路由器端口映射和DMZ的区别.doc

『路由器 』 端口映射和DMZ的区别 ? 作者：mark_xzq?提交日期：2009-09-11 22:51:00?访问：820?回复：0 楼主 一、概念 什么是端口映射: ? ?? ? 在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器 的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念。服务器可以向外提供多种服务，比如，一台服务器可以同时是WEB服务器，也可以是FTP服务器，同时，它也可以是邮件服务器。为什么一台服务器可以同时提供那么多的服务呢？其中一个很主要的方面，就是各种服务采用不同的端口分别提供不同的服务，比如：WEB采用80端口，FTP采用21端口等。这样，通过不同端口，计算机与外界进行互不干扰的通信。我们这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口。端口映射:内网的一台电脑要上因特网，就需要端口映射。端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网，会向NAT网关发送数据包，包头中包括对方(就是新浪网)IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。动态端口映射其实也就是NAT网关的工作方式。静态端口映射: 就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个I和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。 什么是DMZ: ? ?? ?DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。? 二、区别 ? ?? ?端口映射只是映射指定的端口，DMZ相当于映射所有的端口，并且直接把主机暴露在网关中，比端口映射方便但是不安全。 下面分别举例说明,端口映射和DMZ(图一为端口映射;图二为DMZ) 说明内网WEB服务器IP：54??对外端口:80? ?