NAT 和防火墙是完全正交的概念，彼此无关。因为一些NAT 实现意外地提供了一些防火墙，所以一直存在 NAT 提供安全性的神话。它不提供任何安全性。没有任何。零。

例如，一个完全合理的 NAT 实现可能，如果它只有一个客户端，则将所有入站 TCP 和 UDP 数据包转发到那个客户端。最终效果与客户端拥有 NAT 设备的外部地址完全相同。

不要以为大多数 NAT 设备在设计上都内置了一些防火墙或偶然做了一些防火墙，这意味着 NAT 本身提供了任何安全性。提供安全性的是防火墙，而不是 NAT。NAT 的目的是让事情正常进行。

您不能仅仅因为一台机器位于 NAT 设备后面就认为它不能被外部访问。如果某些设备被特别配置为不允许从外部访问它，那么无论该设备是否进行 NAT，它都不是外部可访问的。

每台具有外部地址但具有经过适当配置、管理和监控的状态防火墙的机器都远远优于廉价的 SoHo NAT 盒子。

许多实际的 SoHo NAT 盒子将流量转发到内部主机，尽管没有内部主机曾经向转发流量的源发送流量。许可 NAT 确实存在。

刚在一所大学呆了 7 年，有一个 /16 网络块，并将所有没有明确禁止的网络块放在这样的网络块上（PCI-DSS 曾经要求这个，直到他们修复它），我有一些网络经验这种性质的。

不需要 NAT。NAT 所做的只是让侦察网络变得更加困难，并迫使实体进入默认情况下更安全的状态。也就是说，完全有可能在公共 IP 地址上构建安全网络。我们有几个子网在技术上是可路由的，但外围防火墙之外的任何东西都无法到达那里。

现在谈谈你的其他观点：

请求 IT 部门。在任何现有防火墙上阻止所有传入流量到每个 WAN 可访问 IP

这应该默认完成。在我以前的大学里，学生计算机实验室的工作站不需要从 Internet 上进行寻址，而事实并非如此。保存学生健康中心数据的子网也是如此。如果一台机器出于某种原因需要在外部可见，则必须有一个电子文件必须传递并签署才能获得授权；即使对于集中式 IT 堆栈中的服务器也是如此。

保持部门局域网与互联网完全隔离。用户必须共享专用机器来访问电子邮件、互联网和时间跟踪系统。

你不必走这么远。走到这一步的原因是，如果您对与恶意软件相关的信息暴露的恐惧高于连接到基于网络的资源的需要。如今，事物越来越基于云/网络，因此这种气隙网络变得越来越难以维护。如果您确实需要达到这种程度，您可能需要研究一些应用程序虚拟化选项，因为这可以限制发生违规时的暴露。

正如其他人所指出的，NAT不是一项安全功能。然而，它确实提供了某种程度的安全作为副产品：NAT 的副作用是内部机器都不能“从外部”访问。阻止所有传入连接的防火墙可以实现相同的效果。这不是细粒度的，但在实践中相当有效，如果 NAT 没有提供“自动”保护，更多现有网络将被攻击并僵尸化为垃圾邮件中继（顺便说一下，这就是 IPv6 的可怕之处：IPv6在[if]广泛部署的情况下，将有使NAT的保护效果无效化的趋势，可以预期攻击成功率平均增加）。

现在拥有一个配置良好的防火墙假定任何配置防火墙的人都能正确地完成他的工作，不幸的是，这不是给定的（我不想假设您特定 IT 部门的能力，而是假设工作的平均质量世界各地的 IT 部门，尤其是在大型组织中，并不令人兴奋）。另一种方法是确保每台可公开访问的机器都应抵抗与传入连接相关的各种攻击：关闭所有不需要的服务，确保保持打开的服务正确更新且配置良好。想在每个工作站上应用安全更新？以及可联网打印机的固件？

我的建议是安装您自己的过滤器盒，您的网络与外部世界之间的所有通信都将通过该过滤器盒进行。然后该框应过滤掉传入的连接；NAT 和/或防火墙，由您决定。NAT 可能更容易，尤其是在 IT 部门“不合作”的情况下。

关于伪装（相对于静态 NAT）：

思科

• '...除非配置了另一个表，否则无法“反向映射”其他端口的传入连接'

• “....NAT 可以作为站点安全架构的一个组成部分，提供保护，防止从外部向内部网络发起的攻击。”

无

• '......出色的第一层防御......仍然可以被黑客入侵。但是现在黑客必须破坏您的一个内部系统才能用作本地网络上的桥头堡”
  （Daniel Crider，SANS Institute，InfoSec Reading Room，2001-11-22，A 6-Layer Defense for an IT Professional's Home Network，第 5 页）

IBM

• “保护您的个人计算机免受网络外部发起的通信的影响，因为要启动范围 NAT，必须在内部发起流量”

不，它不能替代防火墙，也不能替代您的安全解决方案的其他部分。它确实增强了系统的完整性。