的事情,尽管方式更加通用(因为如果您愿意,您可以编写用户空间代码来“标记”数据包,几乎出于任何原因)。
答案2
边缘穿越是指当您有一个隧道接口通往不太安全的网络,而该隧道接口通过另一个连接到更安全的网络的接口进行隧道传输时发生的。这意味着主机正在绕过(通过隧道传输)本地网络管理员设置的安全边界之一。例如,对于通过连接到公司网络的物理接口通往互联网的任何隧道,您都存在“边缘穿越”。
在 Windows 7 中,可以配置 Microsoft 的内置 NAT 穿越技术 Teredo,使用利用 Edge Traversal 的规则来穿越防火墙。原则上,第三方 NAT 穿越隧道技术也可以这样做。
答案3
一篇较旧的帖子,但仍值得补充。似乎在 Windows Server 2012 中,此项仅表示“允许来自其他子网的数据包”。至少这是我观察到的行为。我们有两个办公室通过 IPSec VPN 连接。VPN 连接两个路由器,因此就 Windows 计算机而言,它只是两个不同私有子网之间的流量。通过设置“阻止边缘遍历”,Windows 将不允许来自其他子网的连接。
答案4
Edge Traversal 选项控制是否允许来自 Teredo(可能还有其他隧道软件)的未经请求的流量。IPV6_PROTECTION_LEVEL 套接字选项的文档对此进行了解释:https://docs.microsoft.com/en-us/windows/win32/winsock/ipv6-protection-level