在網(wǎng)絡(luò)通信中，端口轉(zhuǎn)發(fā)和端口映射是兩種常見(jiàn)的技術(shù)，用于實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的通信。盡管它們?cè)谀承┓矫嬗邢嗨浦帲珒烧咴诠ぷ髟?、?yīng)用場(chǎng)景和技術(shù)實(shí)現(xiàn)上存在顯著差異。正確理解這些差異有助于選擇最適合的技術(shù)來(lái)滿足特定需求，并確保網(wǎng)絡(luò)的安全性和效率。今天咱就來(lái)嘮嘮這端口轉(zhuǎn)發(fā)和端口映射，看看它們之間的差異究竟在哪里？

01 端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)（Port Forwarding）是一種網(wǎng)絡(luò)配置技術(shù)，允許外部網(wǎng)絡(luò)上的設(shè)備通過(guò)公共 IP 地址訪問(wèn)位于私有網(wǎng)絡(luò)內(nèi)部的特定設(shè)備。它通常在路由器或防火墻上配置，將來(lái)自外網(wǎng)的請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的目標(biāo)設(shè)備。

端口轉(zhuǎn)發(fā)是通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）機(jī)制實(shí)現(xiàn)的一種功能。當(dāng)外網(wǎng)用戶嘗試連接到路由器的公共 IP 地址和指定端口時(shí)，路由器會(huì)根據(jù)預(yù)設(shè)的規(guī)則將該請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中特定的 IP 地址和端口上。

01 工作原理

• 外部請(qǐng)求：外網(wǎng)用戶發(fā)起一個(gè)連接請(qǐng)求，目標(biāo)是路由器的公共 IP 地址和特定端口。

• 路由決策：路由器接收到請(qǐng)求后，檢查其端口轉(zhuǎn)發(fā)規(guī)則表。

• 轉(zhuǎn)發(fā)請(qǐng)求：如果匹配到相應(yīng)的規(guī)則，路由器將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的指定設(shè)備。

• 響應(yīng)處理：內(nèi)網(wǎng)設(shè)備處理請(qǐng)求并返回?cái)?shù)據(jù)，路由器再將響應(yīng)發(fā)送回外網(wǎng)用戶。

02 實(shí)現(xiàn)方式

靜態(tài)端口轉(zhuǎn)發(fā)

特點(diǎn)：為每個(gè)服務(wù)或應(yīng)用設(shè)置固定的端口映射規(guī)則。

優(yōu)點(diǎn)：簡(jiǎn)單直觀，適合長(zhǎng)期運(yùn)行的服務(wù)（如 Web 服務(wù)器、郵件服務(wù)器等）。

缺點(diǎn)：需要手動(dòng)配置，靈活性較低。

動(dòng)態(tài)端口轉(zhuǎn)發(fā)

特點(diǎn)：基于應(yīng)用程序的需求自動(dòng)分配和管理端口。

優(yōu)點(diǎn)：更靈活，適用于臨時(shí)或按需使用的應(yīng)用（如遠(yuǎn)程桌面、文件傳輸?shù)龋?/p>

實(shí)現(xiàn)工具：如 SSH 隧道、UPnP（通用即插即用）協(xié)議。

示例

03 應(yīng)用場(chǎng)景

Web 服務(wù)器托管

需求：將外網(wǎng)用戶的 HTTP/HTTPS 請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的 Web 服務(wù)器。

配置：將路由器的公共 IP 和端口 80/443 轉(zhuǎn)發(fā)到 Web 服務(wù)器的內(nèi)網(wǎng) IP 和相應(yīng)端口。

遠(yuǎn)程桌面訪問(wèn)

需求：允許管理員從外網(wǎng)遠(yuǎn)程管理內(nèi)網(wǎng)中的計(jì)算機(jī)。

配置：將路由器的公共 IP 和 RDP 端口（默認(rèn) 3389）轉(zhuǎn)發(fā)到目標(biāo)計(jì)算機(jī)的內(nèi)網(wǎng) IP 和端口。

游戲服務(wù)器

需求：讓游戲玩家能夠通過(guò)互聯(lián)網(wǎng)連接到位于內(nèi)網(wǎng)的游戲服務(wù)器。

配置：將路由器的公共 IP 和游戲服務(wù)器所需的端口范圍轉(zhuǎn)發(fā)到游戲服務(wù)器的內(nèi)網(wǎng) IP 和端口。

02 端口映射

端口映射（Port Mapping），也稱為端口重定向，是一種將一個(gè)設(shè)備上的某個(gè)端口請(qǐng)求映射到另一個(gè)設(shè)備或同一設(shè)備的不同端口的技術(shù)。

它可以在路由器、防火墻或應(yīng)用程序級(jí)別實(shí)現(xiàn)，通常用于簡(jiǎn)化內(nèi)網(wǎng)設(shè)備的管理和訪問(wèn)。這種映射可以發(fā)生在不同的設(shè)備之間，也可以在同一個(gè)設(shè)備上進(jìn)行。

01 工作原理

• 初始請(qǐng)求：用戶發(fā)起一個(gè)連接請(qǐng)求，目標(biāo)是某個(gè) IP 地址和端口。

• 映射規(guī)則：路由器或防火墻根據(jù)預(yù)設(shè)的端口映射規(guī)則，將該請(qǐng)求的目標(biāo) IP 和端口替換為新的 IP 和端口。

• 轉(zhuǎn)發(fā)請(qǐng)求：修改后的請(qǐng)求被發(fā)送到指定的目標(biāo)設(shè)備。

• 響應(yīng)處理：目標(biāo)設(shè)備處理請(qǐng)求并返回?cái)?shù)據(jù)，路由器或防火墻再將響應(yīng)恢復(fù)成原始格式，發(fā)送回用戶。

02 實(shí)現(xiàn)方式

靜態(tài)端口映射

特點(diǎn)：為每個(gè)服務(wù)或應(yīng)用設(shè)置固定的端口映射規(guī)則。

優(yōu)點(diǎn)：簡(jiǎn)單直觀，適合長(zhǎng)期運(yùn)行的服務(wù)（如家庭網(wǎng)絡(luò)設(shè)備管理、特定應(yīng)用服務(wù)器）。

缺點(diǎn)：需要手動(dòng)配置，靈活性較低。

動(dòng)態(tài)端口映射

特點(diǎn)：基于應(yīng)用程序的需求自動(dòng)分配和管理端口。

優(yōu)點(diǎn)：更靈活，適用于臨時(shí)或按需使用的應(yīng)用（如 P2P 應(yīng)用、VoIP 電話等）。

實(shí)現(xiàn)工具：如 UPnP（通用即插即用）、IGD（Internet Gateway Device Protocol）協(xié)議。

示例

03 應(yīng)用場(chǎng)景

家庭網(wǎng)絡(luò)設(shè)備管理

需求：允許用戶從外網(wǎng)遠(yuǎn)程管理位于內(nèi)網(wǎng)的家庭設(shè)備（如智能家居控制器、安全攝像頭）。

配置：將路由器的公共 IP 和指定端口映射到家庭設(shè)備的內(nèi)網(wǎng) IP 和端口。

P2P 應(yīng)用

需求：確保 P2P 應(yīng)用能夠正確建立對(duì)等連接，避免 NAT 阻止。

配置：使用 UPnP 自動(dòng)創(chuàng)建端口映射規(guī)則，使 P2P 流量順利通過(guò)路由器。

VoIP 電話

需求：確保 VoIP 電話能夠接收來(lái)電并正常通話。

配置：將路由器的公共 IP 和 SIP 協(xié)議所需的端口映射到 VoIP 設(shè)備的內(nèi)網(wǎng) IP 和端口。

多臺(tái) Web 服務(wù)器

需求：在同一臺(tái)路由器下托管多個(gè) Web 服務(wù)器，每個(gè)服務(wù)器監(jiān)聽(tīng)不同的端口。

配置：將不同外部端口映射到各個(gè) Web 服務(wù)器的內(nèi)網(wǎng) IP 和端口。

03 端口轉(zhuǎn)發(fā) vs 端口映射

雖然端口轉(zhuǎn)發(fā)和端口映射都用于實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的通信，但它們?cè)诙x、工作機(jī)制、應(yīng)用場(chǎng)景和技術(shù)實(shí)現(xiàn)上有顯著的區(qū)別。

01 概念對(duì)比

定義上的差異

• 端口轉(zhuǎn)發(fā)：端口轉(zhuǎn)發(fā)是一種網(wǎng)絡(luò)配置技術(shù)，允許外部網(wǎng)絡(luò)上的設(shè)備通過(guò)公共 IP 地址訪問(wèn)位于私有網(wǎng)絡(luò)內(nèi)部的特定設(shè)備。它通常涉及將外部請(qǐng)求直接轉(zhuǎn)發(fā)到指定的內(nèi)部 IP 地址和端口。

• 端口映射：端口映射是將一個(gè)設(shè)備上的某個(gè)端口請(qǐng)求映射到另一個(gè)設(shè)備或同一設(shè)備的不同端口。它可以發(fā)生在不同的設(shè)備之間，也可以在同一設(shè)備上進(jìn)行，主要用于簡(jiǎn)化內(nèi)網(wǎng)設(shè)備的管理和訪問(wèn)。

工作機(jī)制的區(qū)別

• 端口轉(zhuǎn)發(fā)：工作在路由器或防火墻級(jí)別，主要處理來(lái)自外網(wǎng)的請(qǐng)求，將其轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中的目標(biāo)設(shè)備。它依賴于靜態(tài)配置的規(guī)則，通常是一對(duì)一的映射關(guān)系。

• 端口映射：可以發(fā)生在路由器、防火墻或應(yīng)用程序級(jí)別，既可以處理來(lái)自外網(wǎng)的請(qǐng)求，也可以處理來(lái)自內(nèi)網(wǎng)的請(qǐng)求。它可以是一對(duì)多或多對(duì)多的映射關(guān)系，更加靈活。

02 技術(shù)實(shí)現(xiàn)對(duì)比

路由器與防火墻的角色

• 端口轉(zhuǎn)發(fā)：主要由路由器或防火墻執(zhí)行，通常需要管理員手動(dòng)配置規(guī)則。它涉及到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），并且一般用于將外部流量定向到內(nèi)部特定的服務(wù)或設(shè)備。

• 端口映射：可以在路由器、防火墻或應(yīng)用程序級(jí)別實(shí)現(xiàn)，既可以是靜態(tài)配置，也可以是動(dòng)態(tài)分配（如通過(guò) UPnP）。它不僅處理外部流量，還可以處理內(nèi)部流量，適用于更廣泛的場(chǎng)景。

內(nèi)網(wǎng)與外網(wǎng)的處理方式

• 端口轉(zhuǎn)發(fā)：專注于從外網(wǎng)到內(nèi)網(wǎng)的流量轉(zhuǎn)發(fā)，通常是一對(duì)一的關(guān)系。例如，將外部端口 80 的請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng) Web 服務(wù)器的端口 80。

• 端口映射：可以處理雙向流量，支持一對(duì)一或多對(duì)多的映射。例如，將多個(gè)外部端口映射到同一臺(tái)設(shè)備的不同服務(wù)端口，或在同一設(shè)備上進(jìn)行端口重定向。

03 應(yīng)用場(chǎng)景對(duì)比

企業(yè)級(jí)應(yīng)用 vs 家庭用戶

• 端口轉(zhuǎn)發(fā)：更適合企業(yè)級(jí)應(yīng)用，特別是需要長(zhǎng)期穩(wěn)定運(yùn)行的服務(wù)，如 Web 服務(wù)器、郵件服務(wù)器等。它提供了更嚴(yán)格的控制和安全性，適合需要精細(xì)管理的環(huán)境。

• 端口映射：更適合家庭用戶和臨時(shí)性需求，如遠(yuǎn)程桌面訪問(wèn)、P2P 應(yīng)用、VoIP 電話等。它的靈活性和自動(dòng)化特性使其更容易配置和使用。

靈活性與安全性比較

• 端口轉(zhuǎn)發(fā)：由于其靜態(tài)配置和一對(duì)一映射的特點(diǎn)，安全性較高，但靈活性較低。管理員可以精確控制哪些端口被開(kāi)放，從而減少潛在的安全風(fēng)險(xiǎn)。

• 端口映射：更加靈活，可以動(dòng)態(tài)調(diào)整映射規(guī)則，適用于更多變的應(yīng)用場(chǎng)景。然而，動(dòng)態(tài)配置可能引入額外的安全風(fēng)險(xiǎn)，特別是在沒(méi)有適當(dāng)安全措施的情況下。

原創(chuàng)：老楊丨11年資深網(wǎng)絡(luò)工程師，更多網(wǎng)工提升干貨，請(qǐng)關(guān)注公眾號(hào)：網(wǎng)絡(luò)工程師俱樂(lè)部