在网络通信中，端口转发和端口映射是两种常见的技术，用于实现内网与外网之间的通信。尽管它们在某些方面有相似之处，但两者在工作原理、应用场景和技术实现上存在显著差异。正确理解这些差异有助于选择最适合的技术来满足特定需求，并确保网络的安全性和效率。今天咱就来唠唠这端口转发和端口映射，看看它们之间的差异究竟在哪里？

01 端口转发

端口转发（Port Forwarding）是一种网络配置技术，允许外部网络上的设备通过公共 IP 地址访问位于私有网络内部的特定设备。它通常在路由器或防火墙上配置，将来自外网的请求转发到内网中的目标设备。

端口转发是通过网络地址转换（NAT）机制实现的一种功能。当外网用户尝试连接到路由器的公共 IP 地址和指定端口时，路由器会根据预设的规则将该请求转发到内网中特定的 IP 地址和端口上。

01 工作原理

• 外部请求：外网用户发起一个连接请求，目标是路由器的公共 IP 地址和特定端口。

• 路由决策：路由器接收到请求后，检查其端口转发规则表。

• 转发请求：如果匹配到相应的规则，路由器将请求转发给内网中的指定设备。

• 响应处理：内网设备处理请求并返回数据，路由器再将响应发送回外网用户。

02 实现方式

静态端口转发

特点：为每个服务或应用设置固定的端口映射规则。

优点：简单直观，适合长期运行的服务（如 Web 服务器、邮件服务器等）。

缺点：需要手动配置，灵活性较低。

动态端口转发

特点：基于应用程序的需求自动分配和管理端口。

优点：更灵活，适用于临时或按需使用的应用（如远程桌面、文件传输等）。

实现工具：如 SSH 隧道、UPnP（通用即插即用）协议。

示例

03 应用场景

Web 服务器托管

需求：将外网用户的 HTTP/HTTPS 请求转发到内网中的 Web 服务器。

配置：将路由器的公共 IP 和端口 80/443 转发到 Web 服务器的内网 IP 和相应端口。

远程桌面访问

需求：允许管理员从外网远程管理内网中的计算机。

配置：将路由器的公共 IP 和 RDP 端口（默认 3389）转发到目标计算机的内网 IP 和端口。

游戏服务器

需求：让游戏玩家能够通过互联网连接到位于内网的游戏服务器。

配置：将路由器的公共 IP 和游戏服务器所需的端口范围转发到游戏服务器的内网 IP 和端口。

02 端口映射

端口映射（Port Mapping），也称为端口重定向，是一种将一个设备上的某个端口请求映射到另一个设备或同一设备的不同端口的技术。

它可以在路由器、防火墙或应用程序级别实现，通常用于简化内网设备的管理和访问。这种映射可以发生在不同的设备之间，也可以在同一个设备上进行。

01 工作原理

• 初始请求：用户发起一个连接请求，目标是某个 IP 地址和端口。

• 映射规则：路由器或防火墙根据预设的端口映射规则，将该请求的目标 IP 和端口替换为新的 IP 和端口。

• 转发请求：修改后的请求被发送到指定的目标设备。

• 响应处理：目标设备处理请求并返回数据，路由器或防火墙再将响应恢复成原始格式，发送回用户。

02 实现方式

静态端口映射

特点：为每个服务或应用设置固定的端口映射规则。

优点：简单直观，适合长期运行的服务（如家庭网络设备管理、特定应用服务器）。

缺点：需要手动配置，灵活性较低。

动态端口映射

特点：基于应用程序的需求自动分配和管理端口。

优点：更灵活，适用于临时或按需使用的应用（如 P2P 应用、VoIP 电话等）。

实现工具：如 UPnP（通用即插即用）、IGD（Internet Gateway Device Protocol）协议。

示例

03 应用场景

家庭网络设备管理

需求：允许用户从外网远程管理位于内网的家庭设备（如智能家居控制器、安全摄像头）。

配置：将路由器的公共 IP 和指定端口映射到家庭设备的内网 IP 和端口。

P2P 应用

需求：确保 P2P 应用能够正确建立对等连接，避免 NAT 阻止。

配置：使用 UPnP 自动创建端口映射规则，使 P2P 流量顺利通过路由器。

VoIP 电话

需求：确保 VoIP 电话能够接收来电并正常通话。

配置：将路由器的公共 IP 和 SIP 协议所需的端口映射到 VoIP 设备的内网 IP 和端口。

多台 Web 服务器

需求：在同一台路由器下托管多个 Web 服务器，每个服务器监听不同的端口。

配置：将不同外部端口映射到各个 Web 服务器的内网 IP 和端口。

03 端口转发 vs 端口映射

虽然端口转发和端口映射都用于实现内网与外网之间的通信，但它们在定义、工作机制、应用场景和技术实现上有显著的区别。

01 概念对比

定义上的差异

• 端口转发：端口转发是一种网络配置技术，允许外部网络上的设备通过公共 IP 地址访问位于私有网络内部的特定设备。它通常涉及将外部请求直接转发到指定的内部 IP 地址和端口。

• 端口映射：端口映射是将一个设备上的某个端口请求映射到另一个设备或同一设备的不同端口。它可以发生在不同的设备之间，也可以在同一设备上进行，主要用于简化内网设备的管理和访问。

工作机制的区别

• 端口转发：工作在路由器或防火墙级别，主要处理来自外网的请求，将其转发到内网中的目标设备。它依赖于静态配置的规则，通常是一对一的映射关系。

• 端口映射：可以发生在路由器、防火墙或应用程序级别，既可以处理来自外网的请求，也可以处理来自内网的请求。它可以是一对多或多对多的映射关系，更加灵活。

02 技术实现对比

路由器与防火墙的角色

• 端口转发：主要由路由器或防火墙执行，通常需要管理员手动配置规则。它涉及到网络地址转换（NAT），并且一般用于将外部流量定向到内部特定的服务或设备。

• 端口映射：可以在路由器、防火墙或应用程序级别实现，既可以是静态配置，也可以是动态分配（如通过 UPnP）。它不仅处理外部流量，还可以处理内部流量，适用于更广泛的场景。

内网与外网的处理方式

• 端口转发：专注于从外网到内网的流量转发，通常是一对一的关系。例如，将外部端口 80 的请求转发到内网 Web 服务器的端口 80。

• 端口映射：可以处理双向流量，支持一对一或多对多的映射。例如，将多个外部端口映射到同一台设备的不同服务端口，或在同一设备上进行端口重定向。

03 应用场景对比

企业级应用 vs 家庭用户

• 端口转发：更适合企业级应用，特别是需要长期稳定运行的服务，如 Web 服务器、邮件服务器等。它提供了更严格的控制和安全性，适合需要精细管理的环境。

• 端口映射：更适合家庭用户和临时性需求，如远程桌面访问、P2P 应用、VoIP 电话等。它的灵活性和自动化特性使其更容易配置和使用。

灵活性与安全性比较

• 端口转发：由于其静态配置和一对一映射的特点，安全性较高，但灵活性较低。管理员可以精确控制哪些端口被开放，从而减少潜在的安全风险。

• 端口映射：更加灵活，可以动态调整映射规则，适用于更多变的应用场景。然而，动态配置可能引入额外的安全风险，特别是在没有适当安全措施的情况下。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部