在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境下，經(jīng)常遇到企業(yè)內(nèi)網(wǎng)服務(wù)器需要開放給外網(wǎng)用戶訪問等問題，最直接的做法就是將WEB服務(wù)器的端口映射出去，但是現(xiàn)實(shí)場景中，經(jīng)常會(huì)看到有端口映射、DMZ和UPnP等方式實(shí)現(xiàn)映射的效果，也都能達(dá)到端口映射的效果，但是終歸他們之間是有區(qū)別的，那么今天就來說一下DMZ、端口映射及UPnP的作用及區(qū)別。

DMZ

DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器等。DMZ相當(dāng)于映射所有的端口，并且直接把主機(jī)暴露在網(wǎng)關(guān)中

DMZ區(qū)的作用

一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和外網(wǎng)，也就是LAN和WAN，那么，當(dāng)你有1臺(tái)物理位置上的1臺(tái)服務(wù)器，需要被外網(wǎng)訪問，并且，也被內(nèi)網(wǎng)訪問的時(shí)候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因?yàn)榉阑饓δ�認(rèn)情況下，是為了保護(hù)內(nèi)網(wǎng)，所以，一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)，許可內(nèi)網(wǎng)訪問外網(wǎng)。但如果這個(gè)服務(wù)器能被外網(wǎng)所訪問，那么，就意味著這個(gè)服務(wù)器已經(jīng)處于不可信任的狀態(tài)，那么，這個(gè)服務(wù)器就不能（主動(dòng)）訪問內(nèi)網(wǎng)。

端口映射

端口映射就是將外網(wǎng)主機(jī)的IP地址的一個(gè)端口映射到內(nèi)網(wǎng)中一臺(tái)機(jī)器，提供相應(yīng)的服務(wù)。當(dāng)用戶訪問該IP的這個(gè)端口時(shí)，服務(wù)器自動(dòng)將請(qǐng)求映射到對(duì)應(yīng)局域網(wǎng)內(nèi)部的機(jī)器上。端口映射有動(dòng)態(tài)和靜態(tài)之分。

▲ 動(dòng)態(tài)端口映射：

內(nèi)網(wǎng)中的一臺(tái)電腦要訪問網(wǎng)站，會(huì)向NAT網(wǎng)關(guān)發(fā)送數(shù)據(jù)包，包頭中包括對(duì)方網(wǎng)站IP、端口和本機(jī)IP、端口，NAT網(wǎng)關(guān)會(huì)把本機(jī)IP、端口替換成自己的公網(wǎng)IP、一個(gè)未使用的端口，并且會(huì)記下這個(gè)映射關(guān)系，為以后轉(zhuǎn)發(fā)數(shù)據(jù)包使用。
然后再把數(shù)據(jù)發(fā)給網(wǎng)站，網(wǎng)站收到數(shù)據(jù)后做出反應(yīng)，發(fā)送數(shù)據(jù)到NAT網(wǎng)關(guān)的那個(gè)未使用的端口，然后NAT網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的那臺(tái)電腦，實(shí)現(xiàn)內(nèi)網(wǎng)和公網(wǎng)的通訊.當(dāng)連接關(guān)閉時(shí)，NAT網(wǎng)關(guān)會(huì)釋放分配給這條連接的端口，以便以后的連接可以繼續(xù)使用。
動(dòng)態(tài)端口映射其實(shí)也就是NAT網(wǎng)關(guān)的工作方式。

▲ 靜態(tài)端口映射：

就是在NAT網(wǎng)關(guān)上開放一個(gè)固定的端口，然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)哪個(gè)IP和端口，不管有沒有連接，這個(gè)映射關(guān)系都會(huì)一直存在。就可以讓公網(wǎng)主動(dòng)訪問內(nèi)網(wǎng)的一臺(tái)電腦。

UPnP

UPnP 范圍廣泛，原因是它面向的是家庭網(wǎng)絡(luò)、臨近網(wǎng)絡(luò)及小型企業(yè)和商住樓中的網(wǎng)絡(luò)。
以下是BC官方網(wǎng)站對(duì)UPnP的解釋：UPnP（Universal Plug and Play），通用即插即用，是一組協(xié)議的統(tǒng)稱，不能簡單理解為UPnP=“自動(dòng)端口映射”。

在BitComet下載中，UPnP包含了2層意思：
▲ 對(duì)于一臺(tái)內(nèi)網(wǎng)電腦，BitComet的UPnP功能可以使網(wǎng)關(guān)或路由器的NAT模塊做自動(dòng)端口映射，將BitComet監(jiān)聽的端口從網(wǎng)關(guān)或路由器映射到內(nèi)網(wǎng)電腦上。
▲ 網(wǎng)關(guān)或路由器的網(wǎng)絡(luò)防火墻模塊開始對(duì)Internet上其他電腦開放這個(gè)端口。對(duì)于一般的使用者來講，簡單的把UPnP理解為自動(dòng)端口映射就可以了。它就是一種基于TCP/IP協(xié)議的，針對(duì)設(shè)備彼此間的通訊而制訂的新的Internet協(xié)議，目的就是希望未來所有聯(lián)入Internet中的設(shè)備能夠不受網(wǎng)關(guān)阻礙的相互通信。

UPnP、DMZ、端口映射、三者區(qū)別區(qū) 別

端口映射：

端口映射是將一臺(tái)主機(jī)IP地址的某個(gè)端口映射到另外一個(gè)IP地址的某個(gè)端口上，當(dāng)用戶訪問提供映射端口的主機(jī)的該端口時(shí)，服務(wù)器自動(dòng)將請(qǐng)求轉(zhuǎn)到提供這種特定服務(wù)的主機(jī)，端口映射可以讓內(nèi)部網(wǎng)絡(luò)中某臺(tái)機(jī)器對(duì)外部提供服務(wù)，而不是將真IP地址直接轉(zhuǎn)到內(nèi)部提供服務(wù)的主機(jī)。

DMZ：

DMZ相當(dāng)于映射所有的端口，并且直接把主機(jī)暴露在網(wǎng)關(guān)中。DMZ是為了讓外網(wǎng)能訪問內(nèi)部的資源，也就是這個(gè)服務(wù)器，而內(nèi)網(wǎng)呢，也能訪問這個(gè)服務(wù)器，但這個(gè)服務(wù)器是不能主動(dòng)訪問內(nèi)網(wǎng)的。為了讓物理位置在內(nèi)網(wǎng)的，并且，希望能被外網(wǎng)所訪問的這樣的一個(gè)區(qū)域。

UPnP：

由操作系統(tǒng)和應(yīng)用與路由器協(xié)商開放哪個(gè)端口，必須同時(shí)滿足支持UPnP，缺一不可，否則不能實(shí)現(xiàn)。