如果您正在阅读本文,恭喜您!您正在使用端口 80 和 443(用于 Web 流量的标准开放网络端口)与 Internet 上的另一台服务器成功交互。如果这些端口在我们的服务器上关闭,您将无法阅读本文。关闭的端口可以保护您的网络(和我们的服务器)免受黑客攻击。
我们的网络端口可能是开放的,但您的家庭路由器的端口不应该是开放的,因为这为恶意黑客打开了一个漏洞。但是,您可能需要不时允许使用端口转发通过 Internet 访问您的设备。为了帮助您详细了解端口转发,您需要了解以下内容。
什么是端口转发?
端口转发是本地网络路由器上的一个过程,它将连接尝试从在线设备转发到本地网络上的特定设备。这要归功于网络路由器上的端口转发规则,这些规则与对网络上设备的正确端口和 IP 地址进行的连接尝试相匹配。
本地网络可能只有一个公共 IP 地址,但是您内部网络上的每个设备都有自己的内部 IP。端口转发将这些外部请求从 A(公共 IP 和外部端口)链接到 B(网络上设备的请求端口和本地 IP 地址)。
为了解释为什么这可能有用,让我们假设您的家庭网络有点像中世纪的堡垒。虽然您可以看到墙外,但其他人无法看到或突破您的防御——您可以免受攻击。
多亏了集成的网络防火墙,您的网络处于相同的位置。您可以访问其他在线服务,例如网站或游戏服务器,但其他互联网用户无法访问您的设备。由于您的防火墙主动阻止来自外部连接的任何企图破坏您的网络的尝试,因此吊桥被提升了。
但是,在某些情况下,这种级别的保护是不可取的。如果您想在您的家庭网络(例如使用树莓派 )上运行服务器,则需要外部连接。
这就是端口转发的用武之地,因为您可以将这些外部请求转发到特定设备而不会影响您的安全。
例如,让我们假设您在内部 IP 地址为 192.168.1.12的设备上运行本地网络服务器,而您的公共 IP 地址为 80.80.100.110。由于端口转发规则,将允许对端口 80(80.90.100.110:80) 的外部请求,并将流量转发到 端口 80192.168.1.12。
为此,您需要将网络配置为允许端口转发,然后在网络路由器中创建适当的端口转发规则。您可能还需要在您的网络上配置其他防火墙,包括 视窗防火墙 ,以允许流量。
为什么应该避免 UPnP(自动端口转发)强>
在本地网络上设置端口转发对于高级用户来说并不困难,但对于新手来说可能会造成各种类型的困难。为了帮助解决这个问题,网络设备制造商创建了一个名为UPnP(或通用即插即用)的自动化端口转发系统。
背后的想法UPnP 曾经(并且现在)允许基于 Internet 的应用程序和设备在您的路由器上自动创建端口转发规则以允许外部流量。例如,UPnP 可以自动打开端口并为运行游戏服务器的设备转发流量,而无需在路由器设置中手动配置访问权限。
这个概念非常棒,但可悲的是,执行是有缺陷的——如果不是非常危险的话。 UPnP 是恶意软件的梦想,因为它会自动假设您网络上运行的任何应用程序或服务都是安全的。 UPnP 黑客网站 揭示了网络路由器容易包含的不安全因素的数量。
从安全的角度来看,最好谨慎行事。与其冒网络安全风险,不如避免使用 UPnP 进行自动端口转发(并在可能的情况下完全禁用它)。相反,您应该只为您信任且没有已知漏洞的应用和服务创建手动端口转发规则。
如何在您的网络上设置端口转发
如果您避免使用 UPnP 并希望手动设置端口转发,通常可以从路由器的 Web 管理页面执行此操作。如果您不确定如何访问它,通常可以在路由器底部或路由器文档手册中找到信息。
您可以连接到您的路由器路由器的管理页面使用路由器的默认网关地址。这通常是 192.168.0.1或类似的变体 - 将此地址输入您的网络浏览器的地址栏中。您还需要使用路由器提供的用户名和密码(例如 admin)进行身份验证。
使用 DHCP 预留配置静态 IP 地址
大多数本地网络使用动态 IP 分配为连接的设备分配临时 IP 地址。一段时间后,IP 地址会更新。这些临时 IP 地址可能会被回收并在其他地方使用,并且您的设备可能分配有不同的本地 IP 地址。
但是,端口转发要求用于任何本地设备的 IP 地址保持不变。您可以手动分配静态 IP 地址 ,但大多数网络路由器允许您使用 DHCP 保留在路由器的设置页面中为某些设备分配静态 IP 地址。
不幸的是,每个路由器制造商都不同,下面屏幕截图中显示的步骤(使用 TP-Link 路由器制作)可能与您的路由器不匹配。如果是这种情况,您可能需要查看路由器的文档以获得更多支持。
首先,使用网络浏览器访问网络路由器的网络管理页面,并使用路由器的管理员用户名和密码进行身份验证。登录后,访问路由器的 DHCP 设置区域。
您可以扫描已连接的本地设备(以自动填充所需的分配规则),或者您可能需要为您希望为其分配静态 IP 的设备提供 特定的 MAC 地址 。使用正确的 MAC 地址和您希望使用的 IP 地址创建规则,然后保存条目。
创建新的端口转发规则
如果您的设备具有静态 IP(手动设置或在您的 DHCP 分配设置中保留),您可以移动以创建端口转发规则。此条款可能会有所不同。例如,一些 TP-Link 路由器将此功能称为虚拟服务器,而 Cisco 路由器则使用标准名称(端口转发)来称呼它。
在路由器 Web 管理页面的正确菜单中,创建新的端口转发规则。该规则需要您希望外部用户连接到的外部端口(或端口范围)。此端口与您的公共 IP 地址相关联(例如,用于公共 IP 80.80.30.10的端口 80)。
您还需要确定要将流量从外部端口转发到的内部端口。这可能是相同的端口或替代端口(以隐藏流量的目的)。您还需要提供本地设备的静态 IP 地址(例如 192.168.0.10)和使用的端口协议(例如 TCP 或 UDP)。p>
根据您的路由器,您可以选择一种服务类型来自动填充所需的规则数据(例如,HTTP用于端口 80 或 HTTPS用于端口第443页。配置规则后,保存以应用更改。
其他步骤
您的网络路由器应自动将更改应用到防火墙规则.任何对开放端口的外部连接尝试都应使用您创建的规则转发到内部设备,尽管您可能需要为使用多个端口或端口范围的服务创建额外的规则。
s>如果您遇到问题,您可能还需要考虑向您的 PC 或 Mac 的软件防火墙(包括 Windows 防火墙)添加额外的防火墙规则,以允许流量通过。例如,Windows 防火墙通常不允许外部连接,因此您可能需要在 Windows 设置菜单中进行配置。
如果 Windows 防火墙给您带来困难,您可以暂时禁用它 调查。但是,由于存在安全风险,我们建议您在解决问题后重新启用 Windows 防火墙,因为它提供了针对 可能的黑客攻击 的额外保护。
保护您的家庭网络
您已经学会了如何设置端口转发,但不要忘记风险。您打开的每个端口都会在路由器的防火墙之外添加另一个漏洞,端口扫描工具 可以找到并滥用该漏洞。如果您需要为某些应用程序或服务打开端口,请确保将它们限制为单个端口,而不是可能被破坏的巨大端口范围。
如果您担心家庭网络,您可以将您的网络安全性提高 添加第三方防火墙 。这可以是安装在您的 PC 或 Mac 上的软件防火墙,或者像 防火墙黄金 这样的 24/7 硬件防火墙,连接到您的网络路由器以同时保护您的所有设备。