我正在关注有关 IPv4 -> IPv6 转换的讨论,IPv6 似乎根本不喜欢 NAT。
我一直认为 NAT 在 v4 中对某些安全性有帮助,我知道它并没有真正隐藏计算机,但它使它们更难被访问,当然它可以轻松限制对 NAT 网关后面的计算机上的端口的访问。
IPv6 的争议在于它不提供安全性,应该使用真正的防火墙和网关路由器。我不喜欢我的整个家庭网络暴露在互联网上。
那么,这是好事还是坏事?
答案1
NAT 可以实现某种类型的安全性,即网络外部的人员无法发起与网络内部的连接。这可以减少蠕虫和其他类型的恶意软件。这对某些人有帮助。
它没有帮助的事情:
- 来自外部的其他恶意软件。病毒、通过浏览器劫持驱动的病毒、木马。
- 任何来自内部的攻击。如果任何计算机在内部受到攻击,他们就可以肆意攻击您的其他计算机。
这是不是防火墙。
- 防火墙可以阻止双向通信。这有助于阻止恶意软件连接控制计算机或下载新代码。但这需要配置。
- 可以配置防火墙来记录它们阻止的内容,而 NAT 不会阻止任何内容,因此无需记录任何内容。
- 防火墙可以阻止特定 IP 地址攻击您的网络。NAT 几乎是全部(您配置端口转发到内部网络中的服务器)或什么都不是。
- 好的防火墙可以限制速率,减轻一些 DOS 攻击。NAT,仍然全有或全无。
- 可能还有其他很酷的东西,因为我有一段时间没有关注防火墙的酷炫功能了。
因此,您仍然需要在所有内部计算机上安装防火墙,因为如果任何东西受到威胁,它就可以接管您网络中的任何其他东西。请记住,蠕虫、病毒、木马等术语不再有太大意义。任何恶意软件都可以下载大量有效负载,然后在您的网络内使用多种攻击媒介。IE 零日漏洞可以危害您网络上的一台计算机,并摧毁它。
因此,重点是,它确实在特定方向上提供了一部分安全性,但这并不意味着您在其他方面就不那么安全了。您仍然需要对其他所有方面采取最佳实践,因此大多数人说它没有提供任何安全性,这令人困惑,因为它确实提供了一些安全性。
答案2
NAT 主要是解决 IPv4 短缺问题。其附带好处是限制对内部机器的访问,从而提供类似防火墙的功能。
我使用过的所有 NAT 路由器(仅限家庭使用)都具有还内置有防火墙。如果您决定不使用 NAT,您仍然需要防火墙,因为没有防火墙,您所有的内部机器都会暴露。
答案3
NAT 不是一种安全功能。
为了证明这一点,请想象一个没有防火墙的 NAT 路由器。内部机器使用的每个外部端口都保持打开状态。
像这样的 NAT 设置不会提供任何安全性,因为外部的任何人都可以通过您使用的最后一个外部端口连接到您的内部端口。
事实上,UDP已经之所以这样实现,是因为没有可供 NAT 网关跟踪的连接。好吧,我撒了点小谎,因为 UDP 仅限于从最后一个发送的 IP 接收。但要吓唬大家的是,当 NAT 还是新事物时,一些供应商没有做到这一点,UDP 端口是向世界开放。
那么,NAT 网关中真正提供安全性的是不是 NAT但是有状态防火墙。
那些声称我错了的评论总是把防火墙和 NAT 操作混淆。他们显然从来没有玩过老式路由器(1998 年左右),这种路由器只是根据数据包触发器分配端口映射。这些路由器没有状态跟踪,也没有防火墙,但它们是实施 NAT。没有安全性。这就是我的观点。
答案4
这非常主观;)
我的看法是:是的,NAT 确实提高了安全性,因为它充当了“免费”的部分防火墙。但你已经明白我的意思了:这让真正的防火墙变得必不可少。但这并不意味着它必须如此桌面防火墙 - 许多商品 IPv4 路由器已经配备了基于 NAT 的防火墙。
总而言之:如果路由器上有一个功能齐全、配置正确的防火墙,那么在没有 NAT 的 IPv6 网络上的计算机仍然会向外界开放与 IPv4(无)一样多的端口,而且您不是转发端口,而是设置防火墙例外。