进入正题，今天说说硬件防火墙的端口映射配置，以及端口映射的应用。

所谓端口映射，就是把“某个IP地址的某个端口（也叫套接字）映射到另一个IP地址的某个端口”，其实和NAT一样，本来都是路由器的专利。

但出于加强安全性的考虑，一般现在在内网出口布置的都是硬件防火墙，路由器的大部分功能也能实现。

当然了，现在的新趋势是IPS。

时下IPv4地址短缺，一个单位有一两个固定IP就算不错了，要实现内部网多台主机上公网，不用说需要作NAT，把内部私有IP转换成公网IP就搞定了。

但如果需要对外发布一个以上的网站或其他服务，或是没有VPN但需要作多台主机（服务器）远程控制，一两个IP怎么说也是不够的，这种时候就需要用到端口映射了（莫急，这就开始说了）。

一般来讲，防火墙的默认包过滤规则是禁止，如果不做端口映射，外网地址的所有端口都是关闭（隐藏，检测不到）的，不允许从外网主动发起的任何连接（这就是在内网使用某些P2P软件显示“您的外网端口无法被连接”之类信息的原因）。

下面结合实际讲讲配置。

俺公司两台防火墙，一台天融信一台联想网御，联想网御作外网应用。

比如，现有如下需求：外网ＩＰ地址123.123.123.123，需要将内部网192.168.1.10和192.168.1.11两台服务器上的HTTP服务对外发布。

外网地址只有1个，外网地址的80端口也只有1个，既然要发布两个HTTP，也就不必（也没办法）拘泥于80端口。

我们可以随便选择外网的端口号，比如，指定外网地址123.123.123.123的8080端口映射至内网192.168.1.10的80端口，指定外网地址123.123.123.123的8081端口映射至内网192.168.1.11的80端口。

这里，如果没有特殊要求，外网端口的选择是任意的，外网用户只要在IE的地址栏输入“123.123.123.123:端口号”就可以访问相应服务。

当然，也可以指定外网地址123.123.123.123的80端口映射至内网192.168.1.10的80端口，这样用浏览器访问时就不用加端口号。

添加端口映射配置的步骤，各品牌的防火墙不太一样，但大同小异。

比如，天融信没有专门的端口映射配置，直接在NAT中配置即可。

进入防火墙引擎－地址转换－添加配置，源area选择接外网的以太网口，源地址选any（有特殊需要的可以做源地址限制），源端口为空即可（即允许源端口为任何端口）；目的area为空（空即任意），目的地址选择外网地址123.123.123.123（需预先定义），服务选择TCP8081(或TCP8082，服务也需要预先定义)，下面目的地址转换为192.168.1.10(192.168.1.11)，目的端口转换为80（HTTP），启用规则即可。

网御直接有专门的端口映射配置，比较好理解，添加规则，选择源地址（any，或自定），对外服务（8080或8081），源地址不转换，公开地址选外网地址（123.123.123.123），内部地址选择内网服务器地址（192.168.1.10或192.168.1.11），内部服务选80，启用规则即可。

至此，我们实现了两条端口映射规则：123.123.123.123:8080--192.168.1.10:80和123.123.123.123:8081--192.168.1.11:80。

同理，我们如果想让p2p软件在内网能正常工作的话，即让外网用户能连接p2p软件的监听端口，也需要作端口映射。

比如，如果内网192.168.1.13运行Bitcomet监听22345端口，显示黄灯阻塞，我们作一条端口映射规则123.123.123.123:22345--192.168.1.13:22345，就可以变绿灯了，电驴也是一样。

下面谈谈端口映射配合远程桌面的应用。

以前公司没有VPN，为了能在家远程办公通过远程桌面访问我的机器192.168.1.15，于是通过端口映射作123.123.123.123:3389--192.168.1.15:3389来实现，这样在家里运行Windows自带的远程桌面（其实远程控制软件很多，但为了能在紧急情况时随便找一台能上网的机器就能用，所以还是选用系统自带的），输入地址123.123.123.123就可以远程登陆到我公司内网的机器。

但3389端口只有一个，这样就只能我自己用。

后来发现，在远程桌面中输入IP地址加端口号也可以。

这样就好办了，作123.123.123.123:9991--192.168.1.15，然后在家运行远程桌面，输入123.123.123.123:9991，就可以登陆我的机器；再作123.123.123.123:9992--192.168.1.16等等，就可以实现多人通过一个公网IP远程桌面访问自己的机器，没有VPN远程办公也很方便。

但要注意这样有一定的危险性，因为家里一般用ADSL，IP地址不是固定的，所以作规则时源地址一般支能选any，即允许任何人连接9991端口，不过问题一般不大。

综上，端口映射可以将内网的任何服务发布到外网地址的任何端口，非常方便，灵活运用的话对网管工作很有帮助。

但切记，这种方法有一定的安全隐患，需慎用，最好在地址、端口、连接数、带宽等各方面做好限制，以将危险减至最低。

累死我了，下班了，回家吃饭。

网关、网桥、网闸、路由器、交换机等2008-02-29 07:41网关：打个比方，网关就象两个房间当中的那扇门，两个房间之间要走动就必须要通过这扇门才行，所以说网关起的作用就是让两个不在同一网段之内的机子能够互访~网关就是用于不同子网之间的，使不同子网之间能相互通信！网桥：网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。

它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。

网闸:网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。

第二代网闸正是在吸取了第一代网闸优点的基础上，创造性地利用全新理念的专用交换通道PET（Private Exchange Tunnel）技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端，第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多，而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

交换机：交换机(Switch)也叫交换式集线器，是一种工作在OSI第二层(数据链路层，参见“广域网”定义)上的、基于MAC (网卡的介质访问控制地址)识别、能完成封装转发数据包功能的网络设备。

它通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用。

交换机不懂得IP地址，但它可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

交换机上的所有端口均有独享的信道带宽，以保证每个端口上数据的快速有效传输。

由于交换机根据所传递信息包的目的地址，将每一信息包独立地从源端口送至目的端口，而不会向所有端口发送，避免了和其它端口发生冲突，因此，交换机可以同时互不影响的传送这些信息包，并防止传输冲突，提高了网络的实际吞吐量。

路由器：路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。

详细请看参考资料网站猫：我们常将Modem称为“猫”，但依据工作的原理和作用，Modem的全名为“调制解调器”。

对于我们而言，Modem在我们通过电话线拨号上网的过程中是连接计算机和普通电话线的不可缺少的设备；但是计算机处理的数据信息是二进制的数字信号，而电话线上传输的却是载波形式的模拟信号；Modem就要负责这两种信号的转换——调制，将数字信号转换为模拟信号；解调，将模拟信号转换为数字信号。

调制与解调，所以叫调制解调器防火墙：防火墙是位于网关服务器上的一组相关程序，它们保护私人网络的资源不被用户或其它网络访问。

（这个词也指程序使用的安全策略）。

拥有内部互联网的企业安装了防火墙就可以在允许其员工访问广域网的时阻止外部用户访问公司的私密数据，还可以控制它自己的用户能对什么样的外部数据进行访问。

服务器：服务器是计算机的一种，它是网络上一种为客户端计算机提供各种服务的高性能的计算机，它在网络操作系统的控制下，将与其相连的硬盘、磁带、打印机、Modem及昂贵的专用通讯设备提供给网络上的客户站点共享，也能为网络用户提供集中计算、信息发表及数据管理等服务。

安全篇---交换机设置方法介绍①L2-L4 层过滤现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。

规则设置有两种模式，一种是MAC模式，可根据用户需要依据源MAC或目的MAC有效实现数据的隔离，另一种是IP模式，可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包；建立好的规则必须附加到相应的接收或传送端口上，则当交换机此端口接收或转发数据时，根据过滤规则来过滤封包，决定是转发还是丢弃。