NAT设置之端口转发和端口映射和DMZ的区别

什么是NA TNA T‎——网络地址转换，是‎通过将专用网络地址（‎如企业内部网Intr‎a net）转换为公用‎地址（如互联网Int‎e rnet），从而对‎外隐藏了内部管理的‎I P 地址。

这样，通‎过在内部使用非注册的‎IP地址，并将它‎们转换为一小部分外部‎注册的IP 地址，‎从而减少了IP地址‎注册的费用以及节省了‎目前越来越缺乏的地址‎空间（即IPV4）。

‎同时，这也隐藏了内部‎网络结构，从而降低了‎内部网络受到攻击的风‎险。

NAT功能通‎常被集成到路由器、防‎火墙、单独的NAT设‎备中，当然，现在比较‎流行的操作系统或其他‎软件（主要是代理软件‎，如WINROUTE‎），大多也有着NAT‎的功能。

NAT设备（‎或软件）维护一个状态‎表，用来把内部网络的‎私有IP地址映射到外‎部网络的合法IP地址‎上去。

每个包在NAT‎设备（或软件）中都被‎翻译成正确的IP地址‎发往下一级。

与普通路‎由器不同的是，NAT‎设备实际上对包头进行‎修改，将内部网络的源‎地址变为NAT设备自‎己的外部网络地址，而‎普通路由器仅在将数据‎包转发到目的地前读取‎源地址和目的地址。

‎N AT分为三种类型：‎静态NAT（stat‎i cNAT）、NAT‎池（pooledNA‎T）和端口NAT（P‎A T）。

其中静态NA‎T将内部网络中的每个‎主机都被永久映射成外‎部网络中的某个合法的‎地址，而NAT池则是‎在外部网络中定义了一‎系列的合法地址，采用‎动态分配的方法映射到‎内部网络，端口NAT‎则是把内部地址映射到‎外部网络的一个IP地‎址的不同端口上。

‎废话说了不少，让我‎们转入正题，看一下如‎何利用NAT保护内部‎网络。

使用网络地址‎转换NAT，使得外部‎网络对内部网络的不可‎视，从而降低了外部网‎络对内部网络攻击的风‎险性。

在我们将内部‎网络的服务使用端口映‎射到NAT设备（或是‎软件）上时，NAT设‎备看起来就像一样对外‎提供服务器一台服务器‎一样（如图一）。

1.端口映射
端口映射可以实现从Internet 到局域网内部机器的特定端口服务的访问，这非常适合于内网服务器对外提供服务的场合，使用端口映射的另外一个好处是，可以保护服务器的安全。

规则设置
案例：映射客户机IP192.168.0.35，需要映射TCP4698端口，配置如下图
对外IP：当多线接入时，如果需要针对某一个广域网接口IP映射的话，可以直接填写此广域网IP，或填写接口名，如：eth1、eth2，为空表示所有对外IP。

2.DMZ主机设置
收费版支持最多8条外线，在W AN口支持扩展IP，和免费版在设置上就有所不同，下面分别介绍
免费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 设置DMZ 主机后, 与该IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.。

设置如下图192.168.0.252,192.168.0.253两台服务器
收费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的某台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 如果您有多个广域网IP, 可以分别为每个IP 指定相应的DMZ 主机。

首先启动DMZ功能，新增DMZ主机，如下图
DMZ IP 局域网IP地址
对外IP WAN口IP，或者WAN口扩展IP，为空表示所有对外IP
设置完毕，提交修改，如果还有更多的DMZ主机需要设置，继续新增即可。

无线路由器NAT设置NAT （Network Address Tran slation ，网络地址转换）是1994 年提出的。

当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（in ternet）上正常使用，NAT可以使多台计算机共享In ter net 连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入In ternet 中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。

我以JCGJHR-N926R这款无线路由器为例跟大家分享分享NAT设置。

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN 口（接ADSL线口），而访问不到内部服务器。

要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。

这就是端口映射/端口转发。

有时也称为虚拟服务。

下面有三种NAT 的设置方案。

第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。

下面可以选择三种方案中的一种进行设置使用。

第二步：路由器的设置第一方案：端口转发 连接好路由器，进入路由器的设置界面 点 击“高级设置”一一点击“ NAT ，出现如下界面网搭瞰査无撲祓齐 MAT訪火煜 QOS| 幡口柚|DMZ1UPnPJ肆理■“IP 地址”这里填入您给服务器指定的 IP 地址（这个IP 必须的固定的，否则话，您的端口转发就不能成功）。

端口映射、DMZ、虚拟服务器配置
端口映射又叫虚拟服务器，当内网使用私有地址时，比如10.x.x.x/172.16.x.x/192.168.x.x，外部网络无法直接访问内网中的服务器。

通过在路由器上做端口映射，配置内网服务器的IP与端口以后，外部网络便可以访问内网服务器，从而使用内网提供的服务
端口映射设置：
高级选项》端口映射》添加规则（保证内部端口与您想要提供服务的端口一致）》保存
端口映射设置举例：
以映射远程桌面端口3389为例。

1.不使用：打勾表示不使用本条规则，规则并不被删除。

2.外部端口：指定一个对外开放的端口，映射到内部服务器开放的端口上。

如果不指定，则外部端口与内部端口相同。

填写范围1－65535。

3.内部IP：内网的服务器的IP地址。

4.内部端口：内网服务器提供的服务所使用的端口。

请参考“常用软件端口协议对照表”。

5.协议：服务器提供的服务所使用的协议，如不清楚是哪种协议，可以选择“TCP/UDP”。

详细请参见：“常见的端口和服务对照表”
6.映射线路：如果是双WAN 接入，在这里选择外网用户通过哪条线路进来访问内网的服务器，系统默认选择“任意”。

若外网用户从WAN1 访问，就用WAN1 口的IP地址，否则，用WAN2口的IP地址。

NAT和DMZ的介绍NAT（Network Address Translation）和DMZ（Demilitarized Zone）是两种常见的网络安全机制，用于保护网络安全和提供对外服务。

下面将对NAT和DMZ进行详细介绍。

1. NAT(Network Address Translation)NAT是一种将私有IP地址转换为公有IP地址的网络安全技术。

它主要有两个作用：隐藏内部网络的真实IP地址和允许多个内部设备共享同一个公有IP地址。

在一个网络中，由于IPv4地址的有限性，私有IP地址范围一般用于内部局域网中，而公有IP地址用于与外部网络通信。

当内部设备需要与外部网络进行通信时，NAT会将内部设备的私有IP地址转换为公有IP地址，并在通信过程中维护地址转换表。

NAT的工作原理如下：-内部设备发送数据包到目标地址时，数据包首先将经过NAT设备。

-NAT设备检查数据包的源IP地址，如果是一个私有IP地址，就将其转换为一个公有IP地址，并建立一条地址转换表记录。

-NAT设备将转换后的数据包发送到外部网络。

-收到外部网络返回的数据包时，NAT设备会根据地址转换表，将数据包的目标IP地址还原为内部设备的私有IP地址。

NAT的主要优点和用途如下：-提高网络安全性：通过隐藏内部网络的真实IP地址，使外部网络无法直接访问内部网络，减少了潜在的网络安全威胁。

-解决IPv4地址不足的问题：由于IP地址资源有限，NAT可以将多个内部设备共享一个公有IP地址，有效减少了IP地址的消耗。

-简化网络配置：NAT可以在内部网络和外部网络之间起到隔离作用，简化了网络配置和管理的复杂性。

2. DMZ(Demilitarized Zone)DMZ是一种网络安全架构，用于提供对外服务并保护内部网络的安全。

DMZ区域是位于内部网络和外部网络之间的一块网络子网或区域，用于放置需要对外提供服务的服务器和应用。

DMZ的工作原理如下：-内部网络和外部网络之间的流量必须经过DMZ区域。

IP地址的端口映射和转发技术的方式网络通信中，IP地址的端口映射和转发技术起着重要的作用，它能够将外部网络请求映射到内部网络的特定设备或应用程序上，实现网络服务的访问和数据传输。

本文将介绍IP地址的端口映射和转发技术的几种常见方式，包括静态映射、动态映射和端口转发技术。

1. 静态映射静态映射是一种最常见的端口映射方式，它通过在网络设备上配置静态映射规则，将外部IP地址和端口映射到内部网络的特定设备或应用程序上。

静态映射一般由网络管理员手动配置，并且一旦配置完成后，映射规则不会发生改变。

这种方式适用于需要长期稳定映射的场景，比如网站服务器或者远程访问设备。

2. 动态映射动态映射是一种根据实际需求进行临时映射的方式，它采用一种动态交换映射表的方法，根据外部请求的源IP地址和端口，临时建立映射规则将请求转发到内部网络的特定设备或应用程序上。

动态映射在使用过程中，映射表中的映射规则会不断变化，适用于需要频繁外部访问的应用，比如P2P文件共享、游戏等。

3. 端口转发技术端口转发技术是一种将外部请求通过中间设备转发到内部网络的方法，常见的中间设备包括路由器、防火墙等。

端口转发技术通过在中间设备上配置转发规则，将外部请求的源IP地址和端口转发到内部网络的特定设备或应用程序上。

相比于映射技术，端口转发技术更加灵活，可以根据实际需求进行灵活配置和调整。

总结：IP地址的端口映射和转发技术是实现网络服务访问和数据传输的重要手段。

静态映射适用于长期稳定映射的场景，动态映射适用于临时映射需求频繁的场景，而端口转发技术则更加灵活，适用于中间设备转发外部请求到内部网络的场景。

网络管理员应根据实际需求选择合适的技术方式，并在配置和管理过程中注意保证网络安全性和稳定性，以提供良好的网络服务和用户体验。

（注：以上内容仅供参考，具体内容可以根据实际需求进行补充和修改）。

一、概念什么是端口‎映射在网络技术‎中，端口（Port）有好几种意‎思。

集线器、交换机、路由器的端‎口指的是连‎接其他网络‎设备的接口‎，如RJ-45端口、Seria‎l端口等。

我们这里所‎说的端口，不是计算机‎硬件的I/O端口，而是软件形‎式上的概念‎。

服务器可以‎向外提供多‎种服务，比如，一台服务器‎可以同时是‎W EB服务‎器，也可以是F‎T P服务器‎，同时，它也可以是‎邮件服务器‎。

为什么一台‎服务器可以‎同时提供那‎么多的服务‎呢？其中一个很‎主要的方面‎，就是各种服‎务采用不同‎的端口分别‎提供不同的‎服务，比如：WEB采用‎80端口，FTP采用‎21端口等‎。

这样，通过不同端‎口，计算机与外‎界进行互不‎干扰的通信‎。

我们这里所‎指的端口不‎是指物理意‎义上的端口‎，而是特指T‎C P/IP协议中‎的端口，是逻辑意义‎上的端口。

端口映射:内网的一台‎电脑要上因‎特网，就需要端口‎映射。

端口映射分‎为动态和静‎态.动态端口映‎射:内网中的一‎台电脑要访‎问新浪网，会向NAT‎网关发送数‎据包，包头中包括‎对方(就是新浪网‎)IP、端口和本机‎I P、端口，NA T网关‎会把本机I‎P、端口替换成‎自己的公网‎I P、一个未使用‎的端口，并且会记下‎这个映射关‎系，为以后转发‎数据包使用‎。

然后再把数‎据发给新浪‎网，新浪网收到‎数据后做出‎反应，发送数据到‎N A T网关‎的那个未使‎用的端口，然后NAT‎网关将数据‎转发给内网‎中的那台电‎脑，实现内网和‎公网的通讯‎.当连接关闭‎时，NA T网关‎会释放分配‎给这条连接‎的端口，以便以后的‎连接可以继‎续使用。

动态端口映‎射其实也就‎是NA T网‎关的工作方‎式。

静态端口映‎射: 就是在NA‎T 网关上开‎放一个固定‎的端口，然后设定此‎端口收到的‎数据要转发‎给内网哪个‎I和端口，不管有没有‎连接，这个映射关‎系都会一直‎存在。

什么叫DMZ区DMZ区有什么作用应该怎样构建DMZDMZ区是指一个在内部网络和外部网络之间的隔离区域，全称为“Demilitarized Zone”，是计算机网络中的一个重要概念，用于增加网络的安全性。

DMZ区可以用于部署公共服务器、防火墙等网络设备，以保护内部网络免受来自外部网络的攻击。

DMZ区的作用有以下几点：1.安全隔离：DMZ区可以将内部网络与外部网络进行物理、逻辑上的隔离，防止来自外部网络的攻击对内部网络造成损害。

2. 公共服务器部署：DMZ区可以用于部署公共服务器，如Web服务器、邮件服务器等，使其能够提供对外的服务，而不直接连接到内部网络，进一步增加了网络的安全性。

3.防火墙配置：DMZ区通常会配置一个或多个防火墙，用于控制来自外部网络的流量，并根据规则允许或拒绝特定的请求。

防火墙可以限制DMZ区域内外部网络之间的通信，从而减少攻击的风险。

4.转发和过滤：DMZ区可以通过网络地址转换（NAT）和端口转发等技术，将来自外部网络的请求转发到DMZ区内的服务器，从而实现公共服务器的访问。

同时，也可以对内部网络与DMZ区之间的流量进行过滤，以防止恶意流量进入内部网络。

构建DMZ区的过程需要遵循以下几个步骤：1. 确定网络需求：首先，需要明确网络的需求，确定需要部署哪些公共服务器，以及访问这些服务器的方式（如Web访问、邮件访问等）。

2.划分子网：根据网络需求，将DMZ区划分为一个或多个子网，每个子网可以分配一个独立的IP地址段。

3. 部署服务器：根据需求，在DMZ区内部署相应的服务器，如Web服务器、邮件服务器等。

这些服务器应该配置好安全措施，如及时更新补丁、强密码、限制访问等。

4.防火墙配置：配置防火墙以保护DMZ区和内部网络。

防火墙应该根据具体情况，设置适当的访问控制规则，允许或拒绝特定的网络流量。

5.监控和更新：定期监控DMZ区的安全性和服务器的运行情况，及时更新防火墙规则、服务器软件等，保持DMZ区的安全性与稳定性。