nat过滤安全和打开

A. tplink的易展系列路由器更新后默认开启硬件NAT，是否建议打开

打开好，打开NAT之后，对于网络游戏的性能的提升是很明显的，而且如果你要使用P2p，必须要打开。

路由器（Router）是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。

具体功能

（1）实现IP、TCP、UDP、ICMP等网络的互连。

（2）对数据进行处理。收发数据包，具有对数据的分组过滤、复用、加密、压缩及防护墙等各项功能。

（3）依据路由表的信息，对数据包下一传输目的地进行选择。

（4） 进行外部网关协议和其他自治域之间拓扑信息的交换。

（5） 实现网络管理和系统支持功能。

B. nat防火墙是什么

nat防火墙功能是很强大的，那么它的作用都有些什么呢?下面由给你做出详细的nat防火墙作用介绍!希望对你有帮助!

nat防火墙作用介绍一：

nat转换表=地址转换技术，将内网发起的数据做nat地址转换，将内网ip地址+端口号转换成外网地址+端口号。当数据从远端传回时根据此转换的表项将数据发送到内网ip地址上。

路由器或者防火墙维护的就是这样一张nat转换表

外网ip+端口==内网ip+端口

nat防火墙作用介绍二：

NAT表又称为端口转换表。

要理解其功能需要了解以下知识：

1、局域网所有主机对外共享一个ip地址，即路由器的wan口地址;

2、局域网主机每个网络应用都有自己的内网端口，通过路由器转发时会变换为外网的端口。例如192.168.1.2 1000端口，对外也行就是220.166.93.20 的3500端口;

3、所以通过nat表管理员可以连接各主机与外网的连接数量，同时通过对端口的分析，还可以判断该连接是否具有被黑客利用的风险。

相关阅读：

nat实现方式

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

ALG(Application Level Gateway)，即应用程序级网关技术：传统的NAT技术只对IP层和传输层头部进行转换处理，但是一些应用层协议，在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换，NAT使用一种称作ALG的技术，它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如：对于FTP协议的PORT/PASV命令、DNS协议的 "A" 和 "PTR" queries命令和部分ICMP消息类型等都需要相应的ALG来支持。

如果协议数据报文中不包含地址信息，则很容易利用传统的NAT技术来完成透明的地址转换功能，通常我们使用的如下应用就可以直接利用传统的NAT技术：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

在计算机网络领域，NAT代表NetworkAddressTranslation。简而言之，NAT允许专用网络上的许多设备共享到互联网的单个网关。反过来，所有这些设备将具有相同的公共IP地址、网关和唯一的私有IP地址。不过如果没有防火墙，还是还是有些危险的，黑客容易从外侧控制的网络，一些简单的映射可以阅读《想nat映射这一篇文章就足够了！小白的福音，想学技术不是梦》

JUMP STRAIGHT TO：具有NAT防火墙的最佳VPN

当您访问网站时，您的设备会向路由器发送请求，并使用其私有IP地址标识自己。然后路由器转换请求并使用其面向公众的IP地址将其转发到网站的服务器，记下发起的私有地址。服务器使用网站副本回复路由器，然后路由器通过专用IP地址转发到您的设备。

许多称为NAT防火墙的系统实际上是PAT防火墙。它使具有一个IP地址的网络网关能够代表许多计算机。不同之处在于为每个设备分配了一个端口号而不是一个私有IP地址。

当网络网关从网络上的计算机接收传出地址时，它会将计算机的返回地址替换为其自己的互联网兼容地址，并在最后添加端口号。然后，网关在其转换表中创建一个条目，以便它知道它使用的端口号代表网络上的特定计算机。

该系统非常受欢迎，因为它减少了公司需要拥有的互联网IP地址的数量。它也是一个非常好的VPN服务系统，因为离开VPN网关的所有流量都将具有相同的返回地址。由于许多VPN服务有数百个客户同时连接到同一位置，因此无法解决每个请求来自哪个用户。

NAT防火墙和托管

由于NAT防火墙禁止未经请求的流量到达最终用户设备，因此在暴露时它们会造成麻烦。虽然落后于其中一个，但您可能无法上传（种子）文件供其他torrent用户下载。相反，您可能无法连接到可以下载（leech）文件的同类对象。NAT防火墙可以阻止你在洪流群中的大部分用户。PAT防火墙也是如此。

但是，这并不是说使用NAT防火墙是不可能的。目前，大多数NAT防火墙都不是那么严格，以至于它们会严重影响下载或上传性能。您可能会在酒店或学校等公共场所找到更严格的防火墙，但大多数家庭路由器和VPN服务都不会以这种方式限制托管。

如果本地网络上的NAT防火墙阻止您进行托管，则可以使用VPN绕过它。回想一下，由于所有入站流量都通过VPN并且已加密，因此您的本地NAT防火墙无法区分请求和未经请求的流量。即使VPN具有自己的NAT防火墙，它也可能不如专用网络上那么严格。

少数VPN允许您设置端口转发以绕过NAT防火墙限制，但重要的是要注意这样做会危及安全性。打开端口使您更容易受到攻击，并且由于您使用的是特殊端口，因此您的互联网流量更容易与其他VPN用户区分开来。这使您更容易跟踪。

端口转发也是uTorrent等torrent客户端的常见功能，但同样的风险也适用。

C. NAT妯″紡鎬庝箞寮鍚锛

1銆侀栧厛锛岄渶瑕佸湪璁惧畾鐢婚潰涓婏紝鎸変綇 RB 锛岀洿鍒拌繘鍏ャ岃惧畾銆嶉〉闈锛屽墠寰銆岃惧畾銆嶃傜劧寰岄夊彇銆岀郴缁熻惧畾銆嶃

鎵╁睍璧勬枡锛

鍙鎻愰珮杩為氭х殑鍏朵粬涓炬帾锛

1銆佺‘淇濇偍璺鐢卞櫒鐨勫浐浠跺凡鍗囩骇鑷虫渶鏂扮増鏈銆

2銆佹嫈鎺夎矾鐢卞櫒鐨勭數婧愭彃澶达紝10 鍒嗛挓涔嬪悗鍐嶉噸鏂版彃涓娿備竴浜涜佹棫璺鐢卞櫒鍦ㄩ噸鏂板惎鍔ㄥ墠浼氶殢浣跨敤鏃堕棿鐨勫炲姞閫愭笎涓уけ鎬ц兘锛屼笌鐢佃剳鐩镐技銆

3銆佹父鐜╂湡闂村叧闂鎵鏈夐槻鐏澧欐垨鍏朵粬缃戠粶杩囨护杞浠讹紝鎴栬呮墦寮涓婃枃鎻愬埌鐨勭鍙ｃ

4銆佸惎鐢ㄦ垨绂佺敤璺鐢卞櫒鐨 uPnP锛堥氱敤鍗虫彃鍗崇敤锛夊姛鑳姐

5銆佸畬鍏ㄦ姏寮冭矾鐢卞櫒锛屽皢鐢佃剳涓庤皟鍒惰В璋冨櫒鐢ㄧ綉绾胯繘琛岀洿杩烇紙闈 wi-fi锛夈

6銆佸傛灉鎮ㄧ殑璺鐢卞櫒宸茶繛鎺ヨ嚦缃戝叧锛堢綉鍏冲唴鍖呭惈璋冨埗瑙ｈ皟鍣ㄥ拰璺鐢卞櫒锛夛紝涓や釜璁惧囧彲鑳戒細鍚屾椂琛屼娇 NAT 鍔熻兘銆備负瑙ｅ喅杩欎竴闂棰橈紝璇峰皢鎮ㄧ殑缃戝叧缃浜庘滄ˉ鎺ユā寮忊濓紝杩欐牱灏卞彧鏈夎矾鐢卞櫒琛屼娇 NAT 鍔熻兘浜嗐

鍘熷洜锛歂AT 绫诲瀷鏈変笁绉嶅ぇ鑷村垎绫伙細

寮鏀撅紙Open锛夛細鍙浠ヤ笌浠讳綍 NAT 绫诲瀷鐜╁惰仈鏈烘父鐜┿備腑绛夛紙Moderate锛夛細鍙浠ヤ笌 NAT 绫诲瀷涓衡滀腑绛夆濈殑鐜╁惰仈鏈烘父鐜┿備弗鏍硷紙Strict锛夛細鍙鑳戒笌 NAT 绫诲瀷涓衡滃紑鏀锯濈殑鐜╁惰繘琛屾父鐜┿

濡傛灉浣犵殑 NAT 绫诲瀷涓衡滀弗鏍尖濓紝灏嗗け鍘讳笌澶ч儴鍒嗙帺瀹惰仈鏈烘父鐜╃殑鏈轰細銆傝繖鍙鑳戒細瀵艰嚧鏇撮珮鐨勫欢杩熴佽寖鍥存洿灏忕殑鎴樺眬绫诲瀷銆佹洿闀跨殑绛夊緟鏃堕棿鍜屾洿鍔犻戠箒鐨勮繛鎺ヤ腑鏂銆傚綋杩炴帴鍑虹幇鍐茬獊鏃讹紝娓告垙鍙鑳戒細韪㈠嚭 NAT 绫诲瀷涓衡滀弗鏍尖濈殑鐜╁躲

鍙傝冭祫鏂欙細鐧惧害鐧剧-NAT

D. 交换机如何对NAT进行防范

一． 代理技术简介
代理技术是指网络中不具备合法IP地址的计算机通过一台具有合法IP地址的设备（计算机或者路由器）来对网络进行正常访问的技术。
二． 代理服务器实现方式
1． NAT代理方式。
下面是通过NAT进行代理的网络示意图：
在上图中，下面的3台pc机都不具备运营商提供的合法IP地址，但是因为路由器与运营商网络连接端口具有合法的IP地址，因此来自下面3台PC的数据的源IP都将被转换为合法的IP地址后发送给运营商提供的网络，对于运营商的网络设备来说，是不知道这些数据是来自多台PC、而只会认为是来自一台具备合法IP地址的PC，从而会将这些数据进行正常的转发；当来自互联网的数据到达运营商网络时，运营商网络将正确的把数据发送给路由器，当该路由器接收到这样的数据时，会根据NAT的转发表项来将数据转发给下面连接的具体的特定PC，从而这些不具备合法IP地址的PC机可以正常的使用互联网资源。
一般来说，路由器都支持NAT技术，因此路由器可以作为代理服务器使用；另外，windows操作系统提供的internet连接共享功能也是通过NAT实现的，因此安装了windows操作系统的PC机如果具备多个网卡，也可以作为代理服务器使用。
2． 应用程序代理方式
上图中，下面的3台PC机不具备合法的IP地址，PC-A具有合法的IP地址、并且安装了代理软件。当下面的3台PC需要访问互联网时，它们将该请求发送给PC-A而不是将请求发送给最终目的站点，然后由PC-A向目的站点发送请求，当PC-A收到来自互联网的应答后，PC-A再将接收到的数据发送给下面的PC机。
这种方式与NAT方式的区别在于：NAT只是将数据报的源IP地址进行替换，实际上还是不具备合法IP地址的PC与目的站点进行通信；而应用程序代理软件的方式则是不具备合法IP地址的PC只与代理服务器通信，由代理服务器与目的站点进行通信，并将结果返回给不具备合法IP地址的PC。
使用代理软件进行代理的缺点：因为使用代理软件是针对应用层的协议进行开发的，所以需要针对不同的应用程序开发代理软件，所以限制就比较多。比如，如果只支持http代理，那么不具备合法IP地址的PC就只能通过代理服务器进行web浏览，不能使用ftp进行下载，也不能玩一些网络游戏。
因此，目前使用最多的代理方式还是NAT代理方式。
在实际生活中，是网络运营商构建网络来对家庭用户提供网络接入服务、并对每个家庭用户收取服务费用，目前使用最多的计费方式是针对时长进行计费（比如包月制）。但是由于代理技术的存在，目前这种现象也非常普遍：即一个家庭用户申请开通宽度业务、使用代理技术让其它家庭用户的PC也可以正常访问网络。
这就损害了网络运营商的利益：即运营商只收入了一个家庭用户的费用而对多个家庭用户提供了网络接入服务。所以在这种场合下就需要对代理进行防范。
四． 交换机防代理方案介绍
1． 采用上联借口插卡进行NAT代理的预防
在2层交换机的上联百兆接口上添加具有辨别数据是否经过NAT处理的接口插卡，使用这种插卡后，凡是即将从这个插卡接口发出的数据如果是经过NAT处理的、那么这种数据将会被丢弃掉；因此，如果在2层交换机上使用防NAT代理卡，并把卡上的接口作为上联接口，即可以过滤掉NAT处理过的数据。
使用防代理卡后的网络应用拓扑：
在上图中，在S2000M交换机上插入防代理接口卡，并以防代理卡上的接口作为S2000M交换机的上联接口；如果有数据是经过NAT处理的，那么当这个数据将从上联接口发送出去前就将被防代理卡丢弃掉，这样的数据不能越过S2000M进入运营商的网络、从而不能访问互联网。
2． 对应用程序代理的预防
这种方式下代理服务器为其所服务的非法PC发出的代理数据 其实与代理服务器本身主动与外界的通信是没有区别的，因此不能在网络中增加特定过滤设备的方式进行数据过滤。
因此可以在交换机上安装防代理软件服务器程序，在接入用户的PC机上安装防代理软件客户端程序的方式实现。安装在用户PC机上的防代理客户端程序用于监控用户的PC是否运行了代理软件，如果运行了代理软件则不允许该PC机向外发送数据；同时，该防代理软件客户端程序还具有与交换机上的防代理程序互通的功能，用于让交换机确保用户的PC上运行了防代理客户端程序，如果用户的PC没有运行防代理客户端程序，那么交换机不接受这台PC机发送过来的数据，从而可以实现强制用户一定要运行防代理程序的目的。
五． 结束语
作为定位于为网络运营商提供各种网络设备的厂商，

E. NAT 的路由器如何保护其内部的计算机系统

nat只能保来护没有被nat的内部计算机，源nat用中文的解释就是网络映射，就是把局域网内的机器映射到互联网上，这样互联网上的计算机就能够直接和网的计算机进行通讯。从一定程度上说，nat削弱了内网计算机的安全。

这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间的枯竭。在RFC 2663中有对NAT的说明。

(5)nat过滤安全和打开扩展阅读：

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问。