什么是端口转发？为何设置它存在风险？

什么是端口转发？

端口转发是一种网络配置技术，它允许外部设备访问位于私有网络内部的服务，而这些服务通常无法直接从外部访问。通过端口转发，您可以实现从本地电脑直接连接到另一台服务器，也就是数据转发的过程。

当您设置端口转发时，本质上是在告诉您的路由器，将特定的数据直接发送到您网络中的某个指定设备，从而绕过一些正常的安全流程。这样做有时可以提升您的网络速度，并带来一些其他的便利。

然而，端口转发存在一些风险。我们并不建议您使用端口转发，并且 NordVPN 与此功能并不兼容。尽管如此，让我们一起深入了解一下端口转发的技术原理。

端口转发如何运作？

要理解端口转发，首先需要了解路由器的基本功能。您可以将路由器想象成一位既负责安全防护又负责邮件分拣的管家。路由器上的 NAT 防火墙会将接收到的入站连接转发给请求该连接的设备，同时拦截所有未经授权的外部数据。这个过程通常是自动进行的，但如果您需要让家庭网络中的设备能够响应来自远程设备的连接请求，就需要手动设置端口转发。

您的路由器拥有超过 60,000 个端口。其中，前 1,000 个端口通常被预留给一些标准的特定功能。剩余的端口则可以分配给任何设备或程序使用。您可以通过在路由器上打开一个端口，并将其指定分配给您网络中的某个特定设备来实现端口转发。一旦完成分配，当外部设备向路由器的这个特定端口发送连接请求时，路由器就会自动建立一条与指定设备的直接连接。要完成这个设置，您需要知道目标设备正在使用的端口号。

请注意：端口转发无法与 NordVPN 同时使用，并且我们不建议用户进行此操作。

端口转发的用途是什么？

端口转发在需要在家庭网络中的设备与远程设备之间建立直接连接时非常有用。例如，您可以利用端口转发来实现以下功能：

• 在外出时查看家中的安全摄像头或婴儿监视器；
• 远程连接到您自己的家庭服务器；
• 使用远程桌面软件访问您家里的电脑；
• 允许外部用户连接到您搭建的公共网络服务器；
• 连接到您家庭网络中的物联网设备；
• 与在线游戏服务器建立直接连接；
• 保持对 VoIP 语音服务器的稳定直接访问。

端口转发还有许多其他合法的用途，但其中很多都属于高级操作，超出了本文的讨论范围。

专业提示：请注意，NordVPN 不支持端口转发功能。但如果您使用 NordVPN 的网状网络功能，则无需配置复杂的防火墙规则或设置端口转发，即可轻松地与远程设备建立安全连接。

端口转发的类型

端口转发有多种类型，以满足网络用户和应用程序的不同需求。以下是主要的几种类型：

静态端口转发（也称为端口映射）

静态端口转发需要手动调整路由器的设置，通过指定端口号来创建规则，将来自互联网的流量定向到您本地网络中的特定设备。这个过程也常被称为“端口映射”。

您可以在路由器设置中使用静态端口转发，为家中的监控系统创建一个直接的访问通道，这样即使您身在外地，也能随时通过互联网查看家里的安全状况。

本地端口转发

本地端口转发允许您借助一个中间服务器（通常是 SSH 隧道），将本地电脑的流量转发到另一台服务器。

举个例子，假设您在咖啡馆工作，需要安全地访问公司内部的数据库。通过建立 SSH 隧道并设置本地端口转发，您可以在您的笔记本电脑和公司数据库之间创建一个加密连接，就好像您直接在公司内部网络中访问该数据库一样。

远程端口转发

远程端口转发是指将远程服务器上的某个端口转发回您的本地电脑或其他指定的目标。本质上，远程端口转发允许您通过一个安全通道（例如 SSH 隧道）来访问您本地电脑上运行的服务。

例如，假设您正在本地电脑上开发一个应用程序，并希望在不将其部署到公共服务器的情况下向客户进行演示。通过使用远程端口转发，您可以允许外部网络访问您在本地运行的这个应用程序。

动态端口转发

动态端口转发允许您创建一个灵活且安全的隧道，通过这个隧道，来自不同端口的流量可以根据实时的请求被转发到多个不同的目的地，这种方式通常会使用 SOCKS 代理协议。

当您在旅途中使用公共 Wi-Fi 网络时，如果需要安全地访问您的电子邮件或工作数据库，就可以使用动态端口转发。它就像为您的互联网流量建立了一条安全通道，将其路由到您的家庭网络或办公网络。

UPnP 端口转发（通用即插即用）

您可能曾使用过端口转发，但并未手动配置端口，甚至对此毫不知情。这是如何实现的？这得益于您的设备使用了通用即插即用（UPnP）技术。UPnP 允许设备上的应用程序在需要时自动在您的路由器上打开相应的端口，并在完成任务后自动关闭这些端口。UPnP 能促进私有网络内的设备与外部设备或服务之间的无缝通信和数据交换。

NAT 端口转发（网络地址转换）

NAT 端口转发是一种网络配置过程，其中网络地址转换器（NAT）会修改传入流量的目标地址和端口，然后将其路由到正确的内部 IP 地址和端口。

举个例子，如果您想和朋友一起在线玩游戏，就可以使用路由器的 NAT 端口转发功能，让朋友能够成功连接到您家中的游戏服务器。

如何设置端口转发

端口转发的具体操作步骤可能会因您使用的路由器型号或品牌而有所不同，但以下是一个通用的设置流程概述：

1. 1.登录您的路由器：您通常可以在浏览器的地址栏中输入您路由器的 IP 地址（也就是默认网关）来登录管理界面。然后，输入您的管理员用户名和密码，点击“登录”按钮；
2. 2.找到端口转发设置面板：虽然每个路由器的界面都不尽相同，但您需要查找的选项通常会标记为“转发”、“端口转发”、“防火墙”或类似的名称。找到这个菜单项并点击进入；
3. 3.TP-Link 路由器用户：如果您使用的是 TP-Link 路由器，请在下拉菜单中选择“虚拟服务器”选项；
4. 4.创建新的端口转发规则：点击“添加新规则”或“添加规则”按钮，创建一个自定义的端口转发条目；
5. 5.配置端口：选择一种配置方式，然后输入内部端口号和外部端口号。外部端口是互联网上的设备用于连接到您网络的端口号，而内部端口是您本地网络中设备用于监听传入连接的端口号。在大多数情况下，外部端口和内部端口不必完全一致，只要外部和内部设备都知道各自使用的端口即可。请务必确保没有其他服务正在使用相同的端口；
6. 6.指定目标设备：设置端口后，输入您想要连接的设备的本地 IP 地址（请注意，这与您路由器的 IP 地址不同）；
7. 7.保存设置：点击“保存”按钮以保存您的配置。

现在，您的路由器就能够将发送到指定外部端口的任何请求直接转发到您的目标设备，且不会暴露其私有 IP 地址。那么，这个请求看起来会是什么样子的呢？

假设您设备的 IP 地址是 192.168.1.100。如果您将连接家庭监控摄像头的端口设置为 554，那么通过端口转发直接连接到摄像头的请求将发送到以下地址：192.168.1.100:554。这就像拨打电话号码时添加分机号一样。

您还可以设置端口转发来提升您的在线游戏体验。例如，转发 PlayStation 的特定端口可以提高连接速度，带来更流畅的游戏体验。同样，转发 Xbox One 的端口也能有效提升速度并减少延迟。

如何测试端口转发？

成功配置端口转发后，您应该验证端口是否已成功打开并正常工作。测试端口转发最简单的方法是使用在线端口检测工具，例如 canyouseeme.org。有许多免费的在线网站提供此类服务。

以下是操作步骤：

1. 1.访问一个在线端口检测网站；
2. 2.在指定的输入框中键入您已转发的端口号；
3. 3.点击“检查端口”或类似的按钮。

当您使用端口转发检测工具时，可能会看到以下几种结果：

• “端口已打开”表示您已正确配置端口转发设置，与该端口关联的服务可以从互联网进行访问。
• “端口已关闭”表示您的端口转发设置可能存在错误。请仔细检查您的路由器配置并进行相应的调整。
• “端口被过滤或阻止”表示某些因素阻止了该端口上的流量自由地流向其目标位置。这可能是您的互联网服务提供商（ISP）对该端口的流量进行了限制，也可能是您的网络中存在某些防火墙规则或其他安全措施正在阻止或过滤特定类型的流量。

端口转发是否安全？

如果配置得当，端口转发本身是安全的。然而，不正确的配置可能会显著增加您的网络暴露风险和潜在漏洞。

您可以将路由器的端口想象成一道道门，其中绝大多数都是锁上的。来自互联网的信息仍然可以进入您的网络——它只是需要经过路由器的检查和允许。但是，当其中一扇门被解锁时，任何试图通过这扇门的人都可以直接打开它并进入您的内部网络。

从某种意义上说，情况没那么糟糕：一个打开的端口（或一扇未锁的门）只会通向它所指向的特定设备。但正如我们将要解释的那样，端口转发在多种情况下都可能使您面临在线威胁。

端口转发与 VPN 兼容吗？

VPN 端口转发允许传入的数据绕过 NAT 防火墙，理论上可以加快互联网连接速度。使用 VPN 端口转发有以下几个常见原因：提高下载速度、方便您在外出时远程访问自己的电脑，以及与游戏服务器建立更直接的连接。

端口转发和端口触发功能通常可以与某些 VPN 协议配合使用，但不适用于 NordVPN。我们的应用程序会阻止您设备上几乎所有的端口通信，仅保留部分常用应用程序所需的必要端口。这是一个我们经过深思熟虑后做出的决定，虽然可能会给部分用户带来不便，但其背后有着重要的安全考量。

通过开放端口浏览互联网会将您暴露于多种潜在的安全风险之中。阻止除 VPN 功能所必需端口之外的所有端口访问，是 NordVPN 保护您在线安全的核心措施之一。否则，我们将无法确保您的网络安全。

如果您还未开始使用 VPN，可立即下载免费的 VPN 应用程序，并选择适合您的订阅套餐。启动应用程序后，您便能享受行业领先的加密技术的全面保护。

端口转发 VS 端口触发

端口触发与端口转发在工作方式上存在一些关键区别。虽然其中一些差异有助于弥补端口转发的一些安全漏洞，但也限制了端口触发的应用场景。

首先，当您设置端口触发时，所选端口在默认情况下是关闭的。只有当检测到符合触发条件的出站通信时，该端口才会被临时打开。

其次，当触发端口打开的出站通信结束后，该端口会在一段指定的时间后自动关闭。这种机制提高了连接的安全性，因为本地设备掌握着连接的主动权。然而，这也意味着这些连接难以或几乎无法从外部主动发起。

第三，端口触发在创建触发条件时不需要配置特定设备的 IP 地址。这意味着网络中的任何设备都可以发起符合触发条件的连接，但同一时间只能有一个设备使用该连接。而在端口转发中，您需要明确指定将连接转发到哪个设备的 IP 地址。根据路由器和设备的具体情况，这可能会使端口触发在某些方面比端口转发更安全，而在其他方面则不然。