从原理上来说,有很多方法绕过NAT进入内部网络:
1) 象木马等方式可以使得内部网络一台机器作为攻击内部网络的跳板,微软类似这样被搞过很多次了;
2) 某些NAT无法阻挡源路由协议的攻击,攻击者可以由此进入内部网络(可以通过Windows下的tracert命令的-j参数进行测试, -j host-list Loose source route along host-list.)
3) NAT如果不加过滤,一些伪造源IP地址的包也可能侵入内部网络
4) 如果内部有台符合RFC标准的能够提供PASV方式的FTP服务器的话,外部用户可以通过这台FTP服务器进行FTP PASV方式的端口扫描。
5) more and more...
有太多方式可以透过NAT进入内部网络,而且还有一堆人都在研究怎么透过NAT甚至NAT+FW
FW在很多方面可以加强整个内部网络的安全性:
1) 端口过滤,端口过滤是加强安全的最基础的方式,可以防止想当一部分攻击;
2) 地址过滤,可以防止一些伪造源IP地址的攻击和源路由攻击
3) 会话过滤,好的FW可以做到会话级别的过滤
4) 应用过滤,能够实现应用级别的过滤是FW的比较高级的功能了,过滤颗粒比较细
5) more and more...
结论是仅仅用NAT来实现网络安全是不够的,FW有很多NAT实现不了的功能,完整的网络安全解决方案还应该包括网络防毒、IDS以及专家扫描系统等等,我认为最重要的还是管理员的水平和尽不尽职。