NAT是否提供安全性？

我正在跟踪有关IPv4-> IPv6过渡的讨论，而IPv6似乎一点也不喜欢NAT。

我一直认为NAT在v4中对某些安全性很有帮助，我知道它并没有真正隐藏计算机，但使它们难以进入，当然，这很容易限制对NAT后面计算机端口的访问网关。

IPv6的争论是它不提供安全性，应该使用真实的防火墙和网关路由器。我不喜欢整个家庭网络都暴露在互联网上的想法。

那么，这是好事还是坏事？

NAT允许某种类型的安全性，因为网络外部的人无法启动与网络内部的连接。这样可以减少蠕虫和其他类别的恶意软件。这会有所帮助。

没有帮助的事情：

• 来自外部的其他恶意软件。病毒是由浏览器劫持，木马驱动的。
• 来自内部的任何攻击。如果内部有任何计算机受到威胁，则可以自由控制其他计算机。

它不是防火墙。

• 防火墙可以双向阻止流量。这可以帮助阻止恶意软件连接到控制计算机或下载新代码。但这需要进行配置。
• 可以将防火墙配置为记录其阻止的内容，NAT不阻止任何内容，没有要记录的内容。
• 防火墙可以阻止特定的IP地址攻击您的网络。NAT几乎全部（您将端口转发配置为内部网络中的服务器）或什么都不做。
• 好的防火墙可以限制速率，减轻某些DOS攻击。NAT，还是全有还是全无。
• 可能还有其他很酷的东西，因为我有一段时间没有跟上防火墙的酷功能了。

因此，您仍然需要在所有内部计算机上使用防火墙，因为如果任何内容受到威胁，它都可以接管网络中的其他任何内容。请记住，蠕虫，病毒，特洛伊木马之类的词已无多大意义。任何恶意软件都可以下载大量有效负载，然后在网络内部使用多个攻击媒介。IE零时差攻击可能会破坏您网络上的一台计算机，并摧毁所有计算机。

因此，重点是，它确实提供了特定方向的安全性子集，但这并不意味着您对其他任何事物的安全性都会降低。您仍然需要对其他所有方面进行最佳实践，因此大多数人都说它没有提供任何安全性，这令人困惑，因为它确实提供了一些安全性。

首先，NAT是针对IPv4短缺问题的修复程序。作为附带好处，它限制了对内部计算机的访问，而内部计算机提供了类似于防火墙的功能。

我使用过的所有NAT路由器（仅限家庭使用）也都内置有防火墙。如果您决定不进行NAT，您仍然需要防火墙，因为所有内部计算机都暴露在其中。

NAT不是安全功能。

为了向自己证明这一点，可视化没有防火墙的NAT路由器。内部机器使用的每个外部端口都保持打开状态。

这样的NAT设置不会提供任何安全性，因为外部的任何人都只能通过您使用的最后一个外部端口连接到内部端口。

事实上，由于没有连接可供NAT网关跟踪，因此UDP 已经实现了。好的，我撒了谎，因为UDP只限于从发送到的最后一个IP接收。但要吓大家，回来时，NAT是新的一些厂商并没有得到这个权利和UDP端口是开放的世界。

因此，在NAT网关中提供实际安全性的不是NAT，而是状态防火墙。

声称我做错了的评论使防火墙与NAT操作混淆了。显然，他们从未使用过旧的路由器（1998年代），后者只是基于数据包触发器分配端口映射。这些路由器没有状态跟踪，也没有防火墙，但它们正在实现NAT。没有安全感。这是我的意思。

这个话题真的很有趣-感谢您询问Neth。

这是我的想法-NAT作为安全功能确实是一项切向的好处。它的主要目的是在多个系统之间共享一个IP。在某些情况下，例如，当您购买便宜的Comcast互联网时，它们只会为您提供一个静态IP地址。这意味着要同时使多个系统联机，您的路由器必须通过NAT管理它们。

我对此表示担心，但上面的每个人都是对的-安全性是基于防火墙而不是NAT设置的。

有很多有趣/很酷的选项可以用来研究安全性。

1）首先进行基本操作-检查路由器的防火墙设置。如果没有任何价值，请在Google上进行搜索，看看是否可以使用DD-WRT（开放源代码和糟糕的a $$路由器OS）对其进行闪烁。

2）通过以下方式抽象您的IP地址：（a）使用代理服务器或服务（例如FF的Cocoon附加组件）在系统中的虚拟机上运行私有的所有内容（b）（c）安装Tor。

这种想法可能会持续一段时间，所以我现在将其留在这里。Godspeed在线保护自己。

这几乎是主观的;）

我的两分钱：是的，NAT确实提高了安全性，因为它充当了“免费”提供的部分防火墙。但是，您已经在说我的意思了：这只需要一个真正的防火墙。但这并不意味着它必须是台式机防火墙-许多商用IPv4路由器已经在NAT之上配备了防火墙。

总结一下：如果路由器上有一个功能正确且配置正确的防火墙，则不使用NAT的IPv6网络上的计算机仍将向世界开放与使用IPv4时一样多的端口（无），而无需转发端口，您可以正在使防火墙例外。