通過路由器或者網關的“端口映射”功能，可以把內網的網絡服務映射到外網，供互聯網上的用戶使用。一些公司的ERP、CRM、OA系統都會采用這樣的方式，使代理商、出差員工可以進行網絡辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

• 要有固定公網IP地址。如果沒有申請專線固定IP，運營商現在一般都直接分配內網IP地址，從公網上是訪問不到的。
  

• 如果要映射到外網的80、443、8080等常見Web端口，需要到運營商備案。

2. 端口映射的安全問題

端口映射的服務可以直接在公網上訪問到，所以必然會招來攻擊。要保護端口映射服務器的安全，需要考慮如下方面：

• 盡量采用不常見的端口
  

• 開啟入侵防御來阻止入侵攻擊

• 阻止來自國外的IP地址

• 限定只能訪問的IP地址

請參考：端口映射的服務器被攻擊怎么辦？

3. 限制訪問端口映射的公網IP地址

下面我再來演示一下如何用WSG上網行為管理限制訪問端口映射的外網IP地址。端口映射的訪問在“外網”區域的“轉發”方向，我們需要配置兩條規則。一條是阻止所有的外網轉發，一條是允許指定IP的外網轉發。如下圖：

通過上述配置，即可限定允許訪問端口映射的外網IP地址。