SANGFOR_AF_ALL_端口映射配置文档_20120215

网络路由技术中的端口映射配置教程在网络通信中，端口映射是一项重要的技术，它允许外部网络通过路由器或防火墙访问本地网络的特定服务或应用程序。

本文将介绍端口映射的概念、配置方法以及一些常见的应用场景。

一、端口映射的概念端口映射是一种网络技术，它通过将外部网络的请求转发到本地网络中的特定端口，实现外部网络与内部网络之间的通信。

在互联网中，每个计算机都有一个唯一的IP地址，而端口则是用来标识不同应用程序或服务的数字。

通过端口映射，外部网络可以通过路由器或防火墙，访问本地网络上指定的端口。

二、端口映射的配置方法要配置端口映射，首先需要获取本地网络中要映射的服务或应用程序的端口号，然后根据路由器或防火墙的管理界面进行设置。

以下是一般的配置步骤：1. 登录路由器或防火墙的管理界面。

通常可以通过在浏览器中输入路由器的IP地址来访问管理界面。

2. 寻找端口映射或端口转发的选项。

不同的设备可能有不同的标签或菜单名称，但一般都会有相关的设置。

3. 添加新的端口映射规则。

根据具体设备的界面提供的字段，填写外部端口、内部IP地址和端口等信息。

4. 保存并应用配置。

在设置完成后，记得点击保存或应用按钮进行保存和生效。

5. 测试端口映射是否成功。

可以使用外部网络的设备或工具，尝试通过指定的外部端口访问本地网络中的服务或应用程序。

三、端口映射的应用场景1. 远程桌面访问：通过端口映射，可以实现在外部网络中访问本地网络的计算机。

这可以方便远程工作、技术支持或文件传输等操作。

2. 家庭网络游戏：许多网络游戏需要玩家之间建立直接的连接。

通过端口映射，可以允许其他玩家通过公共网络访问本地网络中的游戏服务器。

3. 多媒体共享：如果你在本地网络中有一个多媒体服务器，例如NAS。

通过端口映射，你可以在外部网络中访问该服务器上的音乐、视频和照片等多媒体资源。

4. 个人网站或博客：如果你有一个个人网站或博客，并希望在外部网络上提供访问。

通过端口映射，你可以将从外部网络发起的HTTP请求转发到本地网络上运行的Web服务器。

路由器的端口映射设置技巧在进行端口映射时，路由器是必不可少的设备。

通过使用端口映射，您可以从互联网上访问您的家庭网络中的设备。

在这篇文章中，我们将讨论路由器的端口映射设置技巧。

一、了解端口映射1. 端口映射的定义在计算机网络中，端口是与设备上运行的进程相关的数字标识符。

当您与互联网通信时，您的路由器会将数据包从互联网路由到您的家庭网络。

要使此过程顺利完成，路由器必须知道将数据包交付给哪个设备。

这是通过将路由器的公共IP地址映射到您的家庭网络中的设备的私有IP地址来完成的。

此过程称为端口映射。

2. 端口映射的作用端口映射允许您在互联网上访问您家庭网络中的设备，例如网络摄像头、服务器和打印机等。

具体来说，当您从互联网上请求与您的网络中的设备通信时，路由器将查看该请求的目标端口。

如果该端口已映射到您的网络中的某个设备，则路由器将该请求转发到该设备。

二、端口映射设置技巧1. 了解您的设备和服务在进行端口映射之前，您应该了解您的设备和服务所需的端口号。

例如，如果您的网络摄像头使用端口号8080，则您需要将路由器的公共IP地址映射到局域网中运行网络摄像头的设备的私有IP地址和端口号8080。

2. 打开路由器的管理页面您需要打开路由器的管理页面才能进行端口映射设置。

你可以在浏览器中输入路由器的IP地址进入管理页面。

3. 寻找端口映射设置进入路由器的管理页面后，您需要寻找端口映射设置的选项。

这通常可以在“高级设置”或“网络设置”之类的标签下找到。

4. 添加端口映射规则在端口映射设置中，您需要添加端口映射规则。

具体而言，您需要输入映射规则的名称、服务类型、公共端口和私有端口。

您还需要将映射规则应用于您的局域网中的特定设备。

5. 保存设置完成端口映射设置后，您需要保存设置并重新启动路由器。

此后，您应该能够从互联网访问您的家庭网络中的设备。

三、总结端口映射是您在互联网上访问您家庭网络中的设备所需的重要步骤。

本文介绍了端口映射的定义、作用以及在路由器上进行端口映射设置的技巧。

优化无线路由器的端口映射设置随着互联网的普及和高速网络的发展，越来越多的家庭都配备了无线路由器，以满足多设备同时上网的需求。

然而，对于使用多媒体、游戏等应用的用户来说，一个普通的无线路由器可能无法充分满足他们的需求。

这时候，优化无线路由器的端口映射设置就显得尤为重要。

一、了解端口映射的概念在网络传输中，不同的应用程序需要使用不同的网络端口来进行通信。

而端口映射，则是将公网的端口和内网的端口进行转换，使得外部网络可以访问到内网设备上的应用程序。

通过正确的端口映射设置，我们可以更加稳定和高效地使用网络。

二、为什么需要优化端口映射设置默认情况下，无线路由器会自动分配端口映射，但这种设置并不一定能很好地满足我们的需求。

一方面，由于普通无线路由器的硬件配置有限，处理端口映射时的性能可能较低，导致延迟较高或速度较慢。

另一方面，随机分配的端口映射并不能保证应用程序的优先级，游戏或多媒体应用可能会因为其他应用的影响而无法正常运行。

三、优化端口映射设置的方法1. 静态端口映射：通过手动设置端口映射规则，将特定的端口映射到指定内网设备上。

这种方法可以确保端口映射的稳定性和准确性，提高网络的传输速度和稳定性。

但需要注意的是，静态端口映射会占用一定的网络资源，如果使用设备较多，应该适当控制和优化映射规则。

2. QoS优化：Quality of Service（服务质量）是对网络流量进行管理和优化的技术。

通过QoS机制，我们可以为不同的应用程序分配带宽和优先级，确保关键应用的网络连接质量。

对于游戏和多媒体应用来说，配置QoS规则可以确保其优先接入网络资源，提高用户体验。

3. UPnP设置：Universal Plug and Play（通用即插即用）是一种端口自动映射的机制。

通过开启UPnP功能，无线路由器将自动检测并分配端口映射规则，提高设备的互通性。

但需要注意的是，UPnP功能可能会受到一些网络攻击的威胁，因此建议在安全性和便利性之间做出权衡。

映射端口：介绍端口映射‎的作用及其配‎置采用端口映射‎（Port Mappin‎g）的方法，可以实现从I‎n terne‎t到局域网内‎部机器的特定‎端口服务的访‎问。

例如，你所使用的机‎子处于一个连‎接到Inte‎r net的局‎域网内，你在机子上所‎开的所有服务‎（如FTP），默认情况下外‎界是访问不了‎的。

这是因为你机‎子的IP是局‎域网内部IP‎，而外界能访问‎的只有你所连‎接的服务器的IP，由于整个局域‎网在Inte‎r net上只‎有一个真正的‎I P地址，而这个IP 地‎址是属于局域‎网中服务器独有的。

所以，外部的Int‎e rnet登‎录时只可以找‎到局域网中的‎服务器，那你提供的服‎务当然是不起‎作用的。

所以解决这个‎问题的方法就‎是采用PM了‎。

端口映射在思‎科设备的配置‎：router‎(config‎)#ip nat inside‎source‎static‎tcp 10.10.10.1 22 210.10.8.1 22 extend‎a blerouter‎(config‎)#ip nat inside‎source‎static‎tcp 10.10.10.2 80 210.10.8.1 80 extend‎a ble映射端口：路由器端口映射的‎原理及设置方‎法介绍端口映射其实‎就是我们常说‎的NAT地址‎转换的一种，其功能就是把‎在公网的地址‎转翻译成私有‎地址，采用路由方式‎的ADSL宽‎带路由器拥有‎一个动态或固‎定的公网IP‎，ADSL直接‎接在HUB或‎交换机上，所有的电脑共‎享上网。

这时ADSL‎的外部地址只‎有一个，比如61.177.0.7。

而内部的IP‎是私有地址，比如ADSL‎设为192.168.0.1,下面的电脑就‎依次设为19‎2.168.0.2到192.168.0.254。

在宽带路由器‎上如何实现N‎A T功能呢？一般路由器可‎以采用虚拟服‎务器的设置和‎开放主机(DMZ Host)。

映射端口：介绍端口映射的作用及其配置采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP 地址是属于局域网中服务器独有的。

所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。

所以解决这个问题的方法就是采用PM了。

端口映射在思科设备的配置：映射端口：路由器端口映射的原理及设置方法介绍端口映射其实就是我们常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

这时ADSL的外部地址只有一个，比如61.177.0.7。

而内部的IP是私有地址，比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。

在宽带路由器上如何实现NAT功能呢？一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。

虚拟服务器一般可以由用户自己按需定义提供服务的不同端口，而开放主机是针对IP地址，取消防火墙功能，将局域网的单一IP地址直接映射到外部IP之上，而不必管端口是多少，这种方式只支持一台内部电脑。

最常用的端口映射是在网络中的服务器使用的是内部私有IP地址，但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器，这里，我们就需要搞清楚所用服务的端口号，比如，HTTP服务是80，FTP 服务则是20和21两个端口。

这里我们以最常用的80端口为例，设置一个虚拟HTTP服务器，假设内部HTTP 服务器IP地址为10.0.0.10。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。

如何设置无线路由器的端口映射随着互联网的普及和人们对高速网络的需求不断增加，无线路由器越来越成为家庭网络的必备设备。

然而，要实现某些特定功能，比如远程访问家庭摄像头、搭建个人网站等，就需要进行端口映射的设置。

端口映射可以将公网上的特定端口与局域网中的某台设备进行绑定，实现外部网络对内网设备的访问。

下面，本文将详细介绍如何正确设置无线路由器的端口映射。

一、了解端口映射的基本概念在开始设置之前，我们首先需要了解端口映射的基本概念。

每一台设备（如电脑、路由器、摄像头等）在网络通信中需要使用一个唯一的标识，也就是端口号。

端口号范围是从0到65535，其中0到1023是被系统保留的，一般用户使用的端口号从1024开始。

端口映射就是将公网上的某个端口与内网中的设备进行绑定，从而实现公网对内网设备的访问。

二、登录路由器后台管理页面要设置无线路由器的端口映射，首先需要登录路由器的后台管理页面。

通常情况下，我们可以在浏览器地址栏中输入路由器的默认 IP 地址（比如）来访问后台管理页面。

在登录页面中，输入正确的用户名和密码，即可成功登录到后台管理界面。

三、查找端口映射设置选项登录成功后，我们需要找到路由器后台管理界面中的端口映射设置选项。

不同品牌、型号的路由器界面可能会略有不同，但一般都可以在“高级设置”、“路由设置”或者“NAT设置”等菜单中找到端口映射选项。

四、添加端口映射规则在端口映射设置选项中，我们需要为要映射的设备添加映射规则。

点击“添加规则”或类似的按钮，填写相关信息。

首先，选择要映射的设备的 IP 地址。

其次，填写外部端口和内部端口。

外部端口即公网上进行映射的端口号，可以根据实际需要自行设定。

内部端口即内网中设备的端口号，一般情况下使用默认端口即可。

最后，选择映射规则的类型，通常有TCP、UDP和TCP/UDP三种选项，根据实际需要进行选择。

完成以上操作后，点击“保存”或类似的按钮，即可成功添加端口映射规则。

SANGFOR_AD端口映射配置指导
深信服科技有限公司
2012年07月12日
一、端口映射配置及其检验
设置条件入接口源目的IP及其协议端口。

设定转换地址及端口即可。

验证一条端口映射是否生效可以通过AD webconsole界面检查。

通过输入iptables命令检查iptables规则是否在后台生效。

二、特殊端口映射
Lan-lan映射是比较特殊的端口映射，使用端口映射以到达内网通过访问本地公网地址来访问内网服务器的效果。

案例如下：假定内网网段192.168.1.0/24网段要访问本地公网IP 1.1.1.1来访问到内网服务器地址172.16.1.1/24的TCP 80端口。

配置如下：
这时候数据包已经被设备由源IP是内网网段192.168.1.0/24目的IP 1.1.1.1
转换为源IP是内网网段192.168.1.0/24 目的IP为172.16.1.1的数据包。

这时候必须保证源IP进行转换，否则对于源IP的172.16.1.1的回包，192.168.1.0/24的网段并不会进行处理，因为其原先发起访问的目的IP为1.1.1.1。

Lan-lan配置完成，通过webconsole命令行检验后台配置是否生效。

需要注意的是AD设备中端口映射优先级低于虚拟服务。

如果服务端口同时存在与虚拟服务和端口映射。

以虚拟服务的配置为准。

路由器端口映射设置方法端口映射有点类似服务重定向，所以有些路由器(Router)中也称为虚拟服务器(Virtual Server)。

为了描述方便，下面的叙述中统一称为[端口映射]。

采用端口映射的方法，可以实现从Internet 到局域网内部机器的特定端口服务的访问。

以TP-LINK的路由器为例：首先，需要确认IPC的TCP端口、监听端口和IP地址，TCP端口和监听端口号默认是37777和38888，如果有多台设备，可以将端口号设置成不同的值，各设备之间的TCP和监听端口都需要不同。

设备的IP地址必须跟路由器的IP在同一个网段。

下面将以设备默认端口和IP为例。

（TCP端口：37777、监听端口：38888、IP地址为：192.168.1.108）然后登陆路由器，假定路由器(Router)默认IP 内网地址为192.168.1.1，内网中电脑一般可以设置成为192.168.1.X（X=2~254），在内网中某一台电脑上打开IE，在地址栏输入http://192.168.1.1，输入初始用户名、密码，之后就可以看到设置界面了。

1、点击左边“转发规则”；2、在展开的菜单里面点击“虚拟服务器”；3、点击添加新条目4、确认IPC的TCP端口、监听端口和IP地址5、在服务端口号中填“37777”，IP地址中填“192.168.1.108”，协议选择“ALL”，状态为“生效”，常用服务器端口号保持默认，点击保存。

6、再点击添加新条目，服务器端口号填入“38888”，IP地址中填入“192.168.1.108”，协议选择“ALL”，状态为“生效”，常用服务器端口号保持默认，点击保存。

重复步骤3、4、5、6添加多台设备，但必须修改TCP端口、监听端口和IPC终端IP地址说明：1、一般路由器中有个端口映射（Port Mapping）或者虚拟服务器(Virtual Server)的设置。

用户需要在路由器(Router)的“管理界面”中相应的端口映射界面中，设置好相应的需要映射的端口，协议，内网地址等，才能生效。

Fortigate端口映射
登陆防火墙，进入防火墙—〉虚拟IP 如图：
选择新建，名称：自己定义
外部接口：选择你的外网接口
类型选择：端口转发
外部IP地址：公网的IP地址（如果你是动态IP则写为0.0.0.0）
外部服务端口：写要映射的端口号（如HTTP：80，FTP：21）
映射到IP地址：内网要开放服务的设备IP地址
映射到端口：写内网端口号（如HTTP：80，FTP：21）
协议：根据服务选择TCP或UDP（通常为TCP）
如图：
完成后在策略中新建一条从外到内的策略
如图：
1选择外部接口（wan1或external）到内部接口(internal) 2选择所有的地址(all)到虚拟IP地址（例如：test）
3选择内容保护表，通常选scan，也可不启用
建立完成。