nat過濾安全和打開

A. tplink的易展系列路由器更新後默認開啟硬體NAT，是否建議打開

打開好，打開NAT之後，對於網路游戲的性能的提升是很明顯的，而且如果你要使用P2p，必須要打開。

路由器（Router）是連接兩個或多個網路的硬體設備，在網路間起網關的作用，是讀取每一個數據包中的地址然後決定如何傳送的專用智能性的網路設備。

具體功能

（1）實現IP、TCP、UDP、ICMP等網路的互連。

（2）對數據進行處理。收發數據包，具有對數據的分組過濾、復用、加密、壓縮及防護牆等各項功能。

（3）依據路由表的信息，對數據包下一傳輸目的地進行選擇。

（4） 進行外部網關協議和其他自治域之間拓撲信息的交換。

（5） 實現網路管理和系統支持功能。

B. nat防火牆是什麼

nat防火牆功能是很強大的，那麼它的作用都有些什麼呢?下面由給你做出詳細的nat防火牆作用介紹!希望對你有幫助!

nat防火牆作用介紹一：

nat轉換表=地址轉換技術，將內網發起的數據做nat地址轉換，將內網ip地址+埠號轉換成外網地址+埠號。當數據從遠端傳回時根據此轉換的表項將數據發送到內網ip地址上。

路由器或者防火牆維護的就是這樣一張nat轉換表

外網ip+埠==內網ip+埠

nat防火牆作用介紹二：

NAT表又稱為埠轉換表。

要理解其功能需要了解以下知識：

1、區域網所有主機對外共享一個ip地址，即路由器的wan口地址;

2、區域網主機每個網路應用都有自己的內網埠，通過路由器轉發時會變換為外網的埠。例如192.168.1.2 1000埠，對外也行就是220.166.93.20 的3500埠;

3、所以通過nat表管理員可以連接各主機與外網的連接數量，同時通過對埠的分析，還可以判斷該連接是否具有被黑客利用的風險。

相關閱讀：

nat實現方式

NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和埠多路復用OverLoad。

靜態轉換是指將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換，可以實現外部網路對內部網路中某些特定設備(如伺服器)的訪問。

動態轉換是指將內部網路的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少於網路內部的計算機數量時。可以採用動態轉換的方式。

埠多路復用(Port address Translation,PAT)是指改變外出數據包的源埠並進行埠轉換，即埠地址轉換(PAT，Port Address Translation).採用埠多路復用方式。內部網路的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網路內部的所有主機，有效避免來自internet的攻擊。因此，目前網路中應用最多的就是埠多路復用方式。

ALG(Application Level Gateway)，即應用程序級網關技術：傳統的NAT技術只對IP層和傳輸層頭部進行轉換處理，但是一些應用層協議，在協議數據報文中包含了地址信息。為了使得這些應用也能透明地完成NAT轉換，NAT使用一種稱作ALG的技術，它能對這些應用程序在通信時所包含的地址信息也進行相應的NAT轉換。例如：對於FTP協議的PORT/PASV命令、DNS協議的 "A" 和 "PTR" queries命令和部分ICMP消息類型等都需要相應的ALG來支持。

如果協議數據報文中不包含地址信息，則很容易利用傳統的NAT技術來完成透明的地址轉換功能，通常我們使用的如下應用就可以直接利用傳統的NAT技術：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

在計算機網路領域，NAT代表NetworkAddressTranslation。簡而言之，NAT允許專用網路上的許多設備共享到互聯網的單個網關。反過來，所有這些設備將具有相同的公共IP地址、網關和唯一的私有IP地址。不過如果沒有防火牆，還是還是有些危險的，黑客容易從外側控制的網路，一些簡單的映射可以閱讀《想nat映射這一篇文章就足夠了！小白的福音，想學技術不是夢》

JUMP STRAIGHT TO：具有NAT防火牆的最佳VPN

當您訪問網站時，您的設備會向路由器發送請求，並使用其私有IP地址標識自己。然後路由器轉換請求並使用其面向公眾的IP地址將其轉發到網站的伺服器，記下發起的私有地址。伺服器使用網站副本回復路由器，然後路由器通過專用IP地址轉發到您的設備。

許多稱為NAT防火牆的系統實際上是PAT防火牆。它使具有一個IP地址的網路網關能夠代表許多計算機。不同之處在於為每個設備分配了一個埠號而不是一個私有IP地址。

當網路網關從網路上的計算機接收傳出地址時，它會將計算機的返回地址替換為其自己的互聯網兼容地址，並在最後添加埠號。然後，網關在其轉換表中創建一個條目，以便它知道它使用的埠號代表網路上的特定計算機。

該系統非常受歡迎，因為它減少了公司需要擁有的互聯網IP地址的數量。它也是一個非常好的VPN服務系統，因為離開VPN網關的所有流量都將具有相同的返回地址。由於許多VPN服務有數百個客戶同時連接到同一位置，因此無法解決每個請求來自哪個用戶。

NAT防火牆和託管

由於NAT防火牆禁止未經請求的流量到達最終用戶設備，因此在暴露時它們會造成麻煩。雖然落後於其中一個，但您可能無法上傳（種子）文件供其他torrent用戶下載。相反，您可能無法連接到可以下載（leech）文件的同類對象。NAT防火牆可以阻止你在洪流群中的大部分用戶。PAT防火牆也是如此。

但是，這並不是說使用NAT防火牆是不可能的。目前，大多數NAT防火牆都不是那麼嚴格，以至於它們會嚴重影響下載或上傳性能。您可能會在酒店或學校等公共場所找到更嚴格的防火牆，但大多數家庭路由器和VPN服務都不會以這種方式限制託管。

如果本地網路上的NAT防火牆阻止您進行託管，則可以使用VPN繞過它。回想一下，由於所有入站流量都通過VPN並且已加密，因此您的本地NAT防火牆無法區分請求和未經請求的流量。即使VPN具有自己的NAT防火牆，它也可能不如專用網路上那麼嚴格。

少數VPN允許您設置埠轉發以繞過NAT防火牆限制，但重要的是要注意這樣做會危及安全性。打開埠使您更容易受到攻擊，並且由於您使用的是特殊埠，因此您的互聯網流量更容易與其他VPN用戶區分開來。這使您更容易跟蹤。

埠轉發也是uTorrent等torrent客戶端的常見功能，但同樣的風險也適用。

C. NAT妯″紡鎬庝箞寮鍚錛

1銆侀栧厛錛岄渶瑕佸湪璁懼畾鐢婚潰涓婏紝鎸変綇 RB 錛岀洿鍒拌繘鍏ャ岃懼畾銆嶉〉闈錛屽墠寰銆岃懼畾銆嶃傜劧寰岄夊彇銆岀郴緇熻懼畾銆嶃

鎵╁睍璧勬枡錛

鍙鎻愰珮榪為氭х殑鍏朵粬涓炬帾錛

1銆佺『淇濇偍璺鐢卞櫒鐨勫滻浠跺凡鍗囩駭鑷蟲渶鏂扮増鏈銆

2銆佹嫈鎺夎礬鐢卞櫒鐨勭數婧愭彃澶達紝10 鍒嗛挓涔嬪悗鍐嶉噸鏂版彃涓娿備竴浜涜佹棫璺鐢卞櫒鍦ㄩ噸鏂板惎鍔ㄥ墠浼氶殢浣跨敤鏃墮棿鐨勫炲姞閫愭笎涓уけ鎬ц兘錛屼笌鐢佃剳鐩鎬技銆

3銆佹父鐜╂湡闂村叧闂鎵鏈夐槻鐏澧欐垨鍏朵粬緗戠粶榪囨護杞浠訛紝鎴栬呮墦寮涓婃枃鎻愬埌鐨勭鍙ｃ

4銆佸惎鐢ㄦ垨紱佺敤璺鐢卞櫒鐨 uPnP錛堥氱敤鍗蟲彃鍗崇敤錛夊姛鑳姐

5銆佸畬鍏ㄦ姏寮冭礬鐢卞櫒錛屽皢鐢佃剳涓庤皟鍒惰В璋冨櫒鐢ㄧ綉綰胯繘琛岀洿榪烇紙闈 wi-fi錛夈

6銆佸傛灉鎮ㄧ殑璺鐢卞櫒宸茶繛鎺ヨ嚦緗戝叧錛堢綉鍏沖唴鍖呭惈璋冨埗瑙ｈ皟鍣ㄥ拰璺鐢卞櫒錛夛紝涓や釜璁懼囧彲鑳戒細鍚屾椂琛屼嬌 NAT 鍔熻兘銆備負瑙ｅ喅榪欎竴闂棰橈紝璇峰皢鎮ㄧ殑緗戝叧緗浜庘滄ˉ鎺ユā寮忊濓紝榪欐牱灝卞彧鏈夎礬鐢卞櫒琛屼嬌 NAT 鍔熻兘浜嗐

鍘熷洜錛歂AT 綾誨瀷鏈変笁縐嶅ぇ鑷村垎綾伙細

寮鏀撅紙Open錛夛細鍙浠ヤ笌浠諱綍 NAT 綾誨瀷鐜╁惰仈鏈烘父鐜┿備腑絳夛紙Moderate錛夛細鍙浠ヤ笌 NAT 綾誨瀷涓衡滀腑絳夆濈殑鐜╁惰仈鏈烘父鐜┿備弗鏍礆紙Strict錛夛細鍙鑳戒笌 NAT 綾誨瀷涓衡滃紑鏀鋸濈殑鐜╁惰繘琛屾父鐜┿

濡傛灉浣犵殑 NAT 綾誨瀷涓衡滀弗鏍尖濓紝灝嗗け鍘諱笌澶ч儴鍒嗙帺瀹惰仈鏈烘父鐜╃殑鏈轟細銆傝繖鍙鑳戒細瀵艱嚧鏇撮珮鐨勫歡榪熴佽寖鍥存洿灝忕殑鎴樺矓綾誨瀷銆佹洿闀跨殑絳夊緟鏃墮棿鍜屾洿鍔犻戠箒鐨勮繛鎺ヤ腑鏂銆傚綋榪炴帴鍑虹幇鍐茬獊鏃訛紝娓告垙鍙鑳戒細韙㈠嚭 NAT 綾誨瀷涓衡滀弗鏍尖濈殑鐜╁躲

鍙傝冭祫鏂欙細鐧懼害鐧劇-NAT

D. 交換機如何對NAT進行防範

一． 代理技術簡介
代理技術是指網路中不具備合法IP地址的計算機通過一台具有合法IP地址的設備（計算機或者路由器）來對網路進行正常訪問的技術。
二． 代理伺服器實現方式
1． NAT代理方式。
下面是通過NAT進行代理的網路示意圖：
在上圖中，下面的3台pc機都不具備運營商提供的合法IP地址，但是因為路由器與運營商網路連接埠具有合法的IP地址，因此來自下面3台PC的數據的源IP都將被轉換為合法的IP地址後發送給運營商提供的網路，對於運營商的網路設備來說，是不知道這些數據是來自多台PC、而只會認為是來自一台具備合法IP地址的PC，從而會將這些數據進行正常的轉發；當來自互聯網的數據到達運營商網路時，運營商網路將正確的把數據發送給路由器，當該路由器接收到這樣的數據時，會根據NAT的轉發表項來將數據轉發給下面連接的具體的特定PC，從而這些不具備合法IP地址的PC機可以正常的使用互聯網資源。
一般來說，路由器都支持NAT技術，因此路由器可以作為代理伺服器使用；另外，windows操作系統提供的internet連接共享功能也是通過NAT實現的，因此安裝了windows操作系統的PC機如果具備多個網卡，也可以作為代理伺服器使用。
2． 應用程序代理方式
上圖中，下面的3台PC機不具備合法的IP地址，PC-A具有合法的IP地址、並且安裝了代理軟體。當下面的3台PC需要訪問互聯網時，它們將該請求發送給PC-A而不是將請求發送給最終目的站點，然後由PC-A向目的站點發送請求，當PC-A收到來自互聯網的應答後，PC-A再將接收到的數據發送給下面的PC機。
這種方式與NAT方式的區別在於：NAT只是將數據報的源IP地址進行替換，實際上還是不具備合法IP地址的PC與目的站點進行通信；而應用程序代理軟體的方式則是不具備合法IP地址的PC只與代理伺服器通信，由代理伺服器與目的站點進行通信，並將結果返回給不具備合法IP地址的PC。
使用代理軟體進行代理的缺點：因為使用代理軟體是針對應用層的協議進行開發的，所以需要針對不同的應用程序開發代理軟體，所以限制就比較多。比如，如果只支持http代理，那麼不具備合法IP地址的PC就只能通過代理伺服器進行web瀏覽，不能使用ftp進行下載，也不能玩一些網路游戲。
因此，目前使用最多的代理方式還是NAT代理方式。
在實際生活中，是網路運營商構建網路來對家庭用戶提供網路接入服務、並對每個家庭用戶收取服務費用，目前使用最多的計費方式是針對時長進行計費（比如包月制）。但是由於代理技術的存在，目前這種現象也非常普遍：即一個家庭用戶申請開通寬度業務、使用代理技術讓其它家庭用戶的PC也可以正常訪問網路。
這就損害了網路運營商的利益：即運營商只收入了一個家庭用戶的費用而對多個家庭用戶提供了網路接入服務。所以在這種場合下就需要對代理進行防範。
四． 交換機防代理方案介紹
1． 採用上聯借口插卡進行NAT代理的預防
在2層交換機的上聯百兆介面上添加具有辨別數據是否經過NAT處理的介面插卡，使用這種插卡後，凡是即將從這個插卡介面發出的數據如果是經過NAT處理的、那麼這種數據將會被丟棄掉；因此，如果在2層交換機上使用防NAT代理卡，並把卡上的介面作為上聯介面，即可以過濾掉NAT處理過的數據。
使用防代理卡後的網路應用拓撲：
在上圖中，在S2000M交換機上插入防代理介面卡，並以防代理卡上的介面作為S2000M交換機的上聯介面；如果有數據是經過NAT處理的，那麼當這個數據將從上聯介面發送出去前就將被防代理卡丟棄掉，這樣的數據不能越過S2000M進入運營商的網路、從而不能訪問互聯網。
2． 對應用程序代理的預防
這種方式下代理伺服器為其所服務的非法PC發出的代理數據 其實與代理伺服器本身主動與外界的通信是沒有區別的，因此不能在網路中增加特定過濾設備的方式進行數據過濾。
因此可以在交換機上安裝防代理軟體伺服器程序，在接入用戶的PC機上安裝防代理軟體客戶端程序的方式實現。安裝在用戶PC機上的防代理客戶端程序用於監控用戶的PC是否運行了代理軟體，如果運行了代理軟體則不允許該PC機向外發送數據；同時，該防代理軟體客戶端程序還具有與交換機上的防代理程序互通的功能，用於讓交換機確保用戶的PC上運行了防代理客戶端程序，如果用戶的PC沒有運行防代理客戶端程序，那麼交換機不接受這台PC機發送過來的數據，從而可以實現強制用戶一定要運行防代理程序的目的。
五． 結束語
作為定位於為網路運營商提供各種網路設備的廠商，

E. NAT 的路由器如何保護其內部的計算機系統

nat只能保來護沒有被nat的內部計算機，源nat用中文的解釋就是網路映射，就是把區域網內的機器映射到互聯網上，這樣互聯網上的計算機就能夠直接和網的計算機進行通訊。從一定程度上說，nat削弱了內網計算機的安全。

這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助於減緩可用的IP地址空間的枯竭。在RFC 2663中有對NAT的說明。

(5)nat過濾安全和打開擴展閱讀：

NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和埠多路復用OverLoad。

將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。將內部網路的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問。