windows-server-2008 – Windows高级防火墙：“Edge Traversal”

这应该是一个非常简单的：

在Windows Server 2008上的高级Windows防火墙中,属性>高级,“Edge Traversal”是什么意思？

当然,我用谷歌搜索了,并且无法得出具体的答案,我特别震惊地看到Thomas Schinder’s blog上的以下内容：

The Edge traversal option is an
interesting one,because it’s not
documented very well. Here’s what the
Help file says:

“Edge traversal This indicates whether
edge traversal is enabled (Yes) or
disabled (No). When edge traversal is
enabled,the application,service,or
port to which the rule applies is
globally addressable and accessible
from outside a network address
translation (NAT) or edge device.”

What do you think this might mean? We
can make services available across a
NAT device by using port forwarding on
the NAT device in front of the server.
Could this have something to do with
IPsec? Could it have something to do
with NAT-T? Could it be that the Help
file writer for this feature didn’t
know either,and made something up
that represented a tautology?

I don’t know what this does,but if I
find out,I’ll make sure to include
this information in my blog.

我很欣赏他的诚实,但如果this guy不知道,谁呢？！

当机器在路由器的另一端时,我们很难连接到VPN,我想知道这是否有帮助？因此,我非常希望能够正确地了解“Edge Traversal”的功能！

根据我可以收集的内容,此标志允许防火墙规则应用于已由例如源自网络边界之外的IPv6到IPv4隧道封装的流量.正如我所知道的那样,这个专利通常是以适用于任何不同类型的隧道协议的通用方式编写的.

此封装流量的有效负载对隧道另一端网络上的任何防火墙都是不透明的.据推测,这些封装的数据包将被未经过滤地传递到隧道另一端终止的内部主机.该主机将接收流量,将其传递通过自己的防火墙,解封流量(如果自己的防火墙允许),并将解封装的数据包传回防火墙.当数据包第二次通过防火墙时(在解封装之后),它具有“该数据包遍历网络边缘”比特集,使得只有具有“边缘遍历”比特的规则也将应用于该分组.

该专利申请的图4似乎以图形方式描述了该过程,并且从第7页开始的“详细描述”部分以痛苦的具体细节描述了该过程.

这基本上允许基于主机的防火墙对通过本地网络的防火墙通过隧道传入的流量具有不同的规则,而不是直接通过本地网络的防火墙通过隧道发送的流量.

我想知道iptables“标记”功能是否是该专利的先前技术？它看起来确实像一个非常类似的东西,虽然是更通用的方式(因为你可以编写用户土地代码来“标记”数据包,几乎任何原因,如果你想).

（编辑：ASP站长网）