一般来说，大多数 NAT 盒子也恰好提供一些类似防火墙的保护：它们倾向于阻止传入连接。

这不是 NAT 的固有或必要属性；只是大多数提供 NAT 的消费设备也恰好也提供了这种防火墙。（从技术上讲，NAT 并不一定意味着对传入连接的任何阻塞。）

尽管如此，对于确实阻止入站连接（即大多数）的 NAT 设备，您确实获得了防火墙的一些好处。这使得某人更难连接到您在 NAT 后面的 PC 并对其进行攻击。在实践中，这提供了一种“穷人的防火墙”，可以很好地抵御一类常见的攻击。

然而，NAT 远非灵丹妙药。即使您的 NAT，人们仍然可以通过多种方式危害您的 PC：

• 恶意网站可能会利用浏览器中的漏洞，恶意电子邮件可能会利用邮件客户端中的漏洞，社交工程攻击可能会诱使您泄露密码或安装恶意软件，您通过文件共享网络下载的文件可能会被恶意等等。

• 攻击者可以直接攻击您的 NAT 盒子，例如，通过利用开放的 Wifi 链接、通过驱动式域名解析、猜测您的 NAT 盒子的管理员密码等。

• 攻击者可以使用NAT pinning 攻击欺骗您的 NAT 以允许入站连接。这基本上是 NAT 盒子中的一个技术漏洞，它说明它们附带的连接阻塞在某些情况下可以被击败。

有关所有这些要点的更详细说明，我建议您阅读NAT 作为安全层有多重要？以及针对家庭路由器的 NAT 的攻击究竟存在哪些？. 那里有很多很好的信息。

图层

我不认为在这里查看 OSI 层有用。您可能不会受到低于 IP 协议的层的攻击，因为互联网只路由 IP。而且您在上面的所有层上都可能容易受到攻击。实际上，大多数漏洞都在应用层。

我宁愿通过将其分为传入和传出连接来查看问题。

传出连接

除了重写 IP 地址之外，NAT 不会干扰这些。如果您在没有 NAT 的情况下容易受到攻击，那么在大多数情况下，您在 NAT 的情况下也很容易受到攻击。

典型的漏洞是用于访问 Internet 的应用程序中的缓冲区溢出。特别是在您的浏览器或浏览器插件中。

传入连接

默认情况下，NAT 会阻止来自 Internet 的所有传入连接。这意味着如果您在计算机上运行某种服务器，则无法从 Internet 访问它，因此无法从那里轻易利用。这主要对服务器有用，例如 Windows 文件共享。

但是你不需要 NAT 来获得这个。您也可以使用阻止传入连接的防火墙。

结论

NAT 在安全方面为您带来的主要好处是阻止您意外运行的服务器。

为 UDP 定义传入/传出连接有点困难。但是由于打孔需要您的计算机在能够从某个对等方接收消息之前发送消息，因此在这种情况下将这些连接计为传出工作。