通過(guò)路由器或者網(wǎng)關(guān)的“端口映射”功能,可以把內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)映射到外網(wǎng),供互聯(lián)網(wǎng)上的用戶使用。一些公司的ERP、CRM、OA系統(tǒng)都會(huì)采用這樣的方式,使代理商、出差員工可以進(jìn)行網(wǎng)絡(luò)辦公。端口映射的配置如下圖:
1. 端口映射的使用條件
端口映射需要滿足如下條件:
要有固定公網(wǎng)IP地址。如果沒(méi)有申請(qǐng)專線固定IP,運(yùn)營(yíng)商現(xiàn)在一般都直接分配內(nèi)網(wǎng)IP地址,從公網(wǎng)上是訪問(wèn)不到的。
如果要映射到外網(wǎng)的80、443、8080等常見(jiàn)Web端口,需要到運(yùn)營(yíng)商備案。
2. 端口映射的安全問(wèn)題
端口映射的服務(wù)可以直接在公網(wǎng)上訪問(wèn)到,所以必然會(huì)招來(lái)攻擊。要保護(hù)端口映射服務(wù)器的安全,需要考慮如下方面:
盡量采用不常見(jiàn)的端口
開(kāi)啟入侵防御來(lái)阻止入侵攻擊
阻止來(lái)自國(guó)外的IP地址
限定只能訪問(wèn)的IP地址
請(qǐng)參考:端口映射的服務(wù)器被攻擊怎么辦?
3. 限制訪問(wèn)端口映射的公網(wǎng)IP地址
下面我再來(lái)演示一下如何用WSG上網(wǎng)行為管理限制訪問(wèn)端口映射的外網(wǎng)IP地址。端口映射的訪問(wèn)在“外網(wǎng)”區(qū)域的“轉(zhuǎn)發(fā)”方向,我們需要配置兩條規(guī)則。一條是阻止所有的外網(wǎng)轉(zhuǎn)發(fā),一條是允許指定IP的外網(wǎng)轉(zhuǎn)發(fā)。如下圖:
通過(guò)上述配置,即可限定允許訪問(wèn)端口映射的外網(wǎng)IP地址。
