Windows Advanced防火墙：“边缘遍历”是什么意思？

这应该是一个非常简单的方法：

在Windows Server 2008+的高级Windows防火墙的 “ 属性”>“高级”中，“ 边缘遍历 ”是什么意思？

我用Google搜索了它，但是无法给出具体的答案，当我在Thomas Schinder的博客上看到以下内容时，我尤其感到震惊：

边缘遍历选项是一个有趣的选项，因为它的文档介绍得不够好。这是帮助文件的内容：

“边沿遍历这表明是启用边（是）还是禁用边遍（否）。启用边缘遍历后，该规则适用的应用程序，服务或端口可全局寻址，并可从网络地址转换（NAT）或边缘设备外部访问。”

您认为这可能意味着什么？通过在服务器前面的NAT设备上使用端口转发，我们可以使服务跨NAT设备可用。这可能与IPsec有关吗？可能与NAT-T有关吗？可能是该功能的帮助文件编写器也不知道，并且做了一些表示重言式的事情吗？

我不知道该怎么做，但是如果我发现了，我将确保在我的博客中包含此信息。

我很欣赏他的诚实，但如果这个人不知道，谁会呢？

一旦机器位于路由器的另一侧，我们就很难连接到VPN，我想知道这是否有帮助？因此，我非常渴望听到有关“ Edge Traversal”功能的正确描述！

看起来今年早些时候的Microsoft专利申请可能会告诉您您想知道的内容。

据我所知，此标志允许防火墙规则应用于已由例如网络边界外部的IPv6到IPv4隧道封装的流量。正如我所知道的那样，正如专利经常使用的那样，以一种通用的方式编写该专利，以适用于任何不同类型的隧道协议。

封装流量的有效负载对于隧道另一端的网络上的任何防火墙都是不透明的。据推测，这些封装的数据包将未经过滤地传递到内部主机，隧道的另一端终止于该内部主机。该主机将接收流量，将其通过自己的防火墙，解封装流量（如果其自己的防火墙允许），然后将解封装的数据包传递回其防火墙。当数据包第二次通过防火墙（解封装后）时，它设置了“此数据包穿越网络边缘”位，因此仅设置了“边缘穿越”位的规则也将应用于该数据包。

该专利申请的图4似乎以图形方式描述了该过程，而从第7页开始的“详细说明”部分以痛苦的具体细节描述了该过程。

基本上，这使基于主机的防火墙对通过本地网络的防火墙通过隧道传入的流量具有不同的规则，这与隧道直接通过本地网络的防火墙未封装发送的流量不同。

我想知道iptables的“标记”功能是否是该专利的现有技术？尽管以更通用的方式，它看起来似乎确实做了非常类似的事情（因为如果您愿意的话，您几乎可以出于任何原因编写用户态代码来“标记”数据包）。

较旧的帖子，但仍然值得添加。似乎在Windows Server 2012中，此项仅表示“允许来自其他子网的数据包”。至少这是我观察到的行为。我们有两个通过IPSec VPN连接的办公室。VPN连接两个路由器，因此就Windows计算机而言，它只是两个不同专用子网之间的流量。通过设置“阻止边缘遍历”，Windows将不允许来自其他子网的连接。

只要您具有连接到安全性较低的网络的隧道接口（通过连接到安全性较高的网络的另一个接口进行隧道连接），就会发生边缘遍历。这意味着主机正在绕过（隧道）本地网络管理员设置的安全边界之一。例如，通过连接到公司网络的物理接口到Internet的任何隧道都具有“边缘遍历”功能。

在Windows 7中，可以将Microsoft内置的NAT遍历技术Teredo配置为使用使用边缘遍历的规则来穿越防火墙。原则上，第三方NAT穿越隧道技术也可以这样做。