使用NAT 與防火牆- WCF | Microsoft Docs

您可以設定防火牆來檢查傳入與/或傳出的流量資料流。

防火牆會在網路邊緣或端點主機上為網路提供安全性界限。

商務使用者通常會將伺服器放在防火牆 ... 跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 共用 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 閱讀英文 儲存 目錄 閱讀英文 儲存 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 使用NAT與防火牆 發行項 03/11/2022 11位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 網路連線的用戶端與伺服器經常無法擁有直接且開放的通訊路徑。

網路上的端點電腦與中繼電腦都會針對封包進行篩選、路由、分析與轉換。

網路位址轉譯(NAT)與防火牆都是能夠參與網路通訊的常見中繼應用程式範例。

WindowsCommunicationFoundation(WCF)傳輸和訊息交換模式(mep)會以不同方式回應，也就是nat和防火牆的存在。

本主題將描述NAT與防火牆在常見網路拓撲中的運作方式。

提供WCF傳輸和Mep的特定組合建議，可協助讓您的應用程式在網路上更穩固的Nat和防火牆。

NAT如何影響通訊 NAT的建立目的，就是讓好幾部電腦共用一個外部IP位址。

負責連接埠重新對應的NAT會將某個連線的內部IP位址與連接埠對應至包含新連接埠號碼的外部IP位址。

新的連接埠號碼可讓NAT將返回流量與原始通訊進行關聯。

許多家庭使用者現在都有一個IP位址，但它只能進行內部路由，而且需倚賴NAT來提供全域封包路由功能。

NAT不提供安全性界限。

然而，常見的NAT組態會避免內部電腦被直接定址。

這樣就可以同時保護內部電腦免於收到一些來路不明的連線，而且也不容易寫入必須以非同步方式將資料傳回用戶端的伺服器應用程式。

NAT會在封包內重新撰寫位址，讓連線看起來就像是來自NAT電腦一樣。

這樣一來，當伺服器嘗試向用戶端開啟連線時將會失敗。

如果伺服器使用用戶端認知的位址，就會因為用戶端位址無法公開路由處理而失敗。

如果伺服器使用NAT位址，會因為沒有任何應用程式接聽該電腦而無法連線。

某些NAT支援轉送規則的組態，讓外部電腦得以連接至特定的內部電腦。

不同的NAT在設定轉送規則上有不同的指示，我們不建議要求一般使用者對大部分的應用程式更改自己的NAT組態。

許多終端使用者無法或不想更改特定應用程式的NAT組態。

防火牆如何影響通訊 防火牆是一種軟體或硬體裝置，可將規則套用至傳遞的流量，以決定是要允許還是拒絕傳送。

您可以設定防火牆來檢查傳入與/或傳出的流量資料流。

防火牆會在網路邊緣或端點主機上為網路提供安全性界限。

商務使用者通常會將伺服器放在防火牆後面來預防惡意的攻擊行為。

由於引進了WindowsXPSP2中的個人防火牆，因此防火牆背後的家庭使用者數目也會大幅增加。

這樣一來，連線的任一端或兩端都可能具備檢查封包的防火牆功能。

不同的防火牆在複雜性與檢查封包的功能等方面的差異很大。

簡易的防火牆會依據封包中的來源與目的地位址與連接埠來套用規則。

智慧型防火牆則可以同時檢查封包內容來做出決定。

這些防火牆在組態上大不相同，而且通常適用特定的應用程式。

家庭使用者防火牆的常見組態是禁止傳入的連線(除非先前已對該電腦進行傳出的連線)。

商務使用者防火牆的常見組態是禁止所有連接埠上的傳入連線(除了特別指定的群組之外)。

範例：會禁止所有連接埠(連接埠80與443除外)上的連線以提供HTTP和HTTPS服務的防火牆。

家庭與商務使用者同時透過管理防火牆，允許電腦上受信任的使用者或處理序變更防火牆組態。

對於不具備企業原則來控管網路使用的家庭使用者而言，管理防火牆是常見的選擇。

使用Teredo Teredo是一種IPv6轉換技術，可讓NAT後面的電腦具備直接可定址性。

Teredo仰賴可公開且全域路由的伺服器，通告潛在的連線。

Teredo伺服器會提供應用程式用戶端與伺服器一個共同的會議點，讓彼此交換連線資訊。

接著這些機器會要求暫時的Teredo位址，並透過現有的網路通道來傳送封包。

WCF中的teredo支援需要在作業系統中啟用IPv6和Teredo支援。

WindowsXP及更新版本的作業系統支援Teredo。

WindowsVista和更新版本的作業系統預設支援IPv6，而且只需要使用者啟用Teredo。

WindowsXPSP2和WindowsServer2003都需要使用者同時啟用IPv6和Teredo。

如需詳細資訊，請參閱Teredo總覽。

選擇傳輸與訊息交換模式 選取傳輸與MEP需經過三個步驟的處理序： 分析端點電腦的可定址性。

企業伺服器一般都具備直接定址性，而一般使用者通常都會透過NAT來封鎖電腦的可定址性。

如果兩個端點都位於NAT後面，例如終端使用者的對等案例，則您可能需要透過Teredo之類的技術來提供可定址性。

分析端點電腦的通訊協定與連接埠限制。

企業伺服器通常位於會封鎖許多連接埠、功能強大的防火牆後面。

然而，連接埠80常常開放來允許HTTP流量通過，而連接埠443則是開放來允許HTTPS流量通過。

終端使用者比較不可能對連接埠進行限制，但是可能透過防火牆來允許傳出連線的單向通行。

某些防火牆會允許在端點上透過應用程式管理，選擇性地開啟某些連線。

計算網路可定址性與連接埠限制所允許的傳輸與MEP。

主從式應用程式的常見拓撲，就是讓位於NAT後方且不包含Teredo功能的用戶端具備只允許傳出流量的防火牆，而讓可以直接定址的伺服器擁有功能強大的防火牆。

在此情況下，包含雙工MEP的TCP傳輸以及包含要求-回覆MEP的HTTP傳輸都能運作正常。

對等應用程式的常見拓撲，就是讓兩個端點同時位於NAT與防火牆後面。

在此情況下，還有網路拓撲不明的情況下，請考慮下列建議： 不使用雙重傳輸。

雙重傳輸會開啟更多的連線，進而降低成功連線的機會。

支援在原始連線上建立返回通道。

使用返回通道(例如在雙工TCP中)會開啟較少的連線，進而增加成功連線的機會。

針對註冊端點或轉送流量使用可連接的服務。

使用全域可連接的連線服務，例如Teredo伺服器，會在網路拓撲有所限制或不明的情況下，大幅增加成功連線的機會。

下表將檢查單向、要求-回復和雙工Mep，以及WCF中的標準TCP、TCP與Teredo，以及標準和雙重HTTP傳輸。

可定址性 直接伺服器 使用NAT周遊功能的直接伺服器 伺服器NAT 使用NAT周遊功能的伺服器NAT 直接用戶端 任何傳輸和MEP 任何傳輸和MEP 不支援。

不支援。

使用NAT周遊功能的直接用戶端 任何傳輸和MEP。

任何傳輸和MEP。

不支援。

包含Teredo的TCP與任何MEP。

WindowsVista具有全電腦的設定選項，可支援使用Teredo的HTTP。

用戶端NAT 任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

不支援。

不支援。

使用NAT周遊功能的用戶端NAT 任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

除了雙重HTTP與任何MEP以外。

雙工MEP需要TCP傳輸。

雙重TCP傳輸需要Teredo。

WindowsVista具有全電腦的設定選項，可支援使用Teredo的HTTP。

不支援。

包含Teredo的TCP與任何MEP。

WindowsVista具有全電腦的設定選項，可支援使用Teredo的HTTP。

防火牆限制 開放性伺服器 使用管理防火牆的伺服器 使用僅限HTTP防火牆的伺服器 使用僅限傳出流量防火牆的伺服器 開放性用戶端 任何傳輸和MEP。

任何傳輸和MEP。

任何HTTP傳輸和MEP。

不支援。

使用管理防火牆的用戶端 任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

任何HTTP傳輸和MEP。

不支援。

使用僅限HTTP防火牆的用戶端 任何HTTP傳輸和MEP。

任何HTTP傳輸和MEP。

任何HTTP傳輸和MEP。

不支援。

使用僅限傳出流量防火牆的用戶端 任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

任何非雙重傳輸和MEP。

雙工MEP需要TCP傳輸。

任何HTTP傳輸與任何非雙工MEP。

不支援。

本文內容