VPN 提供商提供 NAT 防火墙服务的情况越来越普遍,通常作为可选的额外服务。但这是什么意思,我为什么要它?更精通技术的人可能会更加困惑,因为每个家庭和办公室路由器都包含基本的 NAT 过滤,那么为什么您需要额外的服务呢?
什么是防火墙?
那么让我们从基础开始吧。防火墙是位于安全局域网 (LAN)(例如家庭 WiFi 设置)和不太安全的区域(例如互联网)之间的“东西”。其目的是通过分析数据包并确定如何处理它们来控制两者之间的通信。因此,防火墙对于阻止黑客使用各种技术将恶意数据包插入计算机非常有用。
防火墙可以是一个软件(通常称为“个人防火墙”)或硬件网络设备。大多数现代操作系统,例如 Windows(Vista 及以上)和 OSX 都至少内置了基本的个人防火墙。
网络地址转换 (NAT) 是修改 IP 数据包标头中的 IP 信息以便将数据包路由到所需目的地的过程。它用于家庭路由器(例如典型的 WiFi 路由器),允许多种设备(例如台式电脑、笔记本电脑、游戏机、移动电话和支持互联网的电视)(每个设备都有自己的网络地址)使用 ISP 为您分配的一个外部 IP 连接到互联网。
连接到 LAN <-> NAT 路由器 <-> ISP <-> 互联网的设备
由于无法识别的 IP 数据包将被丢弃,因此 NAT 过程充当简单但有效的防火墙,阻止传入流量,除非它是响应先前发送的传出流量(即阻止未经请求的流量)。
VPN 和 NAT 防火墙
所有这一切意味着,通常情况下,当您通过路由器连接到互联网时,您会受到硬件防火墙的保护,该防火墙提供了针对潜在黑客的良好第一道防线。然而,使用个人 VPN 服务的问题是,您的 PC 和 VPN 服务器之间的加密 VPN 隧道也会穿过 NAT 防火墙(无法读取数据包标头,因为它们是加密的)。这意味着您将失去 NAT 防火墙提供的保护,并且恶意 IP 数据包可以从您的公共可见 IP 地址进入您的系统。
连接到 LAN 的设备 <=>家庭路由器 NAT 防火墙 <-> ISP <=> VPN 服务器 <-> Internet
(<=> 内的所有连接都位于加密的 VPN 隧道内)。
提供 NAT 防火墙服务的 VPN 提供商在 VPN 服务器和互联网之间放置了 NAT 防火墙,以便所有互联网流量都通过 NAT 防火墙进行过滤。
连接到 LAN 的设备 <=>家庭路由器 NAT 防火墙 <-> ISP <=> VPN 服务器 <-> NAT 防火墙 <-> Internet
我不能只使用操作系统附带的个人防火墙吗?
至少使用操作系统附带的防火墙始终是一个好主意,因为它们为基本 NAT 过滤提供了更复杂的防火墙解决方案。事实上,我们鼓励使用第三方防火墙解决方案来实现更全面的覆盖。然而,NAT 硬件防火墙不仅是一道额外的防线,而且在处理器密集型防火墙必须处理大量潜在威胁之前,它会过滤掉这些威胁,并且可能会抛出另一个烦人的“您想允许此连接吗?”对话供您处理。
除此之外,虽然现在的桌面操作系统通常具有内置防火墙,但其他设备(最著名的移动电话)却没有,因此在使用 VPN 时不会受到防火墙保护。