03.28 飛魚星百詞講壇：什麼是端口、端口映射、端口鏡像和DMZ？

什麼是端口？端口的作用是什麼？端口映射和端口鏡像又是幹什麼的？今天我們將對涉及到路由器端口的一些相關詞彙進行講解，希望能幫助您理解路由器/交換機上和端口相關的功能和設置方法。

端口（Port）

在網絡中我們常提到的端口，有物理端口和協議端口。物理端口很好理解，就是路由器、交換機上連接其他網絡設備的接口，比如RJ45或者串口形式的接口(如上圖所示）。而協議端口並非物理意義上的接口，是特指TCP/IP網絡協議裡的邏輯端口，通常用一個0~65535之間的整數來代表，比如常見的HTTP服務端口80，HTTPS服務端口443等。

Question2：那麼端口（除非特別指明，下文中的端口皆指協議端口）起什麼作用呢？

如果您看過前面我們寫的該系列文章，就知道我們把一個局域網比喻成一個居民小區，而路由器是該小區的收發室。局域網內的私有地址（類似於192.168.X.X）則相當於小區內一棟一棟的樓房，而每一棟樓裡都有若干個人在工作，有的人在負責網站業務（HTTP），有的人在負責郵件業務（SMTP），而有的人在負責文件上傳下載業務（FTP），等等等等。

當一個數據包由外界送到收發室（路由器）來時，收發室能根據數據包的特徵辨別該把包裹送到哪棟樓裡去（局域網IP），但這個數據包是屬於哪個業務類別呢，究竟是該由負責網站業務的人來簽收，還是由負責郵件業務的人來簽收呢？這時候端口就起到作用了。收發室將通過數據包上的端口標識（協議端口號）來決定該由哪個業務來負責處理。

不光接受數據包的業務（程序進程）需要開啟它自己的端口，發送數據包的業務也需要開啟端口，這樣，數據包中將會標識有源端口，以便接受方能順利地回傳數據包到這個端口。當然，一個完整的連接過程其實是涉及到TCP的三次握手機制（Three-way handshake），因本文主要目的是講解端口及相關術語，就不在此贅述這個機制。

端口映射（Port Mapping）

端口映射又叫虛擬服務器，就是將內網主機的某些服務端口映射到公網上，由內網主機對外界提供相應的服務。

Question2：端口映射有什麼作用？如何設置？

舉個例子，當一臺內網主機使用私有地址時，比如192.168.0.100，外部網絡是無法直接訪問內網中的這臺主機的。但這臺內網主機又希望外網能訪問該主機的網站服務，那麼通過在路由器上做端口映射，配置內網服務器的IP與端口以後，外部網絡便可以訪問該內網服務器。

簡而言之，當內網的某個主機做了對外的服務（比如WEB服務、ERP 系統，監控系統， OA 系統， CRM 等等），必須要把服務對應的端口在路由器上通過端口映射進行開放，外網的IP地址才可以訪問進來。

以HTTP服務為例，我們來看看在飛魚星路由器上該怎麼做端口映射：

1、外部IP無需填寫，路由器可自動讀取；

2、外部端口留空，表示和內網端口一致；

3、填入被外網訪問的內網主機的內網IP；

4、填入內網主機HTTP服務的端口號80；

5、選擇協議和映射線路，保存即可。

注：在設置端口映射時大多數情況下外網端口和內網端口號是相同的，有特殊應用的情況下可以將內外網進行映射的端口號設置為不同。

DMZ

內網主機對外提供服務還有一種解決方案，就是DMZ（Demilitarized Zone），也即俗稱的非軍事區或者隔離區。

DMZ是把內網的某個主機IP地址和WAN口線路的公網IP地址完全對應，所有端口全部開放。訪問WAN口的公網IP地址就是訪問內網對應的那個主機IP地址。

DMZ是一個在邏輯上介於外網和內網之間的隔離區域，通常是一個過濾的子網。當內網某些主機需要對外提供服務時，為了更好地提供服務，同時又要有效地保護內網的安全，將這些需要對外開放的主機與內部的眾多網絡設備分隔開來，根據不同的需要，有針對性地採取相應的隔離措施，這樣既便於對內對外更好地提供服務，又能與內網隔離開來，從而有效地保護內網安全。

Question3：DMZ如何在對外網開放全部端口的情況下還能保護內網安全呢？

DMZ內通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。在制定訪問控制策略上通常是DMZ與外網可以互通互訪，內網可以訪問DMZ，但DMZ不能（主動）訪問內網。這樣來自外網的訪問者可以訪問DMZ中的服務，但不能接觸到存放在內網中的公司機密或私人信息等，即使DMZ中服務器受到破壞，也不會對內網中的機密信息造成影響。

端口鏡像裡的端口則和上面提到的協議端口不同，這裡的端口是指路由器/交換機的物理端口。

簡而言之，端口鏡像就是把經過一個或多個端口的數據都同步複製一份，發送到指定的一個或多個端口，從而達到監控的目的，這個功能多用於公安網監部門進行網絡監控。

進行監聽的端口能監視到進出網絡的所有數據包，供安裝了監控軟件的管理服務器抓取數據,如某些公共場所的路由器需啟用此功能把全部進出數據發往網監部門審查。

而有些企業出於信息安全、保護公司機密的需要，也希望網絡中有一個端口能提供這種實時監控功能。在企業中用端口鏡像功能，可以很好的對企業內部的網絡數據進行監控管理，在網絡出現故障的時候，可以方便地進行故障定位。

端口鏡像的設置非常簡單，只要物理上將設備連接好後，將對應的監聽端口和被監聽端口設置正確即可，以飛魚星路由器為例，如下圖所示：