我的 VOIP 提供商使用设备来提供服务。该设备位于我路由器的一侧,也是我的 LAN 的一部分。他要求我将大量端口转发到他的设备(大约 5000 到 65000 个)。我问他这是否会危及我 LAN 其余部分的安全,他说不会,但如果他说会,他就不能向我出售他的服务。所以,我在这里问的是会不会。
从我对端口转发的了解来看,我认为入侵者只能访问分配了此 IP 地址的设备。如果是这样,那么问题就变成了,入侵者能否使用他们的设备连接到我的 LAN 并访问我的其他计算机?
答案1
NAT 通过隐蔽性来提供安全性,这是其工作方式的副作用,而不是设计使然。
如果您担心安全问题,则应该在路由器上安装防火墙或数据包过滤器,无论是否混合使用 NAT,它都旨在从设计上提供安全性。
至于这为网络外部人员提供了什么访问权限,则取决于供应商的设备。如果供应商的设备可以连接到您网络中的其他设备,则可能成为漏洞的来源。
如果需要,您可以在此设备及其与 LAN 的连接之间放置防火墙 - 本质上就是创建 DMZ。由于这是 VOIP 设备,您可能希望将其与 LAN 建立的任何连接分离到 VLAN 中,以实现 QoS 目的 - 这样可以很好地将其与网络的其余部分隔离。