找回密码
 注册帐号
查看: 4036|回复: 0

nat防火墙有哪几种防御方式?

[复制链接]
发表于 2019-8-12 15:42 | 显示全部楼层 |阅读模式

在计算机网络领域,NAT代表NetworkAddressTranslation。简而言之,NAT允许专用网络上的许多设备共享到互联网的单个网关。反过来,所有这些设备将具有相同的公共IP地址、 网关和唯一的私有IP地址。不过如果没有防火墙,还是还是有些危险的,黑客容易从外侧控制的网络,一些简单的映射可以阅读《想nat映射这一篇文章就足够了!小白的福音,想学技术不是梦

JUMP STRAIGHT TO:具有NAT防火墙的最佳加速器

当您访问网站时,您的设备会向路由器发送请求,并使用其私有IP地址标识自己。然后路由器转换请求并使用其面向公众的IP地址将其转发到网站的服务器,记下发起的私有地址。服务器使用网站副本回复路由器,然后路由器通过专用IP地址转发到您的设备。


                               
登录/注册后可看大图

防火墙是保护层,防止不必要的通信设备出现在你们的加密网络上。

一个NAT防火墙的工作原理是只允许互联网流量通过网关,如果在专用网络上的设备要求它。任何未经请求的请求或数据包都将被丢弃,从而阻止与互联网上具有潜在危险的设备进行通信。如果入站互联网流量没有私有IP地址转发到网关之外,则NAT防火墙知道流量是未经请求的,应该被丢弃。

互联网上的计算机和服务器只能看到路由器的公共IP地址,而不能看到特定设备的私有IP地址,如手机,笔记本电脑,智能电视,物联网设备和游戏机。这也称为IP伪装。

怎么判断自己的NAT是不是有保护的防火墙?

不确定您的wifi路由器是否启用了NAT防火墙?尝试将两个设备连接到同一个wifi网络,例如笔记本电脑和智能手机。

然后在搜索引擎上搜索一下您本机IP……

如果您看到两个设备的IP地址相同,则可能是NAT防火墙的保护。您的设备具有不同的私有(本地)IP地址,但具有相同的公共IP地址,可能您就没有NAT防火墙的保护。

在加速器上,确定是否正在使用NAT防火墙可能更加困难,但您通常可以在加速器提供商的文档中找到某个位置。您可以选择在加速器应用程序设置中启用或禁用NAT防火墙,也可以选择购买一个NAT防火墙。

NAT防火墙和加速器

加速器或虚拟专用网络对设备的互联网流量进行加密,并通过用户选择的位置中的中间服务器进行路由。由于所有互联网流量在到达互联网之前通过加速器“隧道化”,因此无线路由器上的NAT防火墙无法区分请求和未经请求的流量。因为所有内容都是从加速器服务器加密的,所以看起来都一样,使路由器的NAT防火墙变得无用。

因此,许多加速器实现NAT防火墙。加速器服务器代替您的无线路由器过滤掉不需要的流量。有时NAT防火墙是可选的额外功能,有时默认情况下它们内置在加速器中。

并非所有人都同意NAT防火墙和加速器是一个很好的组合。

加速器提供商通常属于两个阵营之一:使用NAT防火墙的阵营和使用PAT防火墙的阵营。我们将进一步解释后者。

使用NAT防火墙的加速器为每个用户分配唯一的私有IP地址。它将wifi路由器的NAT防火墙的所有好处扩展到您的加速器连接,如上所述。

缺点是即使您受到保护以免受不必要的通信影响,加速器提供商或第三方也可以更轻松地跟踪您的设备。

另一种方法是为连接到同一服务器的所有加速器用户分配相同的公共IP地址,而不使用唯一的私有IP地址。这增加了一个重要的匿名层,因为在线活动无法通过IP地址追溯到个人或设备。

Express加速器是一个反对NAT防火墙的提供商。该公司称它使用端口阻塞策略代替NAT防火墙:

“Express加速器的服务器记住所有请求,并从服务器上的不同端口广播它们。用户收到来自Express加速器的回复,但其他端口仍然关闭。保持端口关闭可以保护用户,就像防火墙一样。“

端口地址转换


                               
登录/注册后可看大图

许多称为NAT防火墙的系统实际上是PAT防火墙。它使具有一个IP地址的网络网关能够代表许多计算机。不同之处在于为每个设备分配了一个端口号而不是一个私有IP地址。

当网络网关从网络上的计算机接收传出地址时,它会将计算机的返回地址替换为其自己的互联网兼容地址,并在最后添加端口号。然后,网关在其转换表中创建一个条目,以便它知道它使用的端口号代表网络上的特定计算机。

该系统非常受欢迎,因为它减少了公司需要拥有的互联网IP地址的数量。它也是一个非常好的加速器服务系统,因为离开加速器网关的所有流量都将具有相同的返回地址。由于许多加速器服务有数百个客户同时连接到同一位置,因此无法解决每个请求来自哪个用户。

NAT防火墙和托管

由于NAT防火墙禁止未经请求的流量到达最终用户设备,因此在暴露时它们会造成麻烦。虽然落后于其中一个,但您可能无法上传(种子)文件供其他torrent用户下载。相反,您可能无法连接到可以下载(leech)文件的同类对象。NAT防火墙可以阻止你在洪流群中的大部分用户。PAT防火墙也是如此。

但是,这并不是说使用NAT防火墙是不可能的。目前,大多数NAT防火墙都不是那么严格,以至于它们会严重影响下载或上传性能。您可能会在酒店或学校等公共场所找到更严格的防火墙,但大多数家庭路由器和加速器服务都不会以这种方式限制托管。

如果本地网络上的NAT防火墙阻止您进行托管,则可以使用加速器绕过它。回想一下,由于所有入站流量都通过加速器并且已加密,因此您的本地NAT防火墙无法区分请求和未经请求的流量。即使加速器具有自己的NAT防火墙,它也可能不如专用网络上那么严格。

少数加速器允许您设置端口转发以绕过NAT防火墙限制,但重要的是要注意这样做会危及安全性。打开端口使您更容易受到攻击,并且由于您使用的是特殊端口,因此您的互联网流量更容易与其他加速器用户区分开来。这使您更容易跟踪。

端口转发也是uTorrent等torrent客户端的常见功能,但同样的风险也适用。


您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

Archiver|小黑屋|手机版|外贸之家

GMT+8, 2024-12-23 21:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表