Windows 端口映射實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)(1)端口映射開放分類： 網(wǎng)絡(luò)端口映射（Port Mapping）：如果你是ADSL 、MODEM 或光纖等寬帶接入用戶，想在公司或單位內(nèi)部建一個(gè)服務(wù)器或WEB

Windows 端口映射實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)(1)

端口映射

開放分類： 網(wǎng)絡(luò)

端口映射（Port Mapping）：

如果你是ADSL 、MODEM 或光纖等寬帶接入用戶，想在公司或單位內(nèi)部建一個(gè)服務(wù)器或WEB 站點(diǎn)，并且想讓互聯(lián)網(wǎng)上的用戶訪問你的服務(wù)器，那么你就會(huì)遇到端口映射問題。

通常情況下，路由器都有防火墻功能，互聯(lián)網(wǎng)用戶只能訪問到你的路由器WAN 口(接ADSL 的電話線口或路由寬帶外網(wǎng)口) ，而訪問不到內(nèi)部服務(wù)器。要想讓互聯(lián)網(wǎng)用戶訪問到你建的服務(wù)器，就要在路由器上做一個(gè)轉(zhuǎn)發(fā)設(shè)置，也就是端口映射設(shè)置，讓互聯(lián)網(wǎng)用戶發(fā)送的請(qǐng)求到達(dá)路由器后, 再轉(zhuǎn)發(fā)到你建立的服務(wù)器或WEB 站點(diǎn)。這就是端口映射。由于各個(gè)路由器廠商所取功能名稱不一樣，有的叫虛擬服務(wù)器，有的叫NAT 設(shè)置(BitComet中常見問題) 端口映射。

其實(shí)做端口映射設(shè)置很簡(jiǎn)單，例如要映射一臺(tái)內(nèi)網(wǎng)IP 地址為192.168.0.66的WEB 服務(wù)器，只需把WEB 服務(wù)器的IP 地址192.168.0.66和TCP 端口80填入到路由器的端口映射表中就OK 了。

關(guān)于打開端口映射后的安全問題：

設(shè)置了端口映射后，互聯(lián)網(wǎng)用戶能夠通過設(shè)置好映射的端口，跳過路由器防火墻訪問到你的服務(wù)器，在通過攻擊你服務(wù)器上的漏洞控制你的主機(jī)，所以打開端口映射后有必要在你的服務(wù)器上再掛一個(gè)防火墻也確保安全性。

華為H3C ER3260 說(shuō)明書|使用手冊(cè)

系統(tǒng)服務(wù)

在系統(tǒng)服務(wù)中，您可以設(shè)置：

1 虛擬服務(wù)器，設(shè)置內(nèi)部服務(wù)器提供給因特網(wǎng)用戶訪問。

2 dmz（demilitarized zone，非管制區(qū)），dmz 的主機(jī)，實(shí)際就是缺省的虛擬服務(wù)器，當(dāng)需要設(shè)置的虛擬服務(wù)器的開放端口不確定時(shí)，可以把它設(shè)置成dmz 主機(jī)。

3 端口觸發(fā)，可以實(shí)現(xiàn)er3000 系列根據(jù)局域網(wǎng)訪問因特網(wǎng)的端口來(lái)自動(dòng)開放向內(nèi)的服務(wù)端口。

4 alg（application layer gateway，應(yīng)用層網(wǎng)關(guān)）應(yīng)用，對(duì)某些需要alg 處理的協(xié)議，可以啟用或禁用er3000 系列的alg 功能。

5 動(dòng)態(tài)域名，用于把er3000 系列的wan 口的ip 與申請(qǐng)的動(dòng)態(tài)域名建立對(duì)應(yīng)關(guān)系，當(dāng)w an 口ip 地址變化時(shí)，因特網(wǎng)用戶也能方便地通過域名來(lái)訪問虛擬服務(wù)器。

設(shè)置DMZ 主機(jī)

dmz 主機(jī)實(shí)際上就是一個(gè)缺省的虛擬服務(wù)器，優(yōu)先級(jí)低于虛擬服務(wù)器。

如果er3000 系列收到一個(gè)來(lái)自外部網(wǎng)絡(luò)的連接請(qǐng)求時(shí)，它將首先根據(jù)外部請(qǐng)求的服務(wù)端口號(hào)，查找虛擬服務(wù)列表，檢查是否有匹配的映射表項(xiàng)：

1 如果有匹配的表項(xiàng)，就把請(qǐng)求消息發(fā)送到該表項(xiàng)對(duì)應(yīng)的虛擬服務(wù)器上去；

2 如果沒有查到匹配的表項(xiàng)，檢查是否有匹配的dmz 主機(jī)，如果dmz 主機(jī)存在，就把請(qǐng)

求消息全都轉(zhuǎn)發(fā)到dmz 主機(jī)上去，否則丟棄。

1 啟用dmz 功能之后，dmz 主機(jī)就等于暴露在了因特網(wǎng)中，安全性降低。

2 訪問dmz 主機(jī)的端口號(hào)應(yīng)與dmz 實(shí)際開啟的服務(wù)端口號(hào)一樣。

圖5-18 dmz

界面項(xiàng)描述如下：

表5-10 dmz

設(shè)置虛擬服務(wù)器（端口映射）

系統(tǒng)服務(wù)→虛擬服務(wù)器

虛擬服務(wù)器也可稱為端口映射。您可以通過設(shè)置虛擬服務(wù)器，實(shí)現(xiàn)讓因特網(wǎng)用戶訪問局域網(wǎng)內(nèi)部服務(wù)器提供的服務(wù)，比如web 服務(wù)、email 以及ftp 等。

缺省情況下，為保證局域網(wǎng)的安全，er3000 系列會(huì)阻斷從因特網(wǎng)主動(dòng)發(fā)起的連接請(qǐng)求，因此，如果要使因特網(wǎng)用戶能夠訪問局域網(wǎng)內(nèi)的服務(wù)器，需要設(shè)置虛擬服務(wù)器。

虛擬服務(wù)器可以將wan 口ip 地址、外部端口號(hào)和局域網(wǎng)內(nèi)服務(wù)器ip 地址、內(nèi)部端口號(hào)建立映射關(guān)系，所有對(duì)該wan 口某服務(wù)端口的訪問將會(huì)被重定向到指定的局域網(wǎng)內(nèi)服務(wù)器的相應(yīng)內(nèi)部端口。

最多支持20 條虛擬服務(wù)器設(shè)置項(xiàng)。

圖5-16 虛擬服務(wù)器

界面項(xiàng)描述如下：

表5-9 虛擬服務(wù)器

【舉例】：某公司的內(nèi)部局域網(wǎng)，通過er3000 系列連接因特網(wǎng)，局域網(wǎng)內(nèi)有一臺(tái)web 服務(wù)器（ip 地址為192.168.1.100，服務(wù)端口為80），客戶端（因特網(wǎng)上用戶或本公司局域網(wǎng)用戶）需要通過8080 端口訪問這臺(tái)服務(wù)器的web 服務(wù)。

設(shè)置如下：

圖5-17 虛擬服務(wù)器設(shè)置舉例

設(shè)置完成后，只需在客戶端瀏覽器中輸入http://xxx.xxx.xxx.xxx:8080，就可以訪問w eb 服務(wù)器（xxx.xxx.xxx.xxx 為er3000 系列當(dāng)前的wan 口地址）了。

1 對(duì)于ftp 、tftp 等需要使用alg 處理的虛擬服務(wù)器應(yīng)用，需要啟用對(duì)應(yīng)的alg 項(xiàng)。（設(shè)置路徑：系統(tǒng)服務(wù)→alg 應(yīng)用，具體配置請(qǐng)參考“5.4.4 設(shè)置alg 應(yīng)用”）

2 客戶端訪問虛擬服務(wù)器的業(yè)務(wù)，如果需要做alg 處理，內(nèi)部端口必須設(shè)置為標(biāo)準(zhǔn)端口號(hào)。例如：wan 側(cè)客戶端通過pasv 模式（被動(dòng)ftp ）訪問局域網(wǎng)內(nèi)的ftp 服務(wù)器，內(nèi)部端口必須設(shè)置為21。

設(shè)置端口觸發(fā)

系統(tǒng)服務(wù)→端口觸發(fā)

局域網(wǎng)客戶端訪問因特網(wǎng)上服務(wù)器，對(duì)于某些應(yīng)用，客戶端向服務(wù)器主動(dòng)發(fā)起連接的同時(shí)，也需要服務(wù)器向客戶端主動(dòng)發(fā)起連接請(qǐng)求，而缺省情況下er3000 系列收到wan 側(cè)主動(dòng)連接的請(qǐng)求都會(huì)拒絕，這樣就會(huì)中斷通信。通過定義端口觸發(fā)規(guī)則，當(dāng)客戶端訪問服務(wù)器觸發(fā)此規(guī)則后，er3000 系列自動(dòng)開放服務(wù)器需要向客戶端請(qǐng)求的端口，這樣可以保證通信正常。

客戶端和er3000 系列沒有數(shù)據(jù)交互一段時(shí)間后，er3000 系列自動(dòng)關(guān)閉之前對(duì)外開放的端口，既保證應(yīng)用的正常使用，又能最大限度地保證局域網(wǎng)的安全。

1 端口觸發(fā)最多支持20 條設(shè)置項(xiàng)。

2 各設(shè)置項(xiàng)中，觸發(fā)端口、外來(lái)端口允許有重疊。

3 當(dāng)局域網(wǎng)內(nèi)計(jì)算機(jī)通過觸發(fā)端口與外部網(wǎng)絡(luò)建立連接，其相應(yīng)的外來(lái)端口也將被打開，這時(shí)外部網(wǎng)絡(luò)的計(jì)算機(jī)可以通過這些端口來(lái)訪問局域網(wǎng)。

4 每個(gè)定義的端口觸發(fā)只能同時(shí)被一臺(tái)計(jì)算機(jī)所使用。如果有多臺(tái)機(jī)器同時(shí)打開同一個(gè)“觸發(fā)端口”，那么“外來(lái)端口”的連接只會(huì)被重定向到最后一次打開“觸發(fā)端口”的那臺(tái)計(jì)算機(jī)。

圖5-19 端口觸發(fā)

界面項(xiàng)描述如下：

表5-11 端口觸發(fā)

設(shè)置ALG 應(yīng)用

系統(tǒng)服務(wù)→alg 應(yīng)用

有些應(yīng)用協(xié)議需要?jiǎng)?chuàng)建動(dòng)態(tài)連接，創(chuàng)建動(dòng)態(tài)連接所需的ip 地址和端口是在協(xié)議內(nèi)容中動(dòng)態(tài)描述的，而er3000 系列會(huì)拒絕wan 側(cè)主動(dòng)發(fā)起的連接，通過配置靜態(tài)過濾規(guī)則無(wú)法允許這些動(dòng)態(tài)連接的建立，所以需要啟用alg 來(lái)解決，把協(xié)議中攜帶的地址和端口號(hào)改成nat 網(wǎng)關(guān)的ip 地址和空閑的端口號(hào)，并把對(duì)端傳輸過來(lái)的數(shù)據(jù)重定向到局域網(wǎng)內(nèi)的設(shè)備。

針對(duì)需要做alg 的一些應(yīng)用協(xié)議，er3000 系列進(jìn)行了alg 處理，在使用時(shí)只需要設(shè)置啟用即可。

缺省情況下，以下協(xié)議的alg 已經(jīng)啟用，建議保留缺省設(shè)置，不做修改。

圖5-20應(yīng)用層網(wǎng)關(guān)

設(shè)置動(dòng)態(tài)域名

系統(tǒng)服務(wù)→動(dòng)態(tài)域名

由于通過pppoe 或動(dòng)態(tài)獲取ip 地址上網(wǎng)時(shí)，獲取到的ip 地址不固定，這給想訪問本局域網(wǎng)服務(wù)器的因特網(wǎng)用戶帶來(lái)很大的不便。ddns （dynamic domain name service，動(dòng)態(tài)域名服務(wù)）可以解決這個(gè)問題。

er3000 系列在ddns 服務(wù)器上會(huì)建立一個(gè)ip 與域名（需要預(yù)先注冊(cè)）的關(guān)系表，當(dāng)wa n 口ip 地址變化時(shí)，er3000 系列會(huì)自動(dòng)向指定的ddns 服務(wù)器發(fā)起更新請(qǐng)求，ddns 服務(wù)器上更新域名與ip 地址的對(duì)應(yīng)關(guān)系，無(wú)論er3000 系列的wan 口ip 地址如何改變，因特網(wǎng)上的用戶仍可以通過域名對(duì)其進(jìn)行訪問。

ddns 功能是作為ddns 服務(wù)的客戶端工具，需要與ddns 服務(wù)器協(xié)同工作。使用該功能之前，請(qǐng)先到www.3322.org 或www.oray.net （花生殼）去申請(qǐng)注冊(cè)一個(gè)域名。

圖5-21動(dòng)態(tài)域名

界面項(xiàng)描述如下：

表5-12動(dòng)態(tài)域名

【舉例】：如果您已經(jīng)在www.3322.org 上注冊(cè)了域名er.3322.org ，建立該域名與er3000系列的wan 口ip 地址之間動(dòng)態(tài)對(duì)應(yīng)關(guān)系的方法如下圖。

5-22 ddns舉例 圖