通过路由器或者网关的“端口映射”功能,可以把内网的网络服务映射到外网,供互联网上的用户使用。一些公司的ERP、CRM、OA系统都会采用这样的方式,使代理商、出差员工可以进行网络办公。端口映射的配置如下图:
1. 端口映射的使用条件
端口映射需要满足如下条件:
要有固定公网IP地址。如果没有申请专线固定IP,运营商现在一般都直接分配内网IP地址,从公网上是访问不到的。
如果要映射到外网的80、443、8080等常见Web端口,需要到运营商备案。
2. 端口映射的安全问题
端口映射的服务可以直接在公网上访问到,所以必然会招来攻击。要保护端口映射服务器的安全,需要考虑如下方面:
尽量采用不常见的端口
开启入侵防御来阻止入侵攻击
阻止来自国外的IP地址
限定只能访问的IP地址
请参考:端口映射的服务器被攻击怎么办?
3. 限制访问端口映射的公网IP地址
下面我再来演示一下如何用WSG上网行为管理限制访问端口映射的外网IP地址。端口映射的访问在“外网”区域的“转发”方向,我们需要配置两条规则。一条是阻止所有的外网转发,一条是允许指定IP的外网转发。如下图:
通过上述配置,即可限定允许访问端口映射的外网IP地址。
