Tường lửa NAT là gì và nó hoạt động như thế nào?

Tường lửa NAT là gì và nó hoạt động như thế nào

Trong lĩnh vực mạng máy tính, NAT là viết tắt của Nmạng Mộtthợ làm bánh Ttiền chuộc. Nói một cách đơn giản nhất, NAT cho phép nhiều thiết bị trên một mạng riêng chia sẻ một cửa ngõ lên mạng Đổi lại, tất cả các thiết bị đó sẽ có cùng địa chỉ IP công cộngCổng thông tin độc đáo và độc đáo địa chỉ IP riêng. Các cổng này thường được tìm thấy trên các bộ định tuyến wifi và một số dịch vụ VPN. Ví dụ: tất cả các thiết bị được kết nối với bộ định tuyến wifi hỗ trợ NAT có các địa chỉ IP riêng khác nhau, nhưng chia sẻ bộ định tuyến IP địa chỉ IP công cộng.

JUMP STRAIGHT ĐẾN: Các VPN tốt nhất với Tường lửa NAT

Khi bạn truy cập một trang web, thiết bị của bạn sẽ gửi yêu cầu đến bộ định tuyến, nhận dạng chính nó bằng địa chỉ IP riêng. Sau đó, bộ định tuyến sẽ dịch yêu cầu và chuyển tiếp nó đến máy chủ của trang web có địa chỉ IP đối diện công khai, ghi chú địa chỉ riêng có nguồn gốc. Máy chủ trả lời bộ định tuyến bằng một bản sao của trang web mà bộ định tuyến của bạn sẽ chuyển tiếp đến thiết bị của bạn thông qua địa chỉ IP riêng.

Network_Address_Translation_ (file1)

Một bức tường lửa là một lớp bảo vệ ngăn chặn các liên lạc không mong muốn giữa các thiết bị trên mạng, chẳng hạn như internet.

Một Tường lửa NAT hoạt động bằng cách chỉ cho phép lưu lượng truy cập internet đi qua cổng nếu một thiết bị trên mạng riêng yêu cầu. Bất kỳ yêu cầu hoặc gói dữ liệu không mong muốn nào đều bị loại bỏ, ngăn chặn việc liên lạc với các thiết bị nguy hiểm tiềm tàng trên internet. Nếu lưu lượng truy cập internet trong nước không có địa chỉ IP riêng để chuyển tiếp ra ngoài cổng, tường lửa NAT biết lưu lượng không được yêu cầu và cần được loại bỏ.

Máy tính và máy chủ trên internet chỉ có thể thấy địa chỉ IP công cộng của bộ định tuyến và không có địa chỉ IP riêng nào của các thiết bị cụ thể, như điện thoại, máy tính xách tay, TV thông minh, thiết bị internet và máy chơi game. Điều này còn được gọi là Giả mạo IP.

Làm thế nào để biết tôi có phải là người đứng sau tường lửa NAT không

Không chắc chắn nếu bộ định tuyến wifi của bạn có bật tường lửa NAT? Hãy thử kết nối hai thiết bị với cùng một mạng wifi, chẳng hạn như máy tính xách tay và điện thoại thông minh.

Bây giờ, trên mỗi người trong số họ, hãy chạy một tìm kiếm Google để tìm kiếm những gì IP của tôi?

Nếu bạn thấy cùng một địa chỉ IP cho cả hai thiết bị, thì bạn có thể đứng sau tường lửa NAT. Thiết bị của bạn có các địa chỉ IP riêng (cục bộ) khác nhau, nhưng cùng một địa chỉ IP công cộng.

Trên VPN, việc xác định xem tường lửa NAT có đang được sử dụng hay không, nhưng bạn thường có thể tìm thấy ở đâu đó trong tài liệu về nhà cung cấp VPN của bạn. Bạn có thể có tùy chọn bật hoặc tắt tường lửa NAT trong cài đặt ứng dụng VPN của mình hoặc mua một tùy chọn bổ sung tùy chọn.

Tường lửa NAT và VPN

VPN, hoặc Mạng riêng ảo, mã hóa lưu lượng truy cập Internet của thiết bị và định tuyến nó thông qua một máy chủ trung gian ở vị trí của người dùng mà bạn chọn. Bởi vì tất cả lưu lượng truy cập Internet được truyền qua đường hầm thông qua VPN trước khi truy cập internet, tường lửa NAT trên bộ định tuyến wifi của bạn có thể phân biệt giữa lưu lượng truy cập được yêu cầu và không được yêu cầu. Bởi vì mọi thứ được mã hóa từ máy chủ VPN, tất cả đều trông giống nhau, khiến cho bộ định tuyến của bạn Tường lửa NAT NAT vô dụng.

Vì lý do này, nhiều VPN triển khai tường lửa NAT. Thay vì bộ định tuyến wifi của bạn lọc ra lưu lượng không mong muốn, máy chủ VPN sẽ thực hiện thay thế. Đôi khi tường lửa NAT là một tùy chọn bổ sung và đôi khi chúng được tích hợp vào VPN theo mặc định.

Không phải ai cũng đồng ý rằng tường lửa NAT và VPN là một sự kết hợp tốt.

Các nhà cung cấp VPN thường rơi vào một trong hai phe: những người sử dụng tường lửa NAT và những người sử dụng tường lửa PAT. Chúng tôi sẽ giải thích sau.

VPN sử dụng tường lửa NAT chỉ định cho mỗi người dùng một địa chỉ IP riêng. Nó mở rộng tất cả các lợi ích của bộ định tuyến wifi Tường lửa NAT NAT, như đã thảo luận ở trên, với kết nối VPN của bạn.

Nhược điểm là mặc dù bạn được bảo vệ khỏi giao tiếp không mong muốn, thiết bị của bạn có thể dễ dàng được theo dõi bởi nhà cung cấp VPN hoặc bên thứ ba.

Phương pháp thay thế là gán cùng một địa chỉ IP công cộng cho tất cả người dùng VPN được kết nối với cùng một máy chủ, không có địa chỉ IP riêng tư duy nhất. Điều này thêm một lớp ẩn danh đáng kể, bởi vì hoạt động trực tuyến có thể được truy tìm lại cho một cá nhân hoặc thiết bị theo địa chỉ IP.

ExpressVPN là một nhà cung cấp lập luận chống lại tường lửa NAT. Công ty cho biết họ sử dụng chính sách chặn cổng thay cho tường lửa NAT:

Các máy chủ của Express ExpressVPN cũng nhớ tất cả các yêu cầu và phát chúng từ các cổng khác nhau trên máy chủ. Người dùng nhận được phản hồi từ ExpressVPN, nhưng các cổng khác vẫn đóng. Giữ các cổng đóng bảo vệ người dùng như một tường lửa.

Dịch địa chỉ cổng

dịch địa chỉ cổng

Nhiều hệ thống được gọi là tường lửa NAT thực sự là tường lửa PAT. PAT là viết tắt của Port Mộtthợ làm bánh Ttiền chuộc. Tương tự như NAT, nó cho phép một cổng mạng có một địa chỉ IP đại diện cho nhiều máy tính. Sự khác biệt là mỗi thiết bị được gán một số cổng thay vì địa chỉ IP riêng.

Khi một cổng mạng nhận được một địa chỉ gửi đi từ một máy tính trên mạng, nó sẽ thay thế địa chỉ trả về máy tính bằng một địa chỉ tuân thủ internet của chính nó và xử lý một số cổng ở cuối. Sau đó, cổng sẽ tạo một mục trong bảng dịch của nó để nó biết rằng số cổng mà nó sử dụng đại diện cho một máy tính cụ thể trên mạng.

Hệ thống này rất phổ biến vì nó cắt giảm số lượng địa chỉ IP internet mà một công ty cần sở hữu. Đây cũng là một hệ thống rất tốt để sử dụng các dịch vụ VPN vì tất cả lưu lượng truy cập rời khỏi cổng VPN sẽ có cùng địa chỉ trả lại trên đó. Vì nhiều dịch vụ VPN có hàng trăm khách hàng được kết nối đến cùng một vị trí cùng một lúc, không thể gỡ rối những người đăng ký mà mỗi yêu cầu đến từ.

Tường lửa NAT và torrent

Vì tường lửa NAT cấm lưu lượng truy cập không được yêu cầu truy cập vào thiết bị của người dùng cuối, chúng có thể gây rắc rối khi torrent. Trong khi đứng sau một, bạn có thể không thể tải lên (hạt giống) tệp cho người dùng torrent khác để tải xuống. Ngược lại, bạn không thể kết nối với nhiều đồng nghiệp mà bạn có thể tải xuống (leech) tệp. Một tường lửa NAT có thể cắt bạn khỏi một phần đáng kể người dùng trong một torrent. Điều tương tự cũng xảy ra với tường lửa PAT.

Tuy nhiên, điều đó không thể nói rằng torrent là không thể với tường lửa NAT. Hầu hết các tường lửa NAT ngày nay không được nghiêm ngặt đến mức chúng ảnh hưởng đáng kể đến hiệu suất tải xuống hoặc tải lên. Bạn có thể tìm thấy tường lửa nghiêm ngặt hơn trong các cài đặt công cộng như khách sạn hoặc trường học, nhưng hầu hết các bộ định tuyến gia đình và dịch vụ VPN đều không giới hạn torrent theo cách này.

Nếu tường lửa NAT trên mạng cục bộ của bạn ngăn bạn truy cập torrent, bạn có thể sử dụng VPN để vượt qua nó. Hãy nhớ lại rằng vì tất cả lưu lượng truy cập trong nước đều đi qua VPN và được mã hóa, tường lửa NAT cục bộ của bạn có thể phân biệt giữa lưu lượng truy cập và không được yêu cầu. Ngay cả khi VPN có tường lửa NAT riêng, nó có thể sẽ ít nghiêm ngặt hơn so với VPN trên mạng riêng của bạn.

Một số VPN cho phép bạn thiết lập chuyển tiếp cổng để vượt qua các hạn chế tường lửa của NAT trong khi torrent, nhưng điều quan trọng cần lưu ý là làm như vậy sẽ làm tổn hại đến bảo mật. Việc mở các cổng khiến bạn dễ bị tấn công hơn và vì bạn sử dụng một cổng đặc biệt, lưu lượng truy cập internet của bạn dễ dàng được phân biệt hơn với những người dùng VPN khác. Điều đó giúp bạn dễ dàng theo dõi hơn.

Chuyển tiếp cổng cũng là một tính năng phổ biến trên các máy khách torrent như uTorrent, nhưng cũng có những rủi ro tương tự.

VPN tốt nhất với tường lửa NAT: IPV Biến

IPV Biến

Ứng dụng có sẵn:

  • máy tính
  • Mac
  • IOS
  • Android
  • Linux

Trang mạng: www.IPV Biến.com

Đảm bảo lại tiền: 7 NGÀY

Tất cả IPV Biến máy chủ sử dụng tường lửa NAT để cho phép người dùng chia sẻ địa chỉ IP công cộng của nó. Các ứng dụng thậm chí cho phép bạn chuyển đổi IP theo các khoảng thời gian. Do tường lửa NAT, bạn không thể chuyển tiếp quyền truy cập vào thiết bị của mình trong khi kết nối. Đối với một số người, đây là một biện pháp phòng ngừa an toàn hữu ích. Đối với những người khác, nó là một trở ngại. IPV Biến nói rằng hầu hết người dùng không chuyển tiếp và sẽ không bị ảnh hưởng.

Ngoài NAT Firewall, IPV Biến là một VPN chất lượng với các tiêu chuẩn bảo mật nghiêm ngặt và chính sách không ghi nhật ký. Bạn có thể kết nối tối đa 10 thiết bị cùng một lúc, gấp đôi so với hầu hết các VPN cung cấp. IPV Biến tạo các ứng dụng cho Windows, MacOS, iOS, Android và Amazon Fire TV.

VPN TỐT NHẤT VỚI NAT FIREWALL: Mặc dù chặn chuyển tiếp cổng, IPV Biến được xây dựng từ đầu với ý tưởng torrent: nhanh và riêng tư. Nó đi kèm với một bảo đảm hoàn lại tiền trong 7 ngày.

Đọc đánh giá IPV Biến đầy đủ của chúng tôi.

Á quân: VyprVPN

VyprVPN

Ứng dụng có sẵn:

  • máy tính
  • Mac
  • IOS
  • Android
  • Linux

Trang mạng: www.VyprVPN.com

Đảm bảo lại tiền: 30 NGÀY

VyprVPN cung cấp cho người dùng Tường lửa NAT để bảo vệ người dùng khỏi các tin tặc có thể tiếp cận hệ thống của bạn thông qua các kết nối do ứng dụng của bạn mở. Ngoài ra, bạn có thể đặt thủ công các cổng được sử dụng bởi giao thức OpenVPN. Nếu bạn muốn thực sự tùy chỉnh kết nối VPN của mình, VyprVPN có thể là người dành cho bạn.

Công ty sử dụng mã hóa mạnh và không ghi nhật ký bất kỳ thông tin hoặc hoạt động nhận dạng nào. Nó sở hữu nhiều máy chủ và trung tâm dữ liệu của riêng mình, trải rộng trên 60 quốc gia.

VyprVPN tạo các ứng dụng cho Windows, MacOS, iOS và Android. Bạn có thể kết nối tối đa năm thiết bị cùng một lúc.

NAT FIREWALL VPN: Tường lửa NAT của VyprVPN và các biện pháp bảo mật khác hoạt động để cho phép bạn duyệt và tải xuống an toàn từ mọi nơi trên thế giới. Bạn có thể dùng thử với bản dùng thử miễn phí 3 ngày.

Đọc đánh giá đầy đủ của VyprVPN của chúng tôi.

VPN tốt nhất không có tường lửa NAT: ExpressVPN

ExpressVPN

Ứng dụng có sẵn:

  • máy tính
  • Mac
  • IOS
  • Android
  • Linux

Trang mạng: www.ExpressVPN.com

Đảm bảo lại tiền: 30 NGÀY

ExpressVPN cung cấp dịch vụ địa chỉ IP được chia sẻ và bổ sung các biện pháp bảo mật bằng cách sử dụng giao thức OpenVPN với mã hóa AES 256 bit. Trao đổi khóa AES được bảo vệ bằng mã hóa RSA 4096 bit, không thể bẻ khóa.

ExpressVPN không lưu trữ bất kỳ bản ghi nhận dạng nào và torrent được phép trên tất cả các máy chủ. Dịch vụ này nhanh chóng và bao gồm quyền truy cập vào hàng ngàn máy chủ tại 94 quốc gia. Nó hoạt động ở Trung Quốc và có thể được sử dụng để bỏ chặn rất nhiều nội dung bị giới hạn về mặt địa lý trên các trang web như Netflix và Hulu.

ExpressVPN tạo các ứng dụng cho Windows, MacOS, iOS, Android, Linux, Amazon Fire TV và một số bộ định tuyến wifi nhất định. Bạn có thể kết nối tối đa ba thiết bị cùng một lúc. Một bộ định tuyến được tính là một thiết bị cho dù có bao nhiêu thiết bị được kết nối với nó.

VPN TỐT NHẤT MÀ KHÔNG CÓ CHÁY: ExpressVPN là một VPN cao cấp với bảo mật mạnh mẽ và một số khả năng bỏ chặn tuyệt vời để khởi động. Nó đi kèm với một bảo đảm hoàn lại tiền trong 30 ngày.

Đọc đánh giá ExpressVPN đầy đủ của chúng tôi.

Á quân: NordVPN

NordVPN

Ứng dụng có sẵn:

  • máy tính
  • Mac
  • IOS
  • Android
  • Linux

Trang mạng: www.NordVPN.com

Đảm bảo lại tiền: 30 NGÀY

NordVPN sử dụng mô hình địa chỉ IP được chia sẻ, nhưng một vài địa chỉ IP chuyên dụng có sẵn trong ứng dụng. Nord vận hành hơn 5.000 máy chủ ấn tượng trên hơn 60 quốc gia. Nó tuân thủ chính sách không ghi nhật ký nghiêm ngặt và các ứng dụng của nó an toàn như họ nhận được. Đây cũng là một lựa chọn tốt nếu bạn đang cố gắng bỏ chặn nội dung bị khóa trong khu vực.

Một vài loại kết nối thay thế được cung cấp cho một số ít máy chủ. Chúng bao gồm các máy chủ được tối ưu hóa P2P, mặc dù torrent vẫn ổn đối với bất kỳ máy chủ nào. Các tùy chọn khác bao gồm Tor qua VPN và VPN kép.

NordVPN cho phép tối đa sáu kết nối đồng thời và tạo các ứng dụng cho Windows, MacOS, iOS, Android, Linux và Amazon Fire TV.

KHÔNG NAT VPN: NordVPN cung cấp một số lượng lớn máy chủ tốc độ cao và một loạt các loại kết nối khác nhau. Nó đi kèm với một bảo đảm hoàn lại tiền trong 30 ngày.

Đọc đánh giá đầy đủ của NordVPN của chúng tôi.

Giới hạn tường lửa NAT

Không phải tất cả các máy tính đằng sau tường lửa NAT đều miễn nhiễm với virus. Ngày nay, tin tặc phải lừa người dùng máy tính để cài đặt Trojan. Các chương trình này sẽ gửi yêu cầu đến máy tính hacker hacker. Bởi vì tin nhắn đến từ tin tặc được gửi để đáp lại yêu cầu bắt nguồn từ bên trong mạng, cổng sẽ cho phép nó đi qua.

Tường lửa NAT không bảo vệ bạn khỏi các trò lừa đảo, nơi bạn nhận được email từ ngân hàng trực tuyến yêu cầu bạn nhấn một nút trong email để kết nối với tài khoản của bạn. Trong thủ thuật này, email không phải từ ngân hàng của bạn, mà là từ tin tặc và khi bạn đăng nhập vào tài khoản của mình, bạn chỉ cần nhập thông tin đăng nhập của mình vào một trang giả mạo do tin tặc tạo ra.

Tường lửa NAT sẽ không bảo vệ bạn khỏi cuộc tấn công trung gian, trong đó tin tặc chạy điểm phát wifi giả sẽ thu giữ tất cả lưu lượng truy cập của bạn bằng cách đặt làm máy chủ mà bạn muốn kết nối.

Vẫn còn nhiều điểm yếu về bảo mật trong bất kỳ kết nối nào mà tường lửa NAT không thể bảo vệ bạn. Lợi ích của việc sử dụng VPN là nó triển khai nhiều quy trình bảo mật khác nhau, bao gồm chứng chỉ mã hóa và xác thực để ngăn bạn khỏi bị lừa đảo hoặc bị theo dõi.

Cách dịch địa chỉ IP hoạt động

Nếu tất cả các máy tính trong mạng đều kết nối trực tiếp với internet, thì mỗi máy tính sẽ yêu cầu một địa chỉ IP duy nhất trên toàn cầu. Tuy nhiên, cấu hình phổ biến hơn là kênh tất cả các giao tiếp internet cho tất cả các máy tính trên mạng thông qua một cổng. Trong trường hợp này, tất cả các máy tính cần địa chỉ IP chỉ cần là duy nhất trên mạng đó.

Các mạng riêng khác có thể sử dụng cùng một địa chỉ, nhưng điều đó không thành vấn đề vì các địa chỉ đó sẽ là duy nhất trong các mạng tương ứng của chúng. Chỉ có địa chỉ IP cổng phải là duy nhất trên internet.

Cổng phải theo dõi tất cả các máy tính trên mạng riêng đã gửi yêu cầu qua internet. Khi có phản hồi, cổng sẽ tìm máy tính nào gửi yêu cầu trong đó bảng dịch địa chỉ mạng để nó biết nơi để chuyển tiếp phản ứng.

Network_Address_Translation_ (file2)

Khi một máy tính trên mạng gửi yêu cầu đến một máy chủ trên internet, cổng mạng sẽ thay thế địa chỉ mạng riêng được ghi trong các liên lạc đó bằng một địa chỉ internet duy nhất. Khi phiên kết thúc, địa chỉ riêng đó được trả về nhóm và sẽ được gán cho một máy tính khác. Do đó, các địa chỉ internet trên mạng riêng bị ẩn và không ai có thể chắc chắn chính xác máy tính nào trên mạng đã gửi yêu cầu. Cổng biết bởi vì nó có một bản ghi trong bảng dịch địa chỉ mạng của nó.

Khi kết thúc kết nối, khi địa chỉ được chỉ định được trả về nhóm, cổng sẽ xóa mục nhập NAT cho địa chỉ đó khỏi bảng dịch của nó.

Những lợi ích khác của NAT

NAT ban đầu được dự định sử dụng làm tường lửa. Nó được phát minh để làm cho các mạng di động hơn để không phải mọi thiết bị đều cần được xử lý lại nếu mạng di chuyển. Chỉ có các thiết bị NAT, chẳng hạn như bộ định tuyến, bộ định tuyến, sẽ yêu cầu một địa chỉ IP đối diện công khai mới, trong khi tất cả các thiết bị được kết nối với nó có thể tiếp tục sử dụng cùng một địa chỉ IP riêng.

NAT bây giờ rất cần thiết khi bảo tồn không gian địa chỉ toàn cầu. Giao thức IPv4, xác định cách tất cả các thiết bị trên internet giao tiếp, có số lượng địa chỉ IP có hạn. Nếu mọi thiết bị kết nối với internet yêu cầu một địa chỉ IP duy nhất, chúng tôi sẽ sớm hết. Kết nối nhiều thiết bị trên mạng riêng thông qua một cổng NAT duy nhất chỉ sử dụng tối đa một địa chỉ IPv4.

IPv6 được phát minh để cuối cùng thay thế IPv4 bằng không gian địa chỉ lớn hơn nhiều, nhưng việc áp dụng đã chậm, vì vậy NAT là một công cụ rất cần thiết để duy trì hoạt động của Internet.

Tín dụng hình ảnh:

  • Củ cải CPT-NAT [bắt nguồn từ] Miles J Pool, CC BY 4.0
  • Yangliy tại Wikibooks tiếng Anh [Phạm vi công cộng], qua Wikimedia Commons (1), (2)