什么是端口映射(飞鱼星百词讲坛(四)丨什么是端口、端口映射、端口镜像和DMZ?)

什么是端口映射
什么是端口?端口的作用是什么?端口映射和端口镜像又是干什么的?今天我们将对涉及到路由器端口的一些相关词汇进行讲解,希望能帮助您理解路由器/交换机上和端口相关的功能和设置方法。
解惑
端口(Port)
在网络中我们常提到的端口,有物理端口和协议端口。物理端口很好理解,就是路由器、交换机上连接其他网络设备的接口,比如RJ45或者串口形式的接口(如上图所示)。而协议端口并非物理意义上的接口,是特指TCP/IP网络协议里的逻辑端口,通常用一个0~65535之间的整数来代表,比如常见的HTTP服务端口80,HTTPS服务端口443等。
Question1
那么端口(除非特别指明,下文中的端口皆指协议端口)起什么作用呢?
如果您看过前面我们写的该系列文章,就知道我们把一个局域网比喻成一个居民小区,而路由器是该小区的收发室。局域网内的私有地址(类似于192.168.X.X)则相当于小区内一栋一栋的楼房,而每一栋楼里都有若干个人在工作,有的人在负责网站业务(HTTP),有的人在负责邮件业务(SMTP),而有的人在负责文件上传下载业务(FTP),等等等等。
当一个数据包由外界送到收发室(路由器)来时,收发室能根据数据包的特征辨别该把包裹送到哪栋楼里去(局域网IP),但这个数据包是属于哪个业务类别呢,究竟是该由负责网站业务的人来签收,还是由负责邮件业务的人来签收呢?这时候端口就起到作用了。收发室将通过数据包上的端口标识(协议端口号)来决定该由哪个业务来负责处理。
不光接受数据包的业务(程序进程)需要开启它自己的端口,发送数据包的业务也需要开启端口,这样,数据包中将会标识有源端口,以便接受方能顺利地回传数据包到这个端口。当然,一个完整的连接过程其实是涉及到TCP的三次握手机制(Three-way handshake),因本文主要目的是讲解端口及相关术语,就不在此赘述这个机制。
端口映射
(Port Mapping)
端口映射又叫虚拟服务器,就是将内网主机的某些服务端口映射到公网上,由内网主机对外界提供相应的服务。
Question2
端口映射有什么作用?如何设置?
举个例子,当一台内网主机使用私有地址时,比如192.168.0.100,外部网络是无法直接访问内网中的这台主机的。但这台内网主机又希望外网能访问该主机的网站服务,那么通过在路由器上做端口映射,配置内网服务器的IP与端口以后,外部网络便可以访问该内网服务器。
简而言之,当内网的某个主机做了对外的服务(比如WEB服务、ERP 系统,监控系统, OA 系统, CRM 等等),必须要把服务对应的端口在路由器上通过端口映射进行开放,外网的IP地址才可以访问进来。
以HTTP服务为例,我们来看看在飞鱼星路由器上该怎么做端口映射:
外部IP无需填写,路由器可自动读取
外部端口留空,表示和内网端口一致
填入被外网访问的内网主机的内网IP
填入内网主机HTTP服务的端口号80
选择协议和映射线路,保存即可
注:在设置端口映射时大多数情况下外网端口和内网端口号是相同的,有特殊应用的情况下可以将内外网进行映射的端口号设置为不同。
DMZ
内网主机对外提供服务还有一种解决方案,就是DMZ(Demilitarized Zone),也即俗称的非军事区或者隔离区。
DMZ是把内网的某个主机IP地址和WAN口线路的公网IP地址完全对应,所有端口全部开放。访问WAN口的公网IP地址就是访问内网对应的那个主机IP地址。
DMZ是一个在逻辑上介于外网和内网之间的隔离区域,通常是一个过滤的子网。当内网某些主机需要对外提供服务时,为了更好地提供服务,同时又要有效地保护内网的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样既便于对内对外更好地提供服务,又能与内网隔离开来,从而有效地保护内网安全。
Question3
DMZ如何在对外网开放全部端口的情况下还能保护内网安全呢?
DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。在制定访问控制策略上通常是DMZ与外网可以互通互访,内网可以访问DMZ,但DMZ不能(主动)访问内网。这样来自外网的访问者可以访问DMZ中的服务,但不能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
端口镜像
(Port Mirroring)
端口镜像里的端口则和上面提到的协议端口不同,这里的端口是指路由器/交换机的物理端口。
简而言之,端口镜像就是把经过一个或多个端口的数据都同步复制一份,发送到指定的一个或多个端口,从而达到监控的目的,这个功能多用于公安网监部门进行网络监控。
Question4
端口镜像有什么作用,在什么场合下使用?如何设置?
进行监听的端口能监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如某些公共场所的路由器需启用此功能把全部进出数据发往网监部门审查。
而有些企业出于信息安全、保护公司机密的需要,也希望网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以方便地进行故障定位。
端口镜像的设置非常简单,只要物理上将设备连接好后,将对应的监听端口和被监听端口设置正确即可,以飞鱼星路由器为例,如下图所示:
飞鱼星科技 | 百词讲坛
往期精选Editors' Choice
《MAC地址和IP地址的区别,线路类型如何选择》
《NAT模式、路由模式和桥接模式有什么区别》
《端口回流、H323穿透、快速转发的作用》
飞鱼星科技
一起聊聊网络
长按扫码关注我们