有了NAT内网就安全了吗

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

NAT不是用来解决网络安全的问题的,NAT是为了解决IP地址枯竭的问题而设计的,当然NAT也有一定的安全性,同时在配置NAT的时候,都会同时配置端口过滤,这样安全性将会大大提高,如果要把NAT和FW做比较(其实无法作比较,两个不同的东东),那么我们下面所说的NAT是一个没有做任何过滤的单纯的NAT。

从原理上来说,有很多方法绕过NAT进入内部网络:

1) 象木马等方式可以使得内部网络一台机器作为攻击内部网络的跳板,微软类似这样被搞过很多次了;

2) 某些NAT无法阻挡源路由协议的攻击,攻击者可以由此进入内部网络(可以通过Windows下的tracert命令的-j参数进行测试, -j host-list Loose source route along host-list.)

3) NAT如果不加过滤,一些伪造源IP地址的包也可能侵入内部网络

4) 如果内部有台符合RFC标准的能够提供PASV方式的FTP服务器的话,外部用户可以通过这台FTP服务器进行FTP PASV方式的端口扫描。

5) more and more...

有太多方式可以透过NAT进入内部网络,而且还有一堆人都在研究怎么透过NAT甚至NAT+FW

FW在很多方面可以加强整个内部网络的安全性:

1) 端口过滤,端口过滤是加强安全的最基础的方式,可以防止想当一部分攻击;

2) 地址过滤,可以防止一些伪造源IP地址的攻击和源路由攻击

3) 会话过滤,好的FW可以做到会话级别的过滤

4) 应用过滤,能够实现应用级别的过滤是FW的比较高级的功能了,过滤颗粒比较细

5) more and more...

结论是仅仅用NAT来实现网络安全是不够的,FW有很多NAT实现不了的功能,完整的网络安全解决方案还应该包括网络防毒、IDS以及专家扫描系统等等,我认为最重要的还是管理员的水平和尽不尽职。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航