房乐
2
CISAW
CISP-PTE
房乐2
CISAW
CISP-PTE
NAT技术本存在以下缺点:
一些应用层协议的工作特点导致了它们无法使用NAT技术。当端口改变时,有些协议不能正确执行它们的功能。
静态NAT技术仅仅在一对一的基础上替换IP包头中的IP地址,应用层协议数据包所包含的相关地址并不能同时得到替换。如果希望提高安全性,应该考虑使用应用层代理服务来实现。
对于动态NAT技术,在内部主机建立穿越防火墙的网络连接之前,相应的NAT映射并不存在。外部网络主机根本没有到达内部主机的路径,因此内部网络主机完全被屏蔽,不会受到攻击,但是无法阻止内部用户主动连接黑客主机。如果内部主机被引诱连接到一个恶意外部主机上,或者连接到一个已被黑客安装了木马的外部主机上,它将完全暴露,就像没有防火墙一样容易被攻击。
状态表超时问题。当内部主机向外部主机发送连接请求时,动态NAT映射表的内容动态生成。NAT映射表条目有一个生存周期,当连接中断时,映射条目清除,或者经过一个超时值(这个超时值由各个防火墙厂商定义)后自动清除。从理论上讲,在超时发生之前,攻击者得到并利用动态网络地址翻译地址映射的内容是有可能的,尽管十分困难。
影响性能。转换数据包报头内的每个 IP 地址需要时间,因此 NAT 会增加交换延迟。第一个数据包采用过程交换,意味着它始终经过较慢的路径。路由器必须查看每个数据包,以决定是否需要转换。路由器需要更改 IP 报头,甚至可能要更改 TCP 或 UDP 报头。如果缓存条目存在,则其余数据包经过快速交换路径,否则也会被延迟。
推荐文章
