NAT 技術本存在哪些缺點

NAT技術本存在以下缺點：

• 一些應用層協議的工作特點導致了它們無法使用NAT技術。當端口改變時，有些協議不能正確執行它們的功能。

• 靜態NAT技術僅僅在一對一的基礎上替換IP包頭中的IP地址，應用層協議數據包所包含的相關地址并不能同時得到替換。如果希望提高安全性，應該考慮使用應用層代理服務來實現。

• 對于動態NAT技術，在內部主機建立穿越防火墻的網絡連接之前，相應的NAT映射并不存在。外部網絡主機根本沒有到達內部主機的路徑，因此內部網絡主機完全被屏蔽，不會受到攻擊，但是無法阻止內部用戶主動連接黑客主機。如果內部主機被引誘連接到一個惡意外部主機上，或者連接到一個已被黑客安裝了木馬的外部主機上，它將完全暴露，就像沒有防火墻一樣容易被攻擊。

• 狀態表超時問題。當內部主機向外部主機發送連接請求時，動態NAT映射表的內容動態生成。NAT映射表條目有一個生存周期，當連接中斷時，映射條目清除，或者經過一個超時值（這個超時值由各個防火墻廠商定義）后自動清除。從理論上講，在超時發生之前，攻擊者得到并利用動態網絡地址翻譯地址映射的內容是有可能的，盡管十分困難。

• 影響性能。轉換數據包報頭內的每個 IP 地址需要時間，因此 NAT 會增加交換延遲。第一個數據包采用過程交換，意味著它始終經過較慢的路徑。路由器必須查看每個數據包，以決定是否需要轉換。路由器需要更改 IP 報頭，甚至可能要更改 TCP 或 UDP 報頭。如果緩存條目存在，則其余數據包經過快速交換路徑，否則也會被延遲。

回答所涉及的環境：聯想天逸510S、Windows 10。