网御防火墙端口映射

一、端口映射概念及用途

  采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。所以可以通过应用端口映射技术来解决。

二、联想网域防火墙端口映射配置

单位使用的防火墙型号是联想网域power 3414，在防火墙上需要做设置的地方有三处：
1、资源定义>>地址>>服务器地址
2、资源定义>>服务>>基本服务
3、策略配置>>安全规则>>包过滤规则
4、策略配置>>安全规则>>端口映射规则

映射分为两种：
一种是将内网服务器上相应服务的端口号映射的外网相同的端口号上；
另一种是将内网服务器上相应服务的端口号映射到外网其他的端口号上；
两者相比，第二种方法更为安全，应为这种方法没有使用默认的端口号，相对提高了安全性。

三、端口映射配置实例

接下来我们就采用上述两种方法来做映射，将192.168.4.2上提供的FTP服务，映射到外网ip上，分别以FTP默认端口号21，和自行设置的端口号6789，来对外网映射FTP服务！
1、进入防火墙WEB配置界面，进入到 资源定义>>地址>>服务器地址 界面 <添加> 内部服务器地址192.168.4.2；

2、在 策略配置>>安全规则>>包过滤规则 界面中 <添加> 包过滤规则


3、在 策略配置>>安全规则>>端口映射规则 界面中<添加> 端口映射规则


因为FTP服务是系统默认带有的，所以我们就不需要在 资源定义>>服务>>基本服务 中添加服务。
完成上述操作，默认端口的系统映射便完成了，我们可以使用浏览器访问 ftp://192.168.4.2 来检查刚刚的配置是否成功。

看上面就是用外网IP来访问的192.168.4.2的FTP服务，而且是以默认端口号来访问的。
下面我们用在外网IP上用6789端口号映射192.168.4.2的远程桌面服务。远程桌面默认服务端口号为3389
在做下面配置之前，要完成服务器地址设置，设置方法如上。
1、在 资源定义>>服务>>基本服务 中添加 目的端口高低均为6789的TCP，命名为port_mstsc。
2、在 策略配置>>安全规则>>包过滤规则 中添加规则 目的地址为服务器地址 Port_Mapping ，服务为基本服务中添加的 port_mstsc；添加规则 目的地址为服务器地址 Port_Mapping，服务为远程桌面服务
RemoteDesk。
3、在 策略配置>>安全规则>>端口映射规则 中添加 对外服务为 port_mstsc，对内服务RemoteDesk（为系统默认已经设置的远程桌面名）。



完成上述操作，就已经完成了192.168.4.2远程桌面用6789端口号映射到外网了，我们可以通过微软自带的远程桌面程序来连接这个IP：端口号，来检测是否成功。


看，我们成功了！
如果想用域名来访问192.168.4.2这台机器的远程桌面服务，我们可以在192.168.4.2上运行花生壳服务，并申请域名，通过这个域名，我们便可以访问ip不固定的机器了。

注意：在做交换机的Telnet映射时，在交换机上要做路由，链接到其他网段的路由和默认路由