Windows-Server-2008

Windows 高級防火牆:“邊緣遍歷”是什麼意思?

  • January 19, 2020

這應該是一個非常簡單的:

Windows Server 2008+上的高級 Windows 防火牆中,屬性 > 高級,“邊緣遍歷”是什麼意思?

當然,我在 Google 上搜尋了它,但無法得出具體的答案,尤其是在Thomas Schinder 的部落格上看到以下內容時,我感到特別震驚:

邊緣遍歷選項是一個有趣的選項,因為它沒有很好地記錄。這是幫助文件中的內容:

“邊緣遍歷這表明邊緣遍歷是啟用(是)還是禁用(否)。啟用邊緣遍歷後,應用該規則的應用程序、服務或埠可全域定址,並可從網路地址轉換 (NAT) 或邊緣設備外部訪問。”

你認為這可能意味著什麼?我們可以通過在伺服器前面的 NAT 設備上使用埠轉發來使服務在 NAT 設備上可用。這可能與 IPsec 有關嗎?它可能與NAT-T有關嗎?會不會是這個功能的幫助文件編寫者也不知道,並且編造了一些代表重言式的東西?

我不知道這是做什麼的,但如果我發現了,我會確保在我的部落格中包含這些資訊。

我很欣賞他的誠實,但如果傢伙不知道,誰知道?!

一旦機器位於路由器的另一端,我們就很難連接到 VPN,我想知道這是否有幫助?所以我很想听到關於“邊緣遍歷”的正確描述!

看起來今年早些時候的微軟專利申請可能會告訴您您想知道的內容。

據我所知,此標誌允許防火牆規則應用於已封裝的流量,例如,源自網路邊界之外的 IPv6 到 IPv4 隧道。正如專利通常那樣,據我所知,這個專利是以一種通用的方式編寫的,適用於任何不同類型的隧道協議。

此封裝流量的有效負載對於隧道另一端網路上的任何防火牆都是不透明的。據推測,這些封裝的數據包將未經過濾地傳遞到隧道另一端終止的內部主機。該主機將接收流量,將其通過自己的防火牆,解封裝流量(如果其自己的防火牆允許),然後將解封裝的數據包傳回其防火牆。當數據包第二次通過防火牆時(解封裝後),它設置了“此數據包遍歷網路邊緣”位,這樣只有設置了“邊緣遍歷”位的規則才會應用於數據包。

該專利申請的圖 4 似乎以圖形方式描述了該過程,並且從第 7 頁開始的“詳細描述”部分以令人痛苦的具體細節描述了該過程。

這基本上允許基於主機的防火牆對通過本地網路防火牆的隧道進入的流量具有不同的規則,而不是通過隧道直接通過本地網路防火牆發送的未封裝的流量。

我想知道 iptables 的“標記”功能是否會成為該專利的現有技術?看起來它確實做了一件非常相似的事情,儘管是以一種更通用的方式(因為如果你願意,你幾乎可以出於任何原因編寫使用者域程式碼來“標記”數據包)。

引用自:https://serverfault.com/questions/89824