有一个网站阻止了ISP的子网(因为攻击来自该networking)。
ISP给它的用户只有NAT的IP地址,所以客户端在他们的路由器上创build了10.xxx的IP地址。
我要求ISP停止这样做(给客户端IP地址),或者使用IPv6或者打电话给攻击者重新安装桌面,因为这可能是病毒感染的。
ISP回答说:这是使用NAT的安全防范措施。
有人可以解释NAT如何使networking更安全? AFAIK NAT不是为了安全而devise的。
在我看来,虽然不是虚假的,但并非如此,任何声称不明的人都应该仔细检查蛇油的痕迹。
早期的时候,防火墙(当它们存在时)是简单的数据包检测设备。 他们会根据数据包本身的特性决定是转发还是丢弃数据包 。 你可能会说“ 这个数据包来自TCP端口80,它有SYN和ACK标志设置,所以它(很有可能)是一个Web服务器对最初的TCP连接尝试的响应,所以让它进入 。
防火墙安全性的显着改进是状态防火墙。 在考虑用于通知关于该分组的决定的任何给定分组之前,这具有通过它的stream量的记忆。
有了一个状态防火墙,你可以说“ 这个数据包来自TCP端口80,并且源地址和端口匹配了大约75ms前经过我的TCP SYN数据包的目的地址和端口,所以它是一个web服务器的响应到在我的信任networking内开始的一个初始的TCP连接尝试,所以让它进入 。或者你可以看一个ICMP echo-reply ,并且只有当它对应于最近的一个特定的外部服务器的echo-request时才允许它。上。
NAT防火墙的事情是隐含的状态 。 因为在互联网有任何回应之前,所有内部到外部的stream量都必须重新添加一个新的源地址,如果防火墙logging了最近发送了一些stream量的特定内部机器,stream量只能从外部stream向内部生成回复。 如果防火墙没有这样的logging,则不能重写入站数据包的目的IP地址,因为它不知道要将哪个内部地址重写到哪个内部地址。
所以我的感觉是,有状态的防火墙比无状态的防火墙更安全,所有的NAT防火墙都是隐含的状态。 当然,在过去的十年中,我见过的其他所有防火墙都具有状态function,只要非NAT防火墙的configuration不是很糟糕,它也提供类似的安全性。 我从来没有见过任何分析表明,除了隐含的有状态以外,NAT还有任何安全优势。
NAT更安全,因为除非端口被专门转发,否则根本没有路由到它后面的主机。 默认情况下阻塞的防火墙可以提供相同的级别,所以针对NAT的参数是它没有提供额外的安全性,但是这是假设一个pipe理良好的防火墙是在那里。
实际上,使用NAT后面的特洛伊木马倾倒人们可能比较有效,并且比试图过滤所有的stream量需要相当less的资源。 许多事情都是有用的,而不是他们原来的意图。 互联网还没有准备好IPv6,所以这不是一个真正的解决scheme。 另外,由于IPv4地址耗尽,通过NAT共享地址可能是他们正在寻找借口使用的东西。 (当有更便宜的select时,他们没有动力投资IPv6)