在網(wǎng)絡(luò)通信中，端口轉(zhuǎn)發(fā)和端口映射是兩種常見的技術(shù)，用于實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的通信。盡管它們在某些方面有相似之處，但兩者在工作原理、應(yīng)用場景和技術(shù)實現(xiàn)上存在顯著差異。正確理解這些差異有助于選擇最適合的技術(shù)來滿足特定需求，并確保網(wǎng)絡(luò)的安全性和效率。今天咱就來嘮嘮這端口轉(zhuǎn)發(fā)和端口映射，看看它們之間的差異究竟在哪里？

01 端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)（Port Forwarding）是一種網(wǎng)絡(luò)配置技術(shù)，允許外部網(wǎng)絡(luò)上的設(shè)備通過公共 IP 地址訪問位于私有網(wǎng)絡(luò)內(nèi)部的特定設(shè)備。它通常在路由器或防火墻上配置，將來自外網(wǎng)的請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的目標(biāo)設(shè)備。

端口轉(zhuǎn)發(fā)是通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）機(jī)制實現(xiàn)的一種功能。當(dāng)外網(wǎng)用戶嘗試連接到路由器的公共 IP 地址和指定端口時，路由器會根據(jù)預(yù)設(shè)的規(guī)則將該請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中特定的 IP 地址和端口上。

01 工作原理

• 外部請求：外網(wǎng)用戶發(fā)起一個連接請求，目標(biāo)是路由器的公共 IP 地址和特定端口。

• 路由決策：路由器接收到請求后，檢查其端口轉(zhuǎn)發(fā)規(guī)則表。

• 轉(zhuǎn)發(fā)請求：如果匹配到相應(yīng)的規(guī)則，路由器將請求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的指定設(shè)備。

• 響應(yīng)處理：內(nèi)網(wǎng)設(shè)備處理請求并返回數(shù)據(jù)，路由器再將響應(yīng)發(fā)送回外網(wǎng)用戶。

02 實現(xiàn)方式

靜態(tài)端口轉(zhuǎn)發(fā)

特點：為每個服務(wù)或應(yīng)用設(shè)置固定的端口映射規(guī)則。

優(yōu)點：簡單直觀，適合長期運(yùn)行的服務(wù)（如 Web 服務(wù)器、郵件服務(wù)器等）。

缺點：需要手動配置，靈活性較低。

動態(tài)端口轉(zhuǎn)發(fā)

特點：基于應(yīng)用程序的需求自動分配和管理端口。

優(yōu)點：更靈活，適用于臨時或按需使用的應(yīng)用（如遠(yuǎn)程桌面、文件傳輸?shù)龋?/p>

實現(xiàn)工具：如 SSH 隧道、UPnP（通用即插即用）協(xié)議。

示例

03 應(yīng)用場景

Web 服務(wù)器托管

需求：將外網(wǎng)用戶的 HTTP/HTTPS 請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的 Web 服務(wù)器。

配置：將路由器的公共 IP 和端口 80/443 轉(zhuǎn)發(fā)到 Web 服務(wù)器的內(nèi)網(wǎng) IP 和相應(yīng)端口。

遠(yuǎn)程桌面訪問

需求：允許管理員從外網(wǎng)遠(yuǎn)程管理內(nèi)網(wǎng)中的計算機(jī)。

配置：將路由器的公共 IP 和 RDP 端口（默認(rèn) 3389）轉(zhuǎn)發(fā)到目標(biāo)計算機(jī)的內(nèi)網(wǎng) IP 和端口。

游戲服務(wù)器

需求：讓游戲玩家能夠通過互聯(lián)網(wǎng)連接到位于內(nèi)網(wǎng)的游戲服務(wù)器。

配置：將路由器的公共 IP 和游戲服務(wù)器所需的端口范圍轉(zhuǎn)發(fā)到游戲服務(wù)器的內(nèi)網(wǎng) IP 和端口。

02 端口映射

端口映射（Port Mapping），也稱為端口重定向，是一種將一個設(shè)備上的某個端口請求映射到另一個設(shè)備或同一設(shè)備的不同端口的技術(shù)。

它可以在路由器、防火墻或應(yīng)用程序級別實現(xiàn)，通常用于簡化內(nèi)網(wǎng)設(shè)備的管理和訪問。這種映射可以發(fā)生在不同的設(shè)備之間，也可以在同一個設(shè)備上進(jìn)行。

01 工作原理

• 初始請求：用戶發(fā)起一個連接請求，目標(biāo)是某個 IP 地址和端口。

• 映射規(guī)則：路由器或防火墻根據(jù)預(yù)設(shè)的端口映射規(guī)則，將該請求的目標(biāo) IP 和端口替換為新的 IP 和端口。

• 轉(zhuǎn)發(fā)請求：修改后的請求被發(fā)送到指定的目標(biāo)設(shè)備。

• 響應(yīng)處理：目標(biāo)設(shè)備處理請求并返回數(shù)據(jù)，路由器或防火墻再將響應(yīng)恢復(fù)成原始格式，發(fā)送回用戶。

02 實現(xiàn)方式

靜態(tài)端口映射

特點：為每個服務(wù)或應(yīng)用設(shè)置固定的端口映射規(guī)則。

優(yōu)點：簡單直觀，適合長期運(yùn)行的服務(wù)（如家庭網(wǎng)絡(luò)設(shè)備管理、特定應(yīng)用服務(wù)器）。

缺點：需要手動配置，靈活性較低。

動態(tài)端口映射

特點：基于應(yīng)用程序的需求自動分配和管理端口。

優(yōu)點：更靈活，適用于臨時或按需使用的應(yīng)用（如 P2P 應(yīng)用、VoIP 電話等）。

實現(xiàn)工具：如 UPnP（通用即插即用）、IGD（Internet Gateway Device Protocol）協(xié)議。

示例

03 應(yīng)用場景

家庭網(wǎng)絡(luò)設(shè)備管理

需求：允許用戶從外網(wǎng)遠(yuǎn)程管理位于內(nèi)網(wǎng)的家庭設(shè)備（如智能家居控制器、安全攝像頭）。

配置：將路由器的公共 IP 和指定端口映射到家庭設(shè)備的內(nèi)網(wǎng) IP 和端口。

P2P 應(yīng)用

需求：確保 P2P 應(yīng)用能夠正確建立對等連接，避免 NAT 阻止。

配置：使用 UPnP 自動創(chuàng)建端口映射規(guī)則，使 P2P 流量順利通過路由器。

VoIP 電話

需求：確保 VoIP 電話能夠接收來電并正常通話。

配置：將路由器的公共 IP 和 SIP 協(xié)議所需的端口映射到 VoIP 設(shè)備的內(nèi)網(wǎng) IP 和端口。

多臺 Web 服務(wù)器

需求：在同一臺路由器下托管多個 Web 服務(wù)器，每個服務(wù)器監(jiān)聽不同的端口。

配置：將不同外部端口映射到各個 Web 服務(wù)器的內(nèi)網(wǎng) IP 和端口。

03 端口轉(zhuǎn)發(fā) vs 端口映射

雖然端口轉(zhuǎn)發(fā)和端口映射都用于實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的通信，但它們在定義、工作機(jī)制、應(yīng)用場景和技術(shù)實現(xiàn)上有顯著的區(qū)別。

01 概念對比

定義上的差異

• 端口轉(zhuǎn)發(fā)：端口轉(zhuǎn)發(fā)是一種網(wǎng)絡(luò)配置技術(shù)，允許外部網(wǎng)絡(luò)上的設(shè)備通過公共 IP 地址訪問位于私有網(wǎng)絡(luò)內(nèi)部的特定設(shè)備。它通常涉及將外部請求直接轉(zhuǎn)發(fā)到指定的內(nèi)部 IP 地址和端口。

• 端口映射：端口映射是將一個設(shè)備上的某個端口請求映射到另一個設(shè)備或同一設(shè)備的不同端口。它可以發(fā)生在不同的設(shè)備之間，也可以在同一設(shè)備上進(jìn)行，主要用于簡化內(nèi)網(wǎng)設(shè)備的管理和訪問。

工作機(jī)制的區(qū)別

• 端口轉(zhuǎn)發(fā)：工作在路由器或防火墻級別，主要處理來自外網(wǎng)的請求，將其轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的目標(biāo)設(shè)備。它依賴于靜態(tài)配置的規(guī)則，通常是一對一的映射關(guān)系。

• 端口映射：可以發(fā)生在路由器、防火墻或應(yīng)用程序級別，既可以處理來自外網(wǎng)的請求，也可以處理來自內(nèi)網(wǎng)的請求。它可以是一對多或多對多的映射關(guān)系，更加靈活。

02 技術(shù)實現(xiàn)對比

路由器與防火墻的角色

• 端口轉(zhuǎn)發(fā)：主要由路由器或防火墻執(zhí)行，通常需要管理員手動配置規(guī)則。它涉及到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），并且一般用于將外部流量定向到內(nèi)部特定的服務(wù)或設(shè)備。

• 端口映射：可以在路由器、防火墻或應(yīng)用程序級別實現(xiàn)，既可以是靜態(tài)配置，也可以是動態(tài)分配（如通過 UPnP）。它不僅處理外部流量，還可以處理內(nèi)部流量，適用于更廣泛的場景。

內(nèi)網(wǎng)與外網(wǎng)的處理方式

• 端口轉(zhuǎn)發(fā)：專注于從外網(wǎng)到內(nèi)網(wǎng)的流量轉(zhuǎn)發(fā)，通常是一對一的關(guān)系。例如，將外部端口 80 的請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng) Web 服務(wù)器的端口 80。

• 端口映射：可以處理雙向流量，支持一對一或多對多的映射。例如，將多個外部端口映射到同一臺設(shè)備的不同服務(wù)端口，或在同一設(shè)備上進(jìn)行端口重定向。

03 應(yīng)用場景對比

企業(yè)級應(yīng)用 vs 家庭用戶

• 端口轉(zhuǎn)發(fā)：更適合企業(yè)級應(yīng)用，特別是需要長期穩(wěn)定運(yùn)行的服務(wù)，如 Web 服務(wù)器、郵件服務(wù)器等。它提供了更嚴(yán)格的控制和安全性，適合需要精細(xì)管理的環(huán)境。

• 端口映射：更適合家庭用戶和臨時性需求，如遠(yuǎn)程桌面訪問、P2P 應(yīng)用、VoIP 電話等。它的靈活性和自動化特性使其更容易配置和使用。

靈活性與安全性比較

• 端口轉(zhuǎn)發(fā)：由于其靜態(tài)配置和一對一映射的特點，安全性較高，但靈活性較低。管理員可以精確控制哪些端口被開放，從而減少潛在的安全風(fēng)險。

• 端口映射：更加靈活，可以動態(tài)調(diào)整映射規(guī)則，適用于更多變的應(yīng)用場景。然而，動態(tài)配置可能引入額外的安全風(fēng)險，特別是在沒有適當(dāng)安全措施的情況下。

原創(chuàng)：老楊丨11年資深網(wǎng)絡(luò)工程師，更多網(wǎng)工提升干貨，請關(guān)注公眾號：網(wǎng)絡(luò)工程師俱樂部