Perché NAT è definito "firewall del povero uomo"? [duplicare]

-1

In che modo NAT protegge la rete? In che modo si riferisce a un firewall?

    
posta Kolob Canyon 05.01.2018 - 04:20
fonte

2 risposte

4

NAT funge da firewall con una politica di "rifiuto predefinito" per i pacchetti in ingresso non richiesti, ma senza altre regole.

Poiché le macchine dietro una NAT box non sono direttamente indirizzabili (di solito perché hanno indirizzi IP privati), le macchine su Internet in generale non possono inviare loro pacchetti IP direttamente. Invece, qualsiasi pacchetto verrà inviato all'indirizzo della casella NAT e la casella NAT controlla i suoi record per vedere a quale pacchetto in uscita è in risposta un pacchetto in entrata, per decidere quale indirizzo interno deve essere inoltrato al pacchetto. Se il pacchetto non risponde a un pacchetto in uscita, non c'è alcun record corrispondente e la casella NAT scarta il pacchetto.

    
risposta data 05.01.2018 - 04:50
fonte
0

NAT blocca i pacchetti in entrata in base al fatto che facciano parte di una connessione stabilita, non sul loro indirizzo IP o protocollo.

Se esiste una connessione stabilita, il pacchetto viene inoltrato all'indirizzo effettivo. In caso contrario, viene lasciato cadere.

Per i protocolli senza connessione, dove non esiste un concetto di connessione stabilita (ad esempio UDP), i pacchetti sono consentiti se sembrano far parte di una conversazione in corso. Questo è necessariamente un po 'di kludge.

NATing non è solo per indirizzi privati, anche se gli indirizzi privati non sarebbero molto utili senza NATing.

NAT è consentito in tutte le uscite, solo per le sessioni consentite verso l'interno.

Per il PC di un utente, questo può essere grosso modo quello che vuoi, ma per un server, di solito non lo è.

Per un server, normalmente è necessario effettuare connessioni in entrata su alcune combinazioni note di porta / protocollo. (ad esempio, https / http alle porte 443 e 80 per un server web, smtp alla porta 25 per la posta, ecc.). Non tutti i firewall possono distinguere fino al livello del protocollo, ma alcuni lo possono.

E a seconda di cosa si trova all'interno del firewall, probabilmente non si desidera veramente consentire tutte le connessioni in uscita, solo le connessioni con uno scopo commerciale legittimo. Ad esempio, se non fai affari con la Nigeria, vuoi che i tuoi server si connettono alla Nigeria?

I giorni sono finiti quando possiamo dire fuori = non fidato, dentro = fidato. In questi giorni, è più come outside = active_hostile, inside = dubious. Se (quando) qualcosa entra nella rete, vogliamo renderlo un po 'più difficile collegarlo al suo controller, e vogliamo darci la possibilità di scoprire che c'è qualcosa dentro, che colpisce il firewall.

La sola NAT non ci fornisce nulla di ciò.

È utile. A volte potrebbe essere abbastanza, forse. È sicuramente meglio di niente. Ma non è un firewall completo.

    
risposta data 05.01.2018 - 06:27
fonte

Leggi altre domande sui tag