所以我理解 NAT 的工作原理,但我不明白防火墙的工作原理。使用非对称 NAT,如果有人向我发送数据包,该数据包会被阻止,但如果我向某人发送数据包,他们收到该数据包并将其发回给我,数据包就会通过。我的计算机上有 Windows 防火墙。防火墙的工作原理是否相同(比如它也阻止回复吗?)?
我的 Windows 防火墙有一些入站和出站规则。它还有一个“阻止所有入站流量”选项。当我为所有网络(公共和私有)选择“阻止所有入站流量”时,TeamViewer 和 Skype 仍然可以通过(它们显然具有在安装时设置的入站规则)。这些入站规则允许它们通过吗?入站/出站规则如何工作?如果我设置了“阻止所有入站流量”,然后向某人发送数据包,他们将其发回给我,它是否仍会通过?或者“阻止所有入站流量”会阻止这种情况发生吗?
请向我解释一下软件防火墙。网上的资源太差了。
答案1
TL;DR,是的,这意味着如果您建立出站连接,则您连接的服务可以响应。但是,除非您设置允许他们这样做的端口转发规则,否则他们无法主动连接到您。
首先,您将非对称 NAT 与状态包过滤混淆了。NAT 实际上并不对任何事物进行防火墙保护,它只是允许端口从源转换到目标。SPF 负责仅允许对流量进行请求响应。
TCP 是一种面向连接的协议,传输的双方协商并维持虚拟连接(相关的数据包流,这样即使数据包无序到达也可以保持数据包的顺序,很容易注意到格式错误或丢失的数据包,因此可以请求重新发送,并可以执行流控制操作以确保流量不会造成太多拥塞)。
这种连接导向允许防火墙判断给定的数据包是请求新连接,还是现有连接的一部分。
SPF 通常设置为允许所有传出连接尝试,并允许尝试连接的远程服务器在该连接内进行带内答复(例如,数据包来自正确端口上的正确源,正确设置了 SYN/ACK 标志,并具有正确的 SYN 和 ACK 值)通过 NAT。
SPF 通常不允许远程服务器启动与 NAT 墙内服务的连接。因此,您可以请求远程服务器的资源,它可以将其发送给您,但远程服务器不能请求您的资源。
端口转发或目标 NAT 允许您设置服务,以便外部服务器可以发起与其的连接来请求资源。您只应在绝对必要时这样做,因为它确实会使服务受到潜在的攻击。
请注意,使用 PortForwarding 时,即使您已经设置了端口来公开内部服务,您仍然必须允许该端口作为传入连接通过防火墙。
至于您在 Skype 和 Windows 防火墙中看到的情况,当它显示“阻止所有传入连接”时,这意味着它不允许远程服务器与您的机器建立未经请求的连接。但这并不意味着它会阻止从您的 PC 发起的连接中的回复,因此 Skype 可以连接到 Skype 服务器,并且这些服务器可以作为该连接的一部分进行响应。
希望有帮助。