通過路由器或者網(wǎng)關(guān)的“端口映射”功能,可以把內(nèi)網(wǎng)的網(wǎng)絡(luò)服務(wù)映射到外網(wǎng),供互聯(lián)網(wǎng)上的用戶使用。一些公司的ERP、CRM、OA系統(tǒng)都會采用這樣的方式,使代理商、出差員工可以進(jìn)行網(wǎng)絡(luò)辦公。端口映射的配置如下圖:
1. 端口映射的使用條件
端口映射需要滿足如下條件:
要有固定公網(wǎng)IP地址。如果沒有申請專線固定IP,運(yùn)營商現(xiàn)在一般都直接分配內(nèi)網(wǎng)IP地址,從公網(wǎng)上是訪問不到的。
如果要映射到外網(wǎng)的80、443、8080等常見Web端口,需要到運(yùn)營商備案。
2. 端口映射的安全問題
端口映射的服務(wù)可以直接在公網(wǎng)上訪問到,所以必然會招來攻擊。要保護(hù)端口映射服務(wù)器的安全,需要考慮如下方面:
盡量采用不常見的端口
開啟入侵防御來阻止入侵攻擊
阻止來自國外的IP地址
限定只能訪問的IP地址
3. 限制訪問端口映射的公網(wǎng)IP地址
下面我再來演示一下如何用WSG上網(wǎng)行為管理限制訪問端口映射的外網(wǎng)IP地址。端口映射的訪問在“外網(wǎng)”區(qū)域的“轉(zhuǎn)發(fā)”方向,我們需要配置兩條規(guī)則。一條是阻止所有的外網(wǎng)轉(zhuǎn)發(fā),一條是允許指定IP的外網(wǎng)轉(zhuǎn)發(fā)。如下圖:
通過上述配置,即可限定允許訪問端口映射的外網(wǎng)IP地址。
