硬件防火墙端口映射配置及应用.doc

硬件防火墙端口映射配置及应用进入正题，今天说说硬件防火墙的端口映射配置，以及端口映射的应用。所谓端口映射，就是把“某个IP地址的某个端口（也叫套接字）映射到另一个IP地址的某个端口”，其实和NAT一样，本来都是路由器的专利。但出于加强安全性的考虑，一般现在在内网出口布置的都是硬件防火墙，路由器的大部分功能也能实现。当然了，现在的新趋势是IPS。 时下IPv4地址短缺，一个单位有一两个固定IP就算不错了，要实现内部网多台主机上公网，不用说需要作NAT，把内部私有IP转换成公网IP就搞定了。但如果需要对外发布一个以上的网站或其他服务，或是没有VPN但需要作多台主机（服务器）远程控制，一两个IP怎么说也是不够的，这种时候就需要用到端口映射了（莫急，这就开始说了）。 一般来讲，防火墙的默认包过滤规则是禁止，如果不做端口映射，外网地址的所有端口都是关闭（隐藏，检测不到）的，不允许从外网主动发起的任何连接（这就是在内网使用某些P2P软件显示“您的外网端口无法被连接”之类信息的原因）。下面结合实际讲讲配置。俺公司两台防火墙，一台天融信一台联想网御，联想网御作外网应用。比如，现有如下需求：外网地址23，需要将内部网0和1两台服务器上的HTTP服务对外发布。 外网地址只有1个，外网地址的80端口也只有1个，既然要发布两个HTTP，也就不必（也没办法）拘泥于80端口。我们可以随便选择外网的端口号，比如，指定外网地址23的8080端口映射至内网0的80端口，指定外网地址23的8081端口映射至内网1的80端口。这里，如果没有特殊要求，外网端口的选择是任意的，外网用户只要在IE的地址栏输入“23:端口号”就可以访问相应服务。当然，也可以指定外网地址23的80端口映射至内网0的80端口，这样用浏览器访问时就不用加端口号。 添加端口映射配置的步骤，各品牌的防火墙不太一样，但大同小异。 比如，天融信没有专门的端口映射配置，直接在NAT中配置即可。进入防火墙引擎地址转换添加配置，源area选择接外网的以太网口，源地址选any（有特殊需要的可以做源地址限制），源端口为空即可（即允许源端口为任何端口）；目的area为空（空即任意），目的地址选择外网地址23（需预先定义），服务选择TCP8081(或TCP8082，服务也需要预先定义)，下面目的地址转换为0(1)，目的端口转换为80（HTTP），启用规则即可。 网御直接有专门的端口映射配置，比较好理解，添加规则，选择源地址（any，或自定），对外服务（8080或8081），源地址不转换，公开地址选外网地址（23），内部地址选择内网服务器地址（0或1），内部服务选80，启用规则即可。 至此，我们实现了两条端口映射规则：23:8080-0:80和23:8081-1:80。 同理，我们如果想让p2p软件在内网能正常工作的话，即让外网用户能连接p2p软件的监听端口，也需要作端口映射。比如，如果内网3运行Bitcomet监听22345端口，显示黄灯阻塞，我们作一条端口映射规则23:22345-3:22345，就可以变绿灯了，电驴也是一样。 下面谈谈端口映射配合远程桌面的应用。以前公司没有VPN，为了能在家远程办公通过远程桌面访问我的机器5，于是通过端口映射作23:3389-5:3389来实现，这样在家里运行Windows自带的远程桌面（其实远程控制软件很多，但为了能在紧急情况时随便找一台能上网的机器就能用，所以还是选用系统自带的），输入地址23就可以远程登陆到我公司内网的机器。但3389端口只有一个，这样就只能我自己用。后来发现，在远程桌面中输入IP地址加端口号也可以。这样就好办了，作23:9991-5，然后在家运行远程桌面，输入23:9991，就可以登陆我的机器；再作23:9992-6等等，就可以实现多人通过一个公网IP远程桌面访问自己的机器，没有VPN远程办公也很方便。但要注意这样有一定的危险性，因为家里一般用ADSL，IP地址不是固定的，所以作规则时源地址一般支能选any，即允许任何人连接9991端口，不过问题一