通過(guò)路由器或者網(wǎng)關(guān)的“端口映射”功能，可以把內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)映射到外網(wǎng)，供互聯(lián)網(wǎng)上的用戶(hù)使用。一些公司的ERP、CRM、OA系統(tǒng)都會(huì)采用這樣的方式，使代理商、出差員工可以進(jìn)行網(wǎng)絡(luò)辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿(mǎn)足如下條件：

• 要有固定公網(wǎng)IP地址。如果沒(méi)有申請(qǐng)專(zhuān)線(xiàn)固定IP，運(yùn)營(yíng)商現(xiàn)在一般都直接分配內(nèi)網(wǎng)IP地址，從公網(wǎng)上是訪問(wèn)不到的。
  

• 如果要映射到外網(wǎng)的80、443、8080等常見(jiàn)Web端口，需要到運(yùn)營(yíng)商備案。

2. 端口映射的安全問(wèn)題

端口映射的服務(wù)可以直接在公網(wǎng)上訪問(wèn)到，所以必然會(huì)招來(lái)攻擊。要保護(hù)端口映射服務(wù)器的安全，需要考慮如下方面：

• 盡量采用不常見(jiàn)的端口
  

• 開(kāi)啟入侵防御來(lái)阻止入侵攻擊

• 阻止來(lái)自國(guó)外的IP地址

• 限定只能訪問(wèn)的IP地址

請(qǐng)參考：端口映射的服務(wù)器被攻擊怎么辦？

3. 限制訪問(wèn)端口映射的公網(wǎng)IP地址

下面我再來(lái)演示一下如何用WSG上網(wǎng)行為管理限制訪問(wèn)端口映射的外網(wǎng)IP地址。端口映射的訪問(wèn)在“外網(wǎng)”區(qū)域的“轉(zhuǎn)發(fā)”方向，我們需要配置兩條規(guī)則。一條是阻止所有的外網(wǎng)轉(zhuǎn)發(fā)，一條是允許指定IP的外網(wǎng)轉(zhuǎn)發(fā)。如下圖：

通過(guò)上述配置，即可限定允許訪問(wèn)端口映射的外網(wǎng)IP地址。