Windows 端口映射實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)(1)端口映射開放分類： 網(wǎng)絡端口映射（Port Mapping）：如果你是ADSL 、MODEM 或光纖等寬帶接入用戶，想在公司或單位內(nèi)部建一個服務器或WEB

Windows 端口映射實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)(1)

端口映射

開放分類： 網(wǎng)絡

端口映射（Port Mapping）：

如果你是ADSL 、MODEM 或光纖等寬帶接入用戶，想在公司或單位內(nèi)部建一個服務器或WEB 站點，并且想讓互聯(lián)網(wǎng)上的用戶訪問你的服務器，那么你就會遇到端口映射問題。

通常情況下，路由器都有防火墻功能，互聯(lián)網(wǎng)用戶只能訪問到你的路由器WAN 口(接ADSL 的電話線口或路由寬帶外網(wǎng)口) ，而訪問不到內(nèi)部服務器。要想讓互聯(lián)網(wǎng)用戶訪問到你建的服務器，就要在路由器上做一個轉(zhuǎn)發(fā)設置，也就是端口映射設置，讓互聯(lián)網(wǎng)用戶發(fā)送的請求到達路由器后, 再轉(zhuǎn)發(fā)到你建立的服務器或WEB 站點。這就是端口映射。由于各個路由器廠商所取功能名稱不一樣，有的叫虛擬服務器，有的叫NAT 設置(BitComet中常見問題) 端口映射。

其實做端口映射設置很簡單，例如要映射一臺內(nèi)網(wǎng)IP 地址為192.168.0.66的WEB 服務器，只需把WEB 服務器的IP 地址192.168.0.66和TCP 端口80填入到路由器的端口映射表中就OK 了。

關于打開端口映射后的安全問題：

設置了端口映射后，互聯(lián)網(wǎng)用戶能夠通過設置好映射的端口，跳過路由器防火墻訪問到你的服務器，在通過攻擊你服務器上的漏洞控制你的主機，所以打開端口映射后有必要在你的服務器上再掛一個防火墻也確保安全性。

華為H3C ER3260 說明書|使用手冊

系統(tǒng)服務

在系統(tǒng)服務中，您可以設置：

1 虛擬服務器，設置內(nèi)部服務器提供給因特網(wǎng)用戶訪問。

2 dmz（demilitarized zone，非管制區(qū)），dmz 的主機，實際就是缺省的虛擬服務器，當需要設置的虛擬服務器的開放端口不確定時，可以把它設置成dmz 主機。

3 端口觸發(fā)，可以實現(xiàn)er3000 系列根據(jù)局域網(wǎng)訪問因特網(wǎng)的端口來自動開放向內(nèi)的服務端口。

4 alg（application layer gateway，應用層網(wǎng)關）應用，對某些需要alg 處理的協(xié)議，可以啟用或禁用er3000 系列的alg 功能。

5 動態(tài)域名，用于把er3000 系列的wan 口的ip 與申請的動態(tài)域名建立對應關系，當w an 口ip 地址變化時，因特網(wǎng)用戶也能方便地通過域名來訪問虛擬服務器。

設置DMZ 主機

dmz 主機實際上就是一個缺省的虛擬服務器，優(yōu)先級低于虛擬服務器。

如果er3000 系列收到一個來自外部網(wǎng)絡的連接請求時，它將首先根據(jù)外部請求的服務端口號，查找虛擬服務列表，檢查是否有匹配的映射表項：

1 如果有匹配的表項，就把請求消息發(fā)送到該表項對應的虛擬服務器上去；

2 如果沒有查到匹配的表項，檢查是否有匹配的dmz 主機，如果dmz 主機存在，就把請

求消息全都轉(zhuǎn)發(fā)到dmz 主機上去，否則丟棄。

1 啟用dmz 功能之后，dmz 主機就等于暴露在了因特網(wǎng)中，安全性降低。

2 訪問dmz 主機的端口號應與dmz 實際開啟的服務端口號一樣。

圖5-18 dmz

界面項描述如下：

表5-10 dmz

設置虛擬服務器（端口映射）

系統(tǒng)服務→虛擬服務器

虛擬服務器也可稱為端口映射。您可以通過設置虛擬服務器，實現(xiàn)讓因特網(wǎng)用戶訪問局域網(wǎng)內(nèi)部服務器提供的服務，比如web 服務、email 以及ftp 等。

缺省情況下，為保證局域網(wǎng)的安全，er3000 系列會阻斷從因特網(wǎng)主動發(fā)起的連接請求，因此，如果要使因特網(wǎng)用戶能夠訪問局域網(wǎng)內(nèi)的服務器，需要設置虛擬服務器。

虛擬服務器可以將wan 口ip 地址、外部端口號和局域網(wǎng)內(nèi)服務器ip 地址、內(nèi)部端口號建立映射關系，所有對該wan 口某服務端口的訪問將會被重定向到指定的局域網(wǎng)內(nèi)服務器的相應內(nèi)部端口。

最多支持20 條虛擬服務器設置項。

圖5-16 虛擬服務器

界面項描述如下：

表5-9 虛擬服務器

【舉例】：某公司的內(nèi)部局域網(wǎng)，通過er3000 系列連接因特網(wǎng)，局域網(wǎng)內(nèi)有一臺web 服務器（ip 地址為192.168.1.100，服務端口為80），客戶端（因特網(wǎng)上用戶或本公司局域網(wǎng)用戶）需要通過8080 端口訪問這臺服務器的web 服務。

設置如下：

圖5-17 虛擬服務器設置舉例

設置完成后，只需在客戶端瀏覽器中輸入http://xxx.xxx.xxx.xxx:8080，就可以訪問w eb 服務器（xxx.xxx.xxx.xxx 為er3000 系列當前的wan 口地址）了。

1 對于ftp 、tftp 等需要使用alg 處理的虛擬服務器應用，需要啟用對應的alg 項。（設置路徑：系統(tǒng)服務→alg 應用，具體配置請參考“5.4.4 設置alg 應用”）

2 客戶端訪問虛擬服務器的業(yè)務，如果需要做alg 處理，內(nèi)部端口必須設置為標準端口號。例如：wan 側客戶端通過pasv 模式（被動ftp ）訪問局域網(wǎng)內(nèi)的ftp 服務器，內(nèi)部端口必須設置為21。

設置端口觸發(fā)

系統(tǒng)服務→端口觸發(fā)

局域網(wǎng)客戶端訪問因特網(wǎng)上服務器，對于某些應用，客戶端向服務器主動發(fā)起連接的同時，也需要服務器向客戶端主動發(fā)起連接請求，而缺省情況下er3000 系列收到wan 側主動連接的請求都會拒絕，這樣就會中斷通信。通過定義端口觸發(fā)規(guī)則，當客戶端訪問服務器觸發(fā)此規(guī)則后，er3000 系列自動開放服務器需要向客戶端請求的端口，這樣可以保證通信正常。

客戶端和er3000 系列沒有數(shù)據(jù)交互一段時間后，er3000 系列自動關閉之前對外開放的端口，既保證應用的正常使用，又能最大限度地保證局域網(wǎng)的安全。

1 端口觸發(fā)最多支持20 條設置項。

2 各設置項中，觸發(fā)端口、外來端口允許有重疊。

3 當局域網(wǎng)內(nèi)計算機通過觸發(fā)端口與外部網(wǎng)絡建立連接，其相應的外來端口也將被打開，這時外部網(wǎng)絡的計算機可以通過這些端口來訪問局域網(wǎng)。

4 每個定義的端口觸發(fā)只能同時被一臺計算機所使用。如果有多臺機器同時打開同一個“觸發(fā)端口”，那么“外來端口”的連接只會被重定向到最后一次打開“觸發(fā)端口”的那臺計算機。

圖5-19 端口觸發(fā)

界面項描述如下：

表5-11 端口觸發(fā)

設置ALG 應用

系統(tǒng)服務→alg 應用

有些應用協(xié)議需要創(chuàng)建動態(tài)連接，創(chuàng)建動態(tài)連接所需的ip 地址和端口是在協(xié)議內(nèi)容中動態(tài)描述的，而er3000 系列會拒絕wan 側主動發(fā)起的連接，通過配置靜態(tài)過濾規(guī)則無法允許這些動態(tài)連接的建立，所以需要啟用alg 來解決，把協(xié)議中攜帶的地址和端口號改成nat 網(wǎng)關的ip 地址和空閑的端口號，并把對端傳輸過來的數(shù)據(jù)重定向到局域網(wǎng)內(nèi)的設備。

針對需要做alg 的一些應用協(xié)議，er3000 系列進行了alg 處理，在使用時只需要設置啟用即可。

缺省情況下，以下協(xié)議的alg 已經(jīng)啟用，建議保留缺省設置，不做修改。

圖5-20應用層網(wǎng)關

設置動態(tài)域名

系統(tǒng)服務→動態(tài)域名

由于通過pppoe 或動態(tài)獲取ip 地址上網(wǎng)時，獲取到的ip 地址不固定，這給想訪問本局域網(wǎng)服務器的因特網(wǎng)用戶帶來很大的不便。ddns （dynamic domain name service，動態(tài)域名服務）可以解決這個問題。

er3000 系列在ddns 服務器上會建立一個ip 與域名（需要預先注冊）的關系表，當wa n 口ip 地址變化時，er3000 系列會自動向指定的ddns 服務器發(fā)起更新請求，ddns 服務器上更新域名與ip 地址的對應關系，無論er3000 系列的wan 口ip 地址如何改變，因特網(wǎng)上的用戶仍可以通過域名對其進行訪問。

ddns 功能是作為ddns 服務的客戶端工具，需要與ddns 服務器協(xié)同工作。使用該功能之前，請先到www.3322.org 或www.oray.net （花生殼）去申請注冊一個域名。

圖5-21動態(tài)域名

界面項描述如下：

表5-12動態(tài)域名

【舉例】：如果您已經(jīng)在www.3322.org 上注冊了域名er.3322.org ，建立該域名與er3000系列的wan 口ip 地址之間動態(tài)對應關系的方法如下圖。

5-22 ddns舉例 圖