在現實網絡環境下，經常遇到企業內網服務器需要開放給外網用戶訪問等問題，最直接的做法就是將WEB服務器的端口映射出去，但是現實場景中，經常會看到有端口映射、DMZ和UPnP等方式實現映射的效果，也都能達到端口映射的效果，但是終歸他們之間是有區別的，那么今天就來說一下DMZ、端口映射及UPnP的作用及區別。

DMZ

DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器等。DMZ相當于映射所有的端口，并且直接把主機暴露在網關中

DMZ區的作用

一般網絡分成內網和外網，也就是LAN和WAN，那么，當你有1臺物理位置上的1臺服務器，需要被外網訪問，并且，也被內網訪問的時候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因為防火墻默認情況下，是為了保護內網，所以，一般的策略是禁止外網訪問內網，許可內網訪問外網。但如果這個服務器能被外網所訪問，那么，就意味著這個服務器已經處于不可信任的狀態，那么，這個服務器就不能（主動）訪問內網。

端口映射

端口映射就是將外網主機的IP地址的一個端口映射到內網中一臺機器，提供相應的服務。當用戶訪問該IP的這個端口時，服務器自動將請求映射到對應局域網內部的機器上。端口映射有動態和靜態之分。

▲ 動態端口映射：

內網中的一臺電腦要訪問網站，會向NAT網關發送數據包，包頭中包括對方網站IP、端口和本機IP、端口，NAT網關會把本機IP、端口替換成自己的公網IP、一個未使用的端口，并且會記下這個映射關系，為以后轉發數據包使用。
然后再把數據發給網站，網站收到數據后做出反應，發送數據到NAT網關的那個未使用的端口，然后NAT網關將數據轉發給內網中的那臺電腦，實現內網和公網的通訊.當連接關閉時，NAT網關會釋放分配給這條連接的端口，以便以后的連接可以繼續使用。
動態端口映射其實也就是NAT網關的工作方式。

▲ 靜態端口映射：

就是在NAT網關上開放一個固定的端口，然后設定此端口收到的數據要轉發給內網哪個IP和端口，不管有沒有連接，這個映射關系都會一直存在。就可以讓公網主動訪問內網的一臺電腦。

UPnP

UPnP 范圍廣泛，原因是它面向的是家庭網絡、臨近網絡及小型企業和商住樓中的網絡。
以下是BC官方網站對UPnP的解釋：UPnP（Universal Plug and Play），通用即插即用，是一組協議的統稱，不能簡單理解為UPnP=“自動端口映射”。

在BitComet下載中，UPnP包含了2層意思：
▲ 對于一臺內網電腦，BitComet的UPnP功能可以使網關或路由器的NAT模塊做自動端口映射，將BitComet監聽的端口從網關或路由器映射到內網電腦上。
▲ 網關或路由器的網絡防火墻模塊開始對Internet上其他電腦開放這個端口。對于一般的使用者來講，簡單的把UPnP理解為自動端口映射就可以了。它就是一種基于TCP/IP協議的，針對設備彼此間的通訊而制訂的新的Internet協議，目的就是希望未來所有聯入Internet中的設備能夠不受網關阻礙的相互通信。

UPnP、DMZ、端口映射、三者區別區 別

端口映射：

端口映射是將一臺主機IP地址的某個端口映射到另外一個IP地址的某個端口上，當用戶訪問提供映射端口的主機的該端口時，服務器自動將請求轉到提供這種特定服務的主機，端口映射可以讓內部網絡中某臺機器對外部提供服務，而不是將真IP地址直接轉到內部提供服務的主機。

DMZ：

DMZ相當于映射所有的端口，并且直接把主機暴露在網關中。DMZ是為了讓外網能訪問內部的資源，也就是這個服務器，而內網呢，也能訪問這個服務器，但這個服務器是不能主動訪問內網的。為了讓物理位置在內網的，并且，希望能被外網所訪問的這樣的一個區域。

UPnP：

由操作系統和應用與路由器協商開放哪個端口，必須同時滿足支持UPnP，缺一不可，否則不能實現。