端口映射:
端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。
通俗来讲,端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转移到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射。举例说明如何设置端口映射:例如要映射一台IP地址为192.168.1.10的远程桌面访问服务,只需把服务器的IP地址192.168.1.10和提供此服务的TCP端口3389填入到路由器的端口映射表中即可。
动态端口映射:内网中的一台电脑要访问网站,会向NAT网关发送数据包,包头中包括对方网站IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。然后再把数据发给网站,网站收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。
动态端口映射其实也就是NAT网关的工作方式。
静态端口映射::就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一台电脑。
什么是DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
二、区别 端口映射只是映射指定的端口,DMZ相当于映射所有的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。
HGU端口映射配置指导书
一、 登录HGU WEB页面
在电脑上用浏览器打开192.168.1.1,用户帐户:user 用户密码:(在HGU设备背面的铭牌上查看),如下图:
二、 配置方法
在WEB页面左侧选择[应用 → 高级 NAT配置 → 虚拟服务器设置],进入虚拟服务器设置页面配置。
三、 进入详细配置界面。
WAN连接:2_INTERNET_R_VID_3961,以FTP为例:外部开始端口填写2121,外部结束端口都填写2121,内部开始端口填写21、内部主机填写内网这台PC的IP地址,建议这台PC配置静态IP,比如192.168.1.2,点击添加。
说明:
| 名称 | 说明 |
| 协议 | 选择协议类型,支持以下协议:TCP(默认值)、UDP、TCP AND UDP |
| 外部开始端口 | WAN侧目的起始端口 |
| 外部结束端口 | WAN侧目的结束端口 |
| 虚拟主机IP地址 | LAN侧主机的IP地址 |
| 内部开始端口 | LAN侧主机的起始端口 |
| 内部结束端口 | LAN侧主机的结束端口 |
添加完之后,如下图所示。
例如设备LAN侧主机192.168.1.100配置了FTP服务器,HGU配置端口映射信息如下:
同时设备的internet接口地址是114.250.90.58,设备外部的PC在命令行telnet 114.250.90.58 10080回车显示如下证明WAN连接的10080端口被映射到了HGU内网的192.168.1.100的21端口:
四、DMZ配置指导书
DMZ配置指导书
本指导书以“从外网远程登录内网的一台PC的远程桌面”为例:HGU(192.168.1.1)——PC(192.168.1.2)
一、 登录HGU WEB页面
在电脑上用浏览器打开192.168.1.1,用户帐户:user 用户密码:(在HGU设备背面的铭牌上查看),如下图:
二、在WEB页面左侧选择菜单[应用 → 高级 NAT配置 →DMZ配置],进入 DMZ配置页面,如下图:
勾选启用DMZ主机;主机地址:192.168.1.2;建议这台PC配置静态IP,比如192.168.1.2,然后点击“确定”按钮。
| 名称 | 说明 |
| 使能 | 勾选复选框启用DMZ功能 |
| 局域网IP地址 | LAN侧主机对外提供服务时,映射的IP地址 |
添加完之后,如下图所示。
