什么是NAT防火墙，它如何工作？

在计算机网络领域，NAT代表 ñ工作 一种装扮 Ť翻译。用最简单的术语来说，NAT允许专用网络上的许多设备共享一个 网关 上网。反过来，所有这些设备将具有相同的 公用IP地址（网关的）和独特的 专用IP地址. 这些网关通常在wifi路由器和某些VPN服务上找到。例如，连接到已启用NAT的wifi路由器的所有设备均具有不同的专用IP地址，但共享路由器的公共IP地址.

直接跳至： 带有NAT防火墙的最佳VPN

当您访问网站时，您的设备会向路由器发送请求，并使用其专用IP地址对其进行标识。然后，路由器会转换请求，并将请求及其面向公众的IP地址转发到网站的服务器，并记下原始私有地址。服务器使用网站副本答复路由器，然后您的路由器通过专用IP地址将其转发到设备上.

一种 防火墙 是一层保护，可防止网络上的设备（例如Internet）之间进行不必要的通信.

一种 NAT防火墙 通过仅在专用网络上的设备请求Internet流量通过网关的情况下才起作用。任何不请自来的请求或数据包都将被丢弃，从而阻止与互联网上潜在危险设备的通信。如果入站Internet通信没有专用IP地址要转发到网关之外，则NAT防火墙知道该通信是未经请求的，应将其丢弃.

互联网上的计算机和服务器只能看到路由器的公共IP地址，而看不到特定设备（例如电话，笔记本电脑，智能电视，物联网设备和游戏机）的私有IP地址。这也称为 IP伪装.

如何判断我是否在NAT防火墙后面

不确定您的wifi路由器是否启用了NAT防火墙？尝试将两个设备连接到同一个wifi网络，例如笔记本电脑和智能手机.

现在，在每个搜索引擎上运行Google搜索“我的IP是什么？”

如果两个设备的IP地址相同，则可能是您在NAT防火墙后面。您的设备具有不同的专用（本地）IP地址，但具有相同的公用IP地址.

在VPN上，确定是否正在使用NAT防火墙可能会更加困难，但是通常可以在VPN提供商的文档中找到某处。您可能可以在VPN应用程序设置中选择启用或禁用NAT防火墙，也可以购买一个作为附加选项.

NAT防火墙和VPN

VPN或虚拟专用网络可对设备的互联网流量进行加密，并通过用户选择的位置的中间服务器将其路由。由于所有互联网流量都是在进入互联网之前通过VPN“隧道传输”的，因此，wifi路由器上的NAT防火墙无法区分请求流量和未经请求的流量。由于所有内容都是从VPN服务器加密的，因此看起来都一样，从而使路由器的NAT防火墙无用.

因此，许多VPN都实现了NAT防火墙。 VPN服务器会代替您的wifi路由器过滤掉不必要的流量。有时NAT防火墙是可选的额外功能，有时默认情况下它们内置在VPN中.

并非所有人都认为NAT防火墙和VPN是很好的组合.

VPN提供商通常属于以下两个阵营之一：使用NAT防火墙的阵营和使用PAT防火墙的阵营. 我们将进一步解释后者.

使用NAT防火墙的VPN为每个用户分配一个唯一的私有IP地址。如上所述，它将wifi路由器的NAT防火墙的所有优点扩展到了VPN连接.

不利的一面是，即使您受到保护以防止不必要的通信，VPN提供商或第三方也可以更轻松地跟踪您的设备.

另一种方法是为连接到同一服务器的所有VPN用户分配相同的公共IP地址，而无需唯一的私有IP地址。这增加了重要的匿名性，因为无法通过IP地址将在线活动追溯到个人或设备.

ExpressVPN是一家反对NAT防火墙的提供商。该公司表示，它使用端口阻止策略代替NAT防火墙：

“ ExpressVPN的服务器会记住所有请求，并从服务器上的不同端口广播它们。用户收到ExpressVPN的回复，但其他端口保持关闭状态。使端口保持关闭状态就像防火墙一样可以保护用户。”

端口地址转换

许多被称为NAT防火墙的系统实际上是PAT防火墙。 PAT代表 P奥尔 一种装扮 Ť翻译。与NAT类似，它使具有一个IP地址的网络网关可以代表多台计算机。区别在于，为每个设备分配了端口号，而不是专用IP地址.

当网络网关从网络上的计算机接收到传出地址时，它将用自己的符合Internet的地址替换计算机的返回地址，并在最后加上端口号。然后，网关在其转换表中进行输入，因此它知道其使用的端口号代表网络上的特定计算机。.

该系统非常受欢迎，因为它减少了公司需要拥有的Internet IP地址的数量。对于VPN服务而言，这也是一个非常好的系统，因为离开VPN网关的所有流量都将具有相同的返回地址。由于许多VPN服务将数百个客户同时连接到同一位置，因此无法解开每个请求来自哪个订户.

NAT防火墙和洪流

由于NAT防火墙禁止未经请求的流量到达最终用户设备，因此它们在洪流时可能会造成麻烦。在后面的一个文件中，您可能无法上载（种子）文件供其他torrent用户下载。相反，您可能无法连接到可以从中下载（垃圾邮件）文件的同等数量的对象。 NAT防火墙可以将您与激流群中的大部分用户隔绝。 PAT防火墙也是如此.

但是，这并不是说使用NAT防火墙无法进行洪流。如今，大多数NAT防火墙都不那么严格，以至于严重影响下载或上传性能。您可能会在旅馆或学校等公共场所找到更严格的防火墙，但是大多数家用路由器和VPN服务并不以此方式限制洪流.

如果您本地网络上的NAT防火墙阻止了您的洪流，您可以使用VPN绕过它. 回想一下，由于所有入站流量都经过VPN并被加密，因此您的本地NAT防火墙无法区分请求流量和主动流量。即使VPN有自己的NAT防火墙，它的严格性也可能不如您的专用网络上的严格。.

少数VPN允许您设置端口转发以在洪流时绕过NAT防火墙限制，但是请务必注意，这样做会损害安全性。打开端口会使您更容易受到攻击，并且由于使用的是特殊端口，因此互联网流量与其他VPN用户的区别更加容易。这使您更容易跟踪.

端口转发也是洪流客户端（如uTorrent）的常见功能，但存在相同的风险.

带有NAT防火墙的最佳VPN：IPVanish

可用的应用程序：

• 个人电脑
• 苹果电脑
• iOS
• 安卓系统
• 的Linux

网站： www.IPVanish.com

退款保证： 7天

所有 IPVanish 服务器使用NAT防火墙允许用户共享其公共IP地址。这些应用程序甚至使您可以定时切换IP。由于存在NAT防火墙，因此在连接时无法将向前访问的端口移植到设备。对于某些人来说，这是有用的安全预防措施。对于其他人来说，这是一个障碍。 IPVanish说，大多数用户不会转发，也不会受到影响.

除了NAT防火墙外，IPVanish是具有严格安全标准和无日志策略的高质量VPN。一次最多可以连接10个设备，这是大多数VPN提供的两倍。 IPVanish为Windows，MacOS，iOS，Android和Amazon Fire TV制作应用程序.

具有NAT防火墙的最佳VPN：尽管阻止了端口转发，但IPVanish的构建是从头开始的，它考虑了洪流：快速和私有。附带7天退款保证.

阅读我们的完整IPVanish评论.

季军：VyprVPN

可用的应用程序：

• 个人电脑
• 苹果电脑
• iOS
• 安卓系统
• 的Linux

网站： www.VyprVPN.com

退款保证： 30天

虚拟专用网 为用户提供NAT防火墙，以保护用户免受黑客攻击，否则黑客可能会通过应用程序打开的连接进入系统。此外，您可以手动设置OpenVPN协议使用哪些端口。如果您想真正自定义您的VPN连接，VyprVPN可能是您的理想选择.

该公司使用高度加密，并且不会记录任何识别信息或活动。它拥有遍布60多个国家/地区的许多服务器和数据中心.

VyprVPN制作适用于Windows，MacOS，iOS和Android的应用程序。您一次最多可以连接五台设备.

NAT防火墙VPN：VyprVPN的NAT防火墙和其他安全措施可让您从世界任何地方安全地浏览和下载。您可以通过3天的免费试用期进行测试.

阅读我们的完整VyprVPN评论.

最佳VPN 没有 NAT防火墙：ExpressVPN

可用的应用程序：

• 个人电脑
• 苹果电脑
• iOS
• 安卓系统
• 的Linux

网站： www.ExpressVPN.com

退款保证： 30天

ExpressVPN 通过使用具有256位AES加密的OpenVPN协议，提供了共享的IP地址服务并增加了安全措施。 AES密钥交换受4096位RSA加密保护，这是不可能破解的.

ExpressVPN不存储任何识别日志，并且允许在所有服务器上进行种子下载。该服务速度很快，可访问94个国家/地区的数千个服务器。它可在中国使用，并可用于在Netflix和Hulu等网站上解除对许多受地理位置限制的内容的封锁.

ExpressVPN为Windows，MacOS，iOS，Android，Linux，Amazon Fire TV和某些wifi路由器制作应用程序。您一次最多可以连接三个设备。路由器无论连接多少台设备，均视为一台设备.

无需防火墙的最佳VPN：ExpressVPN是具有强大安全性和一些强大的启动阻止功能的高级VPN。附带30天退款保证.

阅读我们的完整ExpressVPN评论.

亚军：NordVPN

可用的应用程序：

• 个人电脑
• 苹果电脑
• iOS
• 安卓系统
• 的Linux

网站： www.NordVPN.com

退款保证： 30天

NordVPN 使用共享的IP地址模型，但应用程序中提供了一些专用IP地址。 Nord在60多个国家/地区拥有5,000多台令人印象深刻的服务器。它遵守严格的零日志政策，其应用程序同样安全。如果您要取消阻止区域锁定的内容，这也是一个不错的选择.

为少数服务器提供了一些替代连接类型。这些服务器包括经过P2P优化的服务器，尽管它们中的任何一个都可以使用torrent。其他选项包括Tor over VPN和Double VPN.

NordVPN最多允许六个同时连接，并制作适用于Windows，MacOS，iOS，Android，Linux和Amazon Fire TV的应用程序.

没有NAT VPN：NordVPN提供了大量的高速服务器和各种不同的连接类型。附带30天退款保证.

阅读我们的完整NordVPN评论.

NAT防火墙限制

并非NAT防火墙后面的所有计算机都可以抵抗病毒。如今，黑客不得不诱使计算机用户安装木马。这些程序会将请求发送到黑客的计算机。由于来自黑客的传入消息是响应于来自网络内部的请求而发送的，因此网关将允许它通过.

NAT防火墙无法保护您免受网上诱骗诈骗的侵害，您会从网上银行收到一封电子邮件，告诉您按电子邮件中的按钮连接到您的帐户。在此技巧中，电子邮件不是来自银行，而是来自黑客，当您登录帐户时，您只是将凭据输入到由黑客创建的伪造页面中.

NAT防火墙无法保护您免受中间人攻击，在这种攻击中，运行假wifi热点的黑客通过冒充要连接的服务器来捕获您的所有流量。.

NAT防火墙无法保护您的任何连接中仍然存在许多安全漏洞。使用VPN的好处在于，它部署了许多不同的安全性程序，包括加密和身份验证证书，以防止您被骗或被窥探。.

IP地址转换如何工作

如果网络中的所有计算机都直接连接到Internet，则每个计算机都需要一个全局唯一的IP地址。但是，更常见的配置是通过一个网关为网络上的所有计算机引导所有Internet通信。在这种情况下，所有计算机都需要仅在该网络上唯一的IP地址。.

其他专用网络可能使用相同的地址，但这没关系，因为这些地址在各自的网络中都将是唯一的。在整个互联网中，只有网关IP地址必须是唯一的.

网关必须跟踪专用网络上已通过Internet发送请求的所有计算机。收到响应时，网关会在其中查找哪台计算机发出了请求 网络地址转换表 这样它就知道将响应转发到哪里.

当网络上的计算机向Internet上的服务器发出请求时，网络网关将用唯一的Internet地址替换在这些通信中写入的专用网络地址。会话结束时，该专用地址将返回到池中，并将被分配给另一台计算机。因此，专用网络上的Internet地址是隐藏的，外面没有人可以确切确定网络上的哪台计算机发送了请求。网关知道，因为它在其网络地址转换表中有一条记录.

在连接结束时，当分配的地址返回到池中时，网关将从其转换表中删除该地址的NAT条目.

NAT的其他好处

NAT最初并不是要用作防火墙。发明它是为了使网络更具可移植性，因此，如果网络移动了，并不是每个设备都需要重新寻址。仅NAT设备（例如路由器）将需要新的面向公众的IP地址，而连接到它的所有设备都可以继续使用相同的私有IP地址.

现在，在保存全局地址空间方面，NAT是必不可少的。 IPv4协议（确定Internet上所有设备的通信方式）具有有限数量的可用IP地址。如果每个连接到互联网的设备都需要一个唯一的IP地址，我们很快就会用完。通过单个NAT网关连接专用网络上的许多设备仅占用一个IPv4地址.

发明IPv6最终是用更大的地址空间代替IPv4，但是采用速度很慢，因此NAT是保持Internet正常运行的非常必要的工具.

图片学分：

• “ CPT-NAT” [源自] CC BY 4.0 Miles J Pool
• Yangliy在英语Wikibooks上[公共领域], 通过Wikimedia Commons（1）, （2）