笨驢信息(IMFirewall)博客

通過路由器或者網(wǎng)關(guān)的“端口映射”功能，可以把內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)映射到外網(wǎng)，供互聯(lián)網(wǎng)上的用戶使用。一些公司的ERP、CRM、OA系統(tǒng)都會采用這樣的方式，使代理商、出差員工可以進(jìn)行網(wǎng)絡(luò)辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

• 要有固定公網(wǎng)IP地址。如果沒有申請專線固定IP，運(yùn)營商現(xiàn)在一般都直接分配內(nèi)網(wǎng)IP地址，從公網(wǎng)上是訪問不到的。
  

• 如果要映射到外網(wǎng)的80、443、8080等常見Web端口，需要到運(yùn)營商備案。

2. 端口映射的安全問題

端口映射的服務(wù)可以直接在公網(wǎng)上訪問到，所以必然會招來攻擊。要保護(hù)端口映射服務(wù)器的安全，需要考慮如下方面：

• 盡量采用不常見的端口
  

• 開啟入侵防御來阻止入侵攻擊

• 阻止來自國外的IP地址

• 限定只能訪問的IP地址

請參考：端口映射的服務(wù)器被攻擊怎么辦？

3. 限制訪問端口映射的公網(wǎng)IP地址

下面我再來演示一下如何用WSG上網(wǎng)行為管理限制訪問端口映射的外網(wǎng)IP地址。端口映射的訪問在“外網(wǎng)”區(qū)域的“轉(zhuǎn)發(fā)”方向，我們需要配置兩條規(guī)則。一條是阻止所有的外網(wǎng)轉(zhuǎn)發(fā)，一條是允許指定IP的外網(wǎng)轉(zhuǎn)發(fā)。如下圖：

通過上述配置，即可限定允許訪問端口映射的外網(wǎng)IP地址。