Firewall funktion

nat er ikke firewall, den er en navneomsætter til fra ip til hostname. Der er faktisk ikke en firewall, det eneste der sker er at den kan dele en ip ud til flere, de får så interne ip'er. og bliver derved usynlige. Du skal bare lige ha' fat i en lille router, jeg har en fra trendnet, den kan kaste folk videre til den  rigtige ip.

Jeg kender godt til NAT, og ved godt at det bare er en måde at styre IP- og port-numre. Men når jeg nu spørger som jeg spørger, så er det fordi, jeg gerne vil have nogle kommentarer på, om I synes NAT er nok, eller om man bør gå videre. Følgende er copy/pasted fra DI-604 og for mig at se er firewall sikkerheden i den i virkeligheden ikke andet end baseret på NAT. Men hvad mener I? Er en 604'er sikkerhed nok? Eller giver min Cisco 677 med NAT i virkeligheden samme sikkerhed?

"Firewall Security – Includes (1) NAT protection plus VPN pass-through for extra security, (2) Virtual Server mapping for multiple server environments, (3) Stateful Packet Inspection (SPI) monitors inbound packets and allows or denies access to your LAN based on user configurable rules, (4) Enable or Disable Ping reply for preventing Ping attacks, (5) Log file to keep a record of firewall activity."

DI-604: http://www.dlink.co.uk/390.htm

Hvis du evt. har en gammel maskine stående kunne du jo spare pengene til en firewall og installere smoothwall - det er et rigtigt godt alternativ til en HW-firewall. Let at administrere og mange forskellige udvidelsesmuligher

Hvis vi snakker ganske alm internet derhjemme så synes jeg det er overkill med en hardware firewall. NAT beskytter dig mod wannabe hackere og de få som ret faktisk kan finde ud af at hacke vil nok ikke udse dig som deres første offer og hvis de endelig gjorde så ville de sikkert finde et hul alligevel.

Når alt kommer til alt så er det somregel en fejl 40 der er skyld i de fleste sikkerhedsbrud.

Synes ikke der er svaret på spørgsmålet.

Som et svar til din kommentar 02/04-2003 11:57:16 så er der jo himmelvid forskel på NAT og Stateful Packet Inspection, da SPI analyserer alle pakker og kun lader dem forbi som opfylder dine regler (f.eks. vil en ftp-pakke ikke slippe igennem hvis du kun tillader http-trafik) den ser jo ikke på om det er er en pakke der sendes på port xx til host xxx. Derfor vil SPI fange en hacker der f.eks. har startet en telnet-service på FTP-porten og lukket FTP-serveren ned - NAT ville sende pakken lige igennem hvis du havde NAT'et FTP-trafik til serveren.