我们有一个连接到我们的 ISP 的路由器 (4331)。我们做 PAT(动态 nat)给用户互联网访问。现在通常我们会有一个 OUTSIDE-IN ACL 来阻止来自 Internet 的流量。我的问题是,如果我们使用 PAT 并且没有静态的一对一翻译,我们还需要 ACL 吗?如果是,ACL 将阻止的攻击是什么?
使用 PAT(动态 nat)时是否需要 ACL?
网络工程
防火墙
纳特
acl
最佳实践
2022-02-10 04:48:53
1个回答
您的路由器本身需要保护。进入路由器的任何不属于 NAPT 的路由器地址的流量(请参阅RFC 2663,IP 网络地址转换器 (NAT) 术语和注意事项,PAT 是 NAPT 的误称)将由路由器处理。攻击者可以尝试通过标准协议(telnet、HTTP、NTP 等)接管路由器。如果您在 ACL 上记录访问尝试,您将看到许多自动尝试破坏路由器。
不要将 NAPT 与安全性相混淆。您的路由器需要安全。如果您的路由器受到威胁,那么您的 LAN 是否有任何版本的 NAT 都没有关系,路由器可以完全访问 LAN,并且任何控制路由器的人都可以完全访问 LAN。
您的 LAN 需要受到防火墙(单独的设备或路由器上的软件防火墙)的保护。NAT 不是安全性,如果您认为这是错误的。