yehao's Blog

    進入正題，今天說說硬件防火墻的端口映射配置，以及端口映射的應(yīng)用。所謂端口映射，就是把“某個IP地址的某個端口（也叫套接字）映射到另一個IP地址的某個端口”，其實和NAT一樣，本來都是路由器的專利。但出于加強安全性的考慮，一般現(xiàn)在在內(nèi)網(wǎng)出口布置的都是硬件防火墻，路由器的大部分功能也能實現(xiàn)。當(dāng)然了，現(xiàn)在的新趨勢是IPS。。。

    時下IPv4地址短缺，一個單位有一兩個固定IP就算不錯了，要實現(xiàn)內(nèi)部網(wǎng)多臺主機上公網(wǎng)，不用說需要作NAT，把內(nèi)部私有IP轉(zhuǎn)換成公網(wǎng)IP就搞定了。但如果需要對外發(fā)布一個以上的網(wǎng)站或其他服務(wù)，或是沒有VPN但需要作多臺主機（服務(wù)器）遠程控制，一兩個IP怎么說也是不夠的，這種時候就需要用到端口映射了（莫急，這就開始說了）。

　一般來講，防火墻的默認包過濾規(guī)則是禁止，如果不做端口映射，外網(wǎng)地址的所有端口都是關(guān)閉（隱藏，檢測不到）的，不允許從外網(wǎng)主動發(fā)起的任何連接（這就是在內(nèi)網(wǎng)使用某些P2P軟件顯示“您的外網(wǎng)端口無法被連接”之類信息的原因）。下面結(jié)合實際講講配置。俺公司兩臺防火墻，一臺天融信一臺聯(lián)想網(wǎng)御，聯(lián)想網(wǎng)御作外網(wǎng)應(yīng)用。比如，現(xiàn)有如下需求：

外網(wǎng)ＩＰ地址123.123.123.123，需要將內(nèi)部網(wǎng)192.168.1.10和192.168.1.11兩臺服務(wù)器上的HTTP服務(wù)對外發(fā)布。

　外網(wǎng)地址只有1個，外網(wǎng)地址的80端口也只有1個，既然要發(fā)布兩個HTTP，也就不必（也沒辦法）拘泥于80端口。我們可以隨便選擇外網(wǎng)的端口號，比如，指定外網(wǎng)地址123.123.123.123的8080端口映射至內(nèi)網(wǎng)192.168.1.10的80端口，指定外網(wǎng)地址123.123.123.123的8081端口映射至內(nèi)網(wǎng)192.168.1.11的80端口。這里，如果沒有特殊要求，外網(wǎng)端口的選擇是任意的，外網(wǎng)用戶只要在IE的地址欄輸入“123.123.123.123:端口號”就可以訪問相應(yīng)服務(wù)。當(dāng)然，也可以指定外網(wǎng)地址123.123.123.123的80端口映射至內(nèi)網(wǎng)192.168.1.10的80端口，這樣用瀏覽器訪問時就不用加端口號。

　添加端口映射配置的步驟，各品牌的防火墻不太一樣，但大同小異。

　比如，天融信沒有專門的端口映射配置，直接在NAT中配置即可。進入防火墻引擎－地址轉(zhuǎn)換－添加配置，源area選擇接外網(wǎng)的以太網(wǎng)口，源地址選any（有特殊需要的可以做源地址限制），源端口為空即可（即允許源端口為任何端口）；目的area為空（空即任意），目的地址選擇外網(wǎng)地址123.123.123.123（需預(yù)先定義），服務(wù)選擇TCP8081(或TCP8082，服務(wù)也需要預(yù)先定義)，下面目的地址轉(zhuǎn)換為192.168.1.10(192.168.1.11)，目的端口轉(zhuǎn)換為80（HTTP），啟用規(guī)則即可。

　網(wǎng)御直接有專門的端口映射配置，比較好理解，添加規(guī)則，選擇源地址（any，或自定），對外服務(wù)（8080或8081），源地址不轉(zhuǎn)換，公開地址選外網(wǎng)地址（123.123.123.123），內(nèi)部地址選擇內(nèi)網(wǎng)服務(wù)器地址（192.168.1.10或192.168.1.11），內(nèi)部服務(wù)選80，啟用規(guī)則即可。

　至此，我們實現(xiàn)了兩條端口映射規(guī)則：123.123.123.123:8080--192.168.1.10:80和123.123.123.123:8081--192.168.1.11:80。

　同理，我們?nèi)绻胱宲2p軟件在內(nèi)網(wǎng)能正常工作的話，即讓外網(wǎng)用戶能連接p2p軟件的監(jiān)聽端口，也需要作端口映射。比如，如果內(nèi)網(wǎng)192.168.1.13運行Bitcomet監(jiān)聽22345端口，顯示黃燈阻塞，我們作一條端口映射規(guī)則123.123.123.123:22345--192.168.1.13:22345，就可以變綠燈了，電驢也是一樣。

　下面談?wù)劧丝谟成渑浜线h程桌面的應(yīng)用。以前公司沒有VPN，為了能在家遠程辦公通過遠程桌面訪問我的機器192.168.1.15，于是通過端口映射作123.123.123.123:3389--192.168.1.15:3389來實現(xiàn)，這樣在家里運行Windows自帶的遠程桌面（其實遠程控制軟件很多，但為了能在緊急情況時隨便找一臺能上網(wǎng)的機器就能用，所以還是選用系統(tǒng)自帶的），輸入地址123.123.123.123就可以遠程登陸到我公司內(nèi)網(wǎng)的機器。但3389端口只有一個，這樣就只能我自己用。后來發(fā)現(xiàn)，在遠程桌面中輸入IP地址加端口號也可以。這樣就好辦了，作123.123.123.123:9991--192.168.1.15，然后在家運行遠程桌面，輸入123.123.123.123:9991，就可以登陸我的機器；再作123.123.123.123:9992--192.168.1.16等等，就可以實現(xiàn)多人通過一個公網(wǎng)IP遠程桌面訪問自己的機器，沒有VPN遠程辦公也很方便。但要注意這樣有一定的危險性，因為家里一般用ADSL，IP地址不是固定的，所以作規(guī)則時源地址一般支能選any，即允許任何人連接9991端口，不過問題一般不大。

　綜上，端口映射可以將內(nèi)網(wǎng)的任何服務(wù)發(fā)布到外網(wǎng)地址的任何端口，非常方便，靈活運用的話對網(wǎng)管工作很有幫助。但切記，這種方法有一定的安全隱患，需慎用，最好在地址、端口、連接數(shù)、帶寬等各方面做好限制，以將危險減至最低。累死我了，下班了，回家吃飯。。。