yehao's Blog

    進入正題，今天說說硬件防火墻的端口映射配置，以及端口映射的應用。所謂端口映射，就是把“某個IP地址的某個端口（也叫套接字）映射到另一個IP地址的某個端口”，其實和NAT一樣，本來都是路由器的專利。但出于加強安全性的考慮，一般現在在內網出口布置的都是硬件防火墻，路由器的大部分功能也能實現。當然了，現在的新趨勢是IPS。。。

    時下IPv4地址短缺，一個單位有一兩個固定IP就算不錯了，要實現內部網多臺主機上公網，不用說需要作NAT，把內部私有IP轉換成公網IP就搞定了。但如果需要對外發布一個以上的網站或其他服務，或是沒有VPN但需要作多臺主機（服務器）遠程控制，一兩個IP怎么說也是不夠的，這種時候就需要用到端口映射了（莫急，這就開始說了）。

　一般來講，防火墻的默認包過濾規則是禁止，如果不做端口映射，外網地址的所有端口都是關閉（隱藏，檢測不到）的，不允許從外網主動發起的任何連接（這就是在內網使用某些P2P軟件顯示“您的外網端口無法被連接”之類信息的原因）。下面結合實際講講配置。俺公司兩臺防火墻，一臺天融信一臺聯想網御，聯想網御作外網應用。比如，現有如下需求：

外網ＩＰ地址123.123.123.123，需要將內部網192.168.1.10和192.168.1.11兩臺服務器上的HTTP服務對外發布。

　外網地址只有1個，外網地址的80端口也只有1個，既然要發布兩個HTTP，也就不必（也沒辦法）拘泥于80端口。我們可以隨便選擇外網的端口號，比如，指定外網地址123.123.123.123的8080端口映射至內網192.168.1.10的80端口，指定外網地址123.123.123.123的8081端口映射至內網192.168.1.11的80端口。這里，如果沒有特殊要求，外網端口的選擇是任意的，外網用戶只要在IE的地址欄輸入“123.123.123.123:端口號”就可以訪問相應服務。當然，也可以指定外網地址123.123.123.123的80端口映射至內網192.168.1.10的80端口，這樣用瀏覽器訪問時就不用加端口號。

　添加端口映射配置的步驟，各品牌的防火墻不太一樣，但大同小異。

　比如，天融信沒有專門的端口映射配置，直接在NAT中配置即可。進入防火墻引擎－地址轉換－添加配置，源area選擇接外網的以太網口，源地址選any（有特殊需要的可以做源地址限制），源端口為空即可（即允許源端口為任何端口）；目的area為空（空即任意），目的地址選擇外網地址123.123.123.123（需預先定義），服務選擇TCP8081(或TCP8082，服務也需要預先定義)，下面目的地址轉換為192.168.1.10(192.168.1.11)，目的端口轉換為80（HTTP），啟用規則即可。

　網御直接有專門的端口映射配置，比較好理解，添加規則，選擇源地址（any，或自定），對外服務（8080或8081），源地址不轉換，公開地址選外網地址（123.123.123.123），內部地址選擇內網服務器地址（192.168.1.10或192.168.1.11），內部服務選80，啟用規則即可。

　至此，我們實現了兩條端口映射規則：123.123.123.123:8080--192.168.1.10:80和123.123.123.123:8081--192.168.1.11:80。

　同理，我們如果想讓p2p軟件在內網能正常工作的話，即讓外網用戶能連接p2p軟件的監聽端口，也需要作端口映射。比如，如果內網192.168.1.13運行Bitcomet監聽22345端口，顯示黃燈阻塞，我們作一條端口映射規則123.123.123.123:22345--192.168.1.13:22345，就可以變綠燈了，電驢也是一樣。

　下面談談端口映射配合遠程桌面的應用。以前公司沒有VPN，為了能在家遠程辦公通過遠程桌面訪問我的機器192.168.1.15，于是通過端口映射作123.123.123.123:3389--192.168.1.15:3389來實現，這樣在家里運行Windows自帶的遠程桌面（其實遠程控制軟件很多，但為了能在緊急情況時隨便找一臺能上網的機器就能用，所以還是選用系統自帶的），輸入地址123.123.123.123就可以遠程登陸到我公司內網的機器。但3389端口只有一個，這樣就只能我自己用。后來發現，在遠程桌面中輸入IP地址加端口號也可以。這樣就好辦了，作123.123.123.123:9991--192.168.1.15，然后在家運行遠程桌面，輸入123.123.123.123:9991，就可以登陸我的機器；再作123.123.123.123:9992--192.168.1.16等等，就可以實現多人通過一個公網IP遠程桌面訪問自己的機器，沒有VPN遠程辦公也很方便。但要注意這樣有一定的危險性，因為家里一般用ADSL，IP地址不是固定的，所以作規則時源地址一般支能選any，即允許任何人連接9991端口，不過問題一般不大。

　綜上，端口映射可以將內網的任何服務發布到外網地址的任何端口，非常方便，靈活運用的話對網管工作很有幫助。但切記，這種方法有一定的安全隱患，需慎用，最好在地址、端口、連接數、帶寬等各方面做好限制，以將危險減至最低。累死我了，下班了，回家吃飯。。。