端口映射详解 IIS

端口映射详解

一、端口映射的定义

端口映射又称端口转发。端口映射过程就如同你家在一个小区里B栋2410室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的保安，保安很客气的告诉了他你家详细门牌号，这样你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象说法。

二、为什么要进行端口映射

目前的网络接入主要有2种：

1.ADSL连接猫再直接连接主机，这种情况主机是直接进行ADSL宽带拨号，连接上网通过运行CMD执行ipconfig /all命令可以查看到，PPP拨号连接所获取到得是一个公网IP地址，这种类型的网络是不需要做端口映射的（如下图所示）

2.ADSL通过路由器来进行拨号，主机通过路由器来进行共享上网，这种情况下主机获取到得通常会是一个192.168.x.x类型的私有内网IP地址，这类情况下，是需要在路由器做端口映射，转发端口到对应的服务器上；

三、端口映射的设置方法

常见端口列表：

要进行端口映射，首先需要了解清楚服务程序所需要映射的端口是多少

以下列举了部分服务需要映射的默认服务端口号

turbomail邮件服务 SMTP TCP25 POP3 TCP110

turbomail （webmail）服务 HTTP 8080

以下讲解几款市面主流品牌路由器的端口映射

1）Tp-link R460+

1、内网192.168.1.21是TurboMail服务器，TP-LINK系列路由器的默认管理地址为192.168.0.1，账号admin密码admin 登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目(如图)。

2、端口映射设置如下：服务端口号填写8080，如果填写为80-82则 代表映射80、81、82端口，IP地址填写内网WEB服务器的IP地址192.168.1.21，协议设置为TCP,若对端口协议类型

不了解可以设置 选择为ALL，代表所有（包括TCP和UDP），状态必须设置为生效。常用服务端口号，是作为一种帮助提示的作用，不需要选择，然后单击保存，映射成功！（如下图所示）

2）D-LINK DI624+A

内网192.168.0.21是TurboMail邮件服务器，需要 映射端口8080、25、110三个端口。设置如下：登陆路由器，默认的管理IP地址为192.168.0.1账号admin密码为 空。点路由器的进阶设定—虚拟服务器进行设置，首先需要在上方点激活，此项设置才生效。网域名称：此处可随意填写；个人IP地址：此处填写为内网服务器的 IP地址192.168.0.21；个人服务端口与公用服务端这2项均设置成25；排程设置成任何时间，最后点击执行，保存此设置。按照此方法添加110、8080端口（如下图所示）

3）磊科NR205+

内网192.168.1.21是TurboMail的服务器，需要 映射端口8080、25、110三个端口。登陆路由器选择（默认管理地址为192.168.0.1账号密码均为admin），选择NAT设置中的虚拟服务 设置。虚拟服务名称可以自定义设置，内网主机IP设置为服务器的IP地址192.168.1.21，协议选择设置为TCP，外部端口和内部端口均设置为 25，设置完点击添加。按照此操作继续添加映射8080端口和110端口。（如下图所示）

4）腾达402M

需要将TCP2006端口映射到192.168.0.58。设置方法如下：登陆路由器点击虚拟服务器，第一个选项设置为启用，常用端口不需要选择，常用端口之后设置为2006，IP地址设置为192.168.0.58，协议选择为TCP，设置完成后点击后面的添加按钮。（如下图所示）

5）华为MT800

1、登陆路由器（默认管理IP为192.168.1.1账号密码均为admin），点击路由器左边菜单当中的其他设定，再选择NAT设置选项。（如下图所示）

2、然后在NAT设置中点击允许，单击下面的添加按钮，进入设置界面。（如下图所示）

3、在规则类型选择为REDIRECT，协议选择TCP，本地地址填写为本地服务器的IP地址，全局起始终止地址不需要填写，起始端口和终止端口填上你需要映射的端口号，然后点击提交。（如下图所示）

6）LINKSYS WRT54G

登陆到路由器的管理界面，选择菜单中的Applications&Gaming选项，在左边的下拉菜单中选择 Port Range Forward，进入端口映射设置界面。

Application 此项设置为映射名称，自定义填写；

Star和 End设置映射的+置即可。

第二篇：IIS应用程序池以及应用程序池详解

IIS应用程序池以及应用程序池详解

IIS 6的核心在于工作进程隔离模式，而应用程序池则是定义工作进程如何进行工作，因此，可以说应用程序池是整个IIS 6的核心。

和IIS 5中只能使用单个应用程序池不同，工作在工作进程隔离模式的IIS 6可以创建多个应用程序池，不同的应用程序池之间是完全隔离的，某个应用程序池停止服务时不会影响到其他应用程序池。

在使用应用程序池之前，你应该确定你所需要的应用程序池数量。可能有很多朋友会认为，既然不同的应用程序池之间是完全隔离的，那么我只需要为每个Web站点创建一个应用程序池就可以了。这个办法在IIS服务器上具有较少的Web站点数量时可以使用，但是如果IIS服务器上具有很多Web站点数量，那么这个办法就不适用了，因为不同的应用程序池在被访问时都会创建各自的工作进程，当大量的工作进程并发工作时会消耗大量的系统资源和CPU利用率，反而会降低服务器性能。你应该根据Web站点的重要性、隔离性、所运行代码的安全性和稳定性等来对IIS服务器上所具有的Web站点进行划分，然后根据情况来决定所需要的应用程序池数量。对于那些非常重要的Web站点、需要单独隔离的Web站点、所运行代码稳定性和安全性并不可靠的Web站点配置为使用各自独立的应用程序池，而将其他普通的Web站点配置为使用一个公共的应用程序池。

默认情况下，在安装IIS时会创建一个默认网站并创建一个名为DefaultAppPool的应用程序池为其使用；默认配置下的应用程序池已经可以很好的进行工作，建议你只有在特别需要时才对应用程序池进行配置。

配置应用程序池属性

在IIS管理控制台中展开应用程序池文件夹，然后右击对应的应用程序池，点击属性，你可以在应用程序池的属性中进行以下配置：

回收

在回收标签，你可以设置工作进程的回收方式：

? 回收工作进程（分钟）：在工作进程运行多少分钟后回收工作进程，默认启用，并且设

置为1740分钟（29小时）；

? 回收工作进程（请求数目）：在工作进程处理多少 个HTTP请求后终止此工作进程，

默认禁用，如果启用则默认值为35000；

? 在下列时间回收工作进程：在指定的时间回收工作进程，默认禁用；如需启用，勾选后

点击添加按钮添加回收的时间即可，使用24小时制定义回收的时间；

?

? 消耗太多内存时回收工作进程： 最大虚拟内存（兆）：当工作进程使用的虚拟内存达到设置的值时回收工作进

程，默认禁用，如果启用则默认值为500 M；建议设置为不超过虚拟内存总数的70％； ? 最大使用的内存（兆）：当工作进程使用的物理内存达到设置的值时回收工作

进程，默认禁用，如果启用则默认值为192 M；建议设置为不超过物理内存总数的60％； 另外需要注意的是，应用程序池具有以下两种工作进程回收方式，不过这两种回收方式均不会造成Web服务的中断：

? 默认情况下，应用程序池使用重叠回收方式。在这种方式下，当应用程序池要关闭某个

工作进程时，会先创建一个工作进程，直到新的工作进程成功创建后才关闭旧的工作进程； ? 应用程序池也可以先关闭旧的工作进程，然后再创建新的工作进程。

如果Web应用程序不支持多实例运行，那么你必须配置应用程序池禁止使用重叠回收方式。此配置无法在IIS管理控制台中进行修改，只能通过在metabase.xml中修改对应应用程序池的

DisallowOverlappingRotation metabase属性为true进行。

性能

在性能标签你可以设置工作进程的运行方式：

? 在空闲此段时间后关闭工作进程（分钟）：当工作进程空闲多少分钟后关闭此工作进程，

这降低了空闲工作进程对系统资源和CPU性能的消耗，默认启用并且设置为20分钟；

? 核心请求队列限制为（请求次数）：当HTTP.sys接收到某个客户端发送的HTTP请求

时，如果处理此请求的对应应用程序池的工作进程还处于忙状态，则HTTP.sys将接收到的请求保存在对应应用程序池的请求队列中，直到工作进程空闲为止。此选项即用于设置此应用程序池的请求队列所能容纳的请求数量，默认情况下每个应用程序池的请求队列限制为保留1000个请求，如果超出则向客户端返回503错误，你可以根据需要适当进行修改，最大可以设置为65535。但是如果设置太大则会消耗大量的系统资源 ，而设置太小会导致客户端访问时频繁出现503错误。

? 启用CPU监视：监视此应用程序池的CPU使用率，默认未启用；如果某个应用程序池

占用的CPU利用率过多，那么可以通过配置此选项来限制此应用程序池；

? 最大CPU使用率（百分比）：所设置的应用程序池所能使用的最大CPU使用

率；启用CPU监视时默认值为100；

?

默认值为5；

? 刷新CPU使用率（分钟）：刷新CPU使用率的间隔时间；启用CPU监视时CPU使用率超过最大使用率时执行的操作：当此应用程序池的CPU使用率超

过所设置的最大CPU使用率时所进行的操作，启用CPU监视时默认为无，此时IIS只是在事件日志中进行记录而不进行其他操作；如果选择为关闭，那么IIS将关闭此应用程序池中的所有工作进程；

? Web园：在Web园中你可以配置此应用程序池所使用的最大工作进程数，默认为1，

最大可以设置为4000000； 配置使用多个工作进程可以提高该应用程序池处理请求的性能，但是在设置为使用多个工作进程之前，请考虑以下两点：

? 每一个工作进程都会消耗系统资源和CPU占用率；太多的工作进程会导致系统

资源和CPU利用率的急剧消耗；

? 每一个工作进程都具有自己的状态数据，如果Web应用程序依赖于工作进程保

存状态数据，那么可能不支持使用多个工作进程。

运行状况

在运行状况标签你可以配置应用程序池监视工作进程的运行状况，

? 启用Ping：默认情况下应用程序池配置为每隔30秒Ping工作进程，当工作进程没有

进行响应时，则认为此工作进程出现故障并默认配置为关闭此工作进程。你可以修改Ping的时间间隔，但是太长的Ping间隔可能会导致Web服务的中断，而太短的Ping间隔又会消耗更多的系统资源和CPU利用率，因此建议你保留默认配置；

? 启用快速失败保护：如果Web应用程序代码编写有问题，它可能会导致工作进程持续

出现问题。默认情况下应用程序池配置为启用快速失败保护，当工作进程在配置的时间段（默认为5分钟）内发生的失败次数超过了配置的值（默认为5次），则禁用此应用程序池。

? 启动时间限制：IIS等待属于此应用程序池的工作进程启动的时间，当工作进程启用时

间超出此设置值时，IIS会在事件日志中进行记录；

? 关闭时间限制：当IIS检测到某个工作进程出现故障时，将此工作进程标记为关闭，此

选项指定了IIS等待工作进程自动关闭的时间限制，如果超出此时间限制后工作进程尚未关闭，则IIS强行关闭工作进程。

标识

在标识标签，你可以配置工作进程所运行的用户账户。在IIS 5或者当IIS 6运行在IIS 5隔离模式时，工作进程运行在本地系统账户，而运行在工作进程隔离模式下的IIS 6的工作进程运行在网络服务账户下，这降低了系统被攻击的可能性。

你可以配置工作进程运行在预定义的本地系统、本地服务或网络服务账户下，也可以配置为使用某个自定义的用户账户。建议使用默认的网络服务账户；不过如果为了更高的安全性，可以配置使用自定义的用户账户，不过建议你只是将此自定义用户加入到IIS_WPG用户组中，因此IIS_WPG用户组包含了可以启动和运行工作进程的最小权限。