NAT 是否提供安全性？

Question

我正在关注有关 IPv4->IPv6 转换的讨论，而 IPv6 似乎根本不喜欢 NAT。

我一直认为 NAT 在 v4 中对某些安全性很有帮助，我知道它并没有真正隐藏计算机，但它使它们更难访问，当然它可以轻松限制对 NAT 后面计算机上端口的访问网关。

IPv6 的争论是它不提供安全性，应该使用真正的防火墙和网关路由器。我不喜欢我的整个家庭网络都暴露在互联网上的想法。

那么，这是好事还是坏事？

Answer 1

NAT 允许某种类型的安全性，即您网络外部的人员无法启动与您网络内部的连接。这减少了蠕虫和其他类别的恶意软件。这对一些人有帮助。

它没有帮助的事情：

• 来自外部的其他恶意软件。病毒、浏览器劫持、木马驱动。
• 任何来自内部的攻击。如果任何计算机在内部受到损害，他们可以随意控制您的其他计算机。

它不是防火墙。

• 防火墙可以阻止双向流量。这有助于阻止恶意软件连接到控制计算机或下载新代码。但是这个需要配置。
• 防火墙可以配置为记录它们阻止的内容，NAT 不阻止任何内容，无需记录任何内容。
• 防火墙可以阻止特定 IP 地址攻击您的网络。NAT 几乎是全部（您配置端口转发到内部网络中的服务器）或什么都没有。
• 一个好的防火墙可以限制速率，减轻一些 DOS 攻击。NAT，仍然是全有或全无。
• 可能是其他很酷的东西，因为我有一段时间没有跟上防火墙的酷功能了。

因此，您仍然需要在所有内部计算机上安装防火墙，因为如果有任何东西受到威胁，它可以接管您网络中的任何其他东西。请记住，蠕虫、病毒、特洛伊木马等术语已经没有多大意义了。任何恶意软件都可以下载大量负载，然后在您的网络中使用多个攻击媒介。IE 零日漏洞利用可以危及您网络上的一台计算机，并将其全部删除。

因此，关键是，它确实在特定方向上提供了一个安全子集，但这并不意味着您可以在其他任何方面降低安全性。您仍然需要对其他所有内容进行最佳实践，因此大多数人说它没有提供任何安全性，这令人困惑，因为它确实提供了一些安全性。

Answer 2

首先，NAT 是对 IPv4 短缺问题的修复。作为附带好处，它限制了对提供类似防火墙功能的内部机器的访问。

我使用过的所有 NAT 路由器（仅限家庭使用）也内置了防火墙。如果您决定不进行 NAT，您仍然需要防火墙，因为您所有的内部机器都暴露在外，没有防火墙。