请阅读以下先前提出的问题：

• NAT 作为安全层有多重要？

• 如果我通过 NAT 连接到互联网，有人如何破解我的电脑？

• 对家庭路由器的 NAT 存在什么样的攻击？

他们回答你所有的问题。

简短的版本是：

• NAT 不会自动暗示所有入站连接都被阻止。原则上，NAT 和防火墙是正交的。一般来说，大多数 NAT 盒子也恰好提供一些类似防火墙的保护：它们倾向于阻止传入连接。这不是 NAT 的固有或必要属性；只是大多数提供 NAT 的消费设备也恰好也提供了这种防火墙。

• 阻止入站连接（无论您想将其归因于防火墙功能还是 NAT 功能）提供了一个基本级别的防御，可以很好地抵御常见的攻击类别。这使它成为一件好事。

• 不，防火墙和 NAT 都不意味着您的网络对外部代理是完全安全的。阻止入站连接提供了针对某些攻击的一定程度的防御，但绝不是所有攻击。

但是您确实需要阅读先前的答案。我不会重复那里提出的所有优秀观点。

实际上，依靠端口地址转换，您已经拥有了一个（较差的）防火墙。我假设您确实是根据帖子的内容进行端口地址转换。然后您要问的问题是为什么我的防火墙需要防火墙。如果您确实有网络地址转换，那么您不仅仅是将特定服务暴露给外部接口。您将在外部公开 IP，因此无法控制可以访问哪些服务。

因此，要回答您的问题，如果您正在进行端口地址转换并且仅将已修补的特定服务公开到 Internet，为什么需要防火墙？你不。

如果您问我为什么需要限制哪些端口和地址可以直接从 Internet 路由到我的网络，那么……我真的无能为力。

NAT/PAT 与能够进行状态数据包检查的防火墙之间存在很大差异。

一个像样的防火墙实际上可以判断传入的数据包是未经请求的还是由内部主机请求的，这将阻止来自端口扫描程序和其他入侵尝试的大量不需要的流量。

它们还具有协议意识，可以处理诸如 FTP 流量之类的东西，它从端口 21 开始，然后侦听随机的更高级别的端口。

他们还可以提供其他服务，例如 VPN、内容过滤，并可以记录流量以进行审计。