หากคุณกำลังอ่านบทความนี้อยู่ ยินดีด้วย! คุณโต้ตอบกับเซิร์ฟเวอร์อื่นบนอินเทอร์เน็ตได้สำเร็จโดยใช้พอร์ต 80 และ 443 ซึ่งเป็นพอร์ตเครือข่ายแบบเปิดมาตรฐานสำหรับการรับส่งข้อมูลทางเว็บ หากพอร์ตเหล่านี้ถูกปิดบนเซิร์ฟเวอร์ของเรา คุณจะไม่สามารถอ่านบทความนี้ได้ พอร์ตที่ปิดช่วยให้เครือข่ายของคุณ (และเซิร์ฟเวอร์ของเรา) ปลอดภัยจากแฮกเกอร์
พอร์ตเว็บของเราอาจเปิดอยู่ แต่พอร์ตของเราเตอร์ที่บ้านไม่ควรเป็น เพราะจะเป็นการเปิดช่องโหว่สำหรับแฮ็กเกอร์ที่ประสงค์ร้าย อย่างไรก็ตาม คุณอาจต้องอนุญาตการเข้าถึงอุปกรณ์ของคุณผ่านทางอินเทอร์เน็ตโดยใช้การส่งต่อพอร์ตเป็นครั้งคราว เพื่อช่วยให้คุณเรียนรู้เพิ่มเติมเกี่ยวกับการส่งต่อพอร์ต นี่คือสิ่งที่คุณจำเป็นต้องรู้
การส่งต่อพอร์ตคืออะไร
การส่งต่อพอร์ตเป็นกระบวนการบนเราเตอร์เครือข่ายท้องถิ่นที่ส่งต่อความพยายามในการเชื่อมต่อจากอุปกรณ์ออนไลน์ไปยังอุปกรณ์เฉพาะบนเครือข่ายท้องถิ่น ทั้งนี้ต้องขอบคุณกฎการส่งต่อพอร์ตบนเราเตอร์เครือข่ายของคุณที่ตรงกับความพยายามเชื่อมต่อกับพอร์ตที่ถูกต้องและที่อยู่ IP ของอุปกรณ์ในเครือข่ายของคุณ
เครือข่ายภายในอาจมีที่อยู่ IP สาธารณะเพียงที่อยู่เดียว แต่อุปกรณ์แต่ละเครื่องในเครือข่ายภายในของคุณมี IP ภายในของตัวเอง การส่งต่อพอร์ตจะเชื่อมโยงคำขอภายนอกเหล่านี้จาก A (IP สาธารณะและพอร์ตภายนอก) ไปยัง B (พอร์ตที่ร้องขอและที่อยู่ IP ในเครื่องของอุปกรณ์บนเครือข่ายของคุณ)
เพื่ออธิบายว่าทำไมสิ่งนี้จึงอาจมีประโยชน์ สมมติว่าเครือข่ายในบ้านของคุณเป็นเหมือนป้อมปราการยุคกลางเล็กน้อย แม้ว่าคุณจะสามารถมองออกไปนอกกำแพงได้ แต่คนอื่นๆ จะไม่สามารถมองเข้าไปหรือฝ่าฝืนการป้องกันของคุณได้—คุณปลอดภัยจากการถูกโจมตี
ด้วยไฟร์วอลล์เครือข่ายแบบบูรณาการ เครือข่ายของคุณอยู่ในตำแหน่งเดียวกัน คุณสามารถเข้าถึงบริการออนไลน์อื่นๆ เช่น เว็บไซต์หรือเซิร์ฟเวอร์เกม แต่ผู้ใช้อินเทอร์เน็ตรายอื่นไม่สามารถเข้าถึงอุปกรณ์ของคุณได้ สะพานชักถูกยกขึ้น เนื่องจากไฟร์วอลล์ของคุณบล็อกความพยายามจากการเชื่อมต่อภายนอกเพื่อเจาะเครือข่ายของคุณ
อย่างไรก็ตาม มีบางสถานการณ์ที่ไม่พึงปรารถนาในระดับนี้ หากคุณต้องการเรียกใช้เซิร์ฟเวอร์บนเครือข่ายในบ้านของคุณ (เช่น ใช้ Raspberry Pi ) จำเป็นต้องมีการเชื่อมต่อภายนอก
นี่คือที่มาของการส่งต่อพอร์ต เนื่องจากคุณสามารถส่งต่อคำขอภายนอกเหล่านี้ไปยังอุปกรณ์เฉพาะโดยไม่กระทบต่อความปลอดภัยของคุณ
ตัวอย่างเช่น สมมติว่า คุณกำลังเรียกใช้เว็บเซิร์ฟเวอร์ในพื้นที่บนอุปกรณ์ที่มีที่อยู่ IP ภายใน 192.168.1.12ในขณะที่ที่อยู่ IP สาธารณะของคุณคือ 80.80.100.110คำขอภายนอกไปยังพอร์ต 80(80.90.100.110:80) จะได้รับอนุญาต ต้องขอบคุณกฎการส่งต่อพอร์ต โดยมีการรับส่งข้อมูลที่ส่งต่อไปยัง พอร์ต 80บน 192.168.1.12
ในการดำเนินการนี้ คุณจะต้องกำหนดค่าเครือข่ายของคุณเพื่ออนุญาตการส่งต่อพอร์ต จากนั้นจึงสร้างกฎการส่งต่อพอร์ตที่เหมาะสมในเราเตอร์เครือข่ายของคุณ คุณอาจต้องกำหนดค่าไฟร์วอลล์อื่นๆ ในเครือข่ายของคุณ รวมทั้ง ไฟร์วอลล์หน้าต่าง เพื่อให้มีการรับส่งข้อมูล
เหตุใดคุณจึงควรหลีกเลี่ยง UPnP (การส่งต่อพอร์ตอัตโนมัติ)
แข็งแกร่ง>
การตั้งค่าการส่งต่อพอร์ตบนเครือข่ายท้องถิ่นของคุณไม่ใช่เรื่องยากสำหรับผู้ใช้ขั้นสูง แต่สามารถสร้างปัญหาทุกประเภทสำหรับมือใหม่ เพื่อช่วยแก้ปัญหานี้ ผู้ผลิตอุปกรณ์เครือข่ายได้สร้างระบบอัตโนมัติสำหรับการส่งต่อพอร์ตที่เรียกว่า UPnP(หรือ Universal Plug and Play)
แนวคิดเบื้องหลัง UPnP คือ (และคือ) อนุญาตให้แอปและอุปกรณ์บนอินเทอร์เน็ตสร้างกฎการส่งต่อพอร์ตบนเราเตอร์ของคุณโดยอัตโนมัติเพื่ออนุญาตการรับส่งข้อมูลภายนอก ตัวอย่างเช่น UPnP อาจเปิดพอร์ตโดยอัตโนมัติและส่งต่อการรับส่งข้อมูลสำหรับอุปกรณ์ที่ใช้เซิร์ฟเวอร์เกมโดยไม่จำเป็นต้องกำหนดค่าการเข้าถึงด้วยตนเองในการตั้งค่าเราเตอร์ของคุณ
แนวคิดนี้ยอดเยี่ยม แต่น่าเศร้าที่การประหารชีวิตมีข้อบกพร่อง—หากไม่เป็นอันตรายอย่างยิ่ง UPnP เป็นความฝันของมัลแวร์ เนื่องจากจะถือว่าแอปหรือบริการใดๆ ที่ทำงานบนเครือข่ายของคุณโดยอัตโนมัตินั้นปลอดภัย UPnP แฮ็คเว็บไซต์ เปิดเผยจำนวนความไม่ปลอดภัยที่แม้ในปัจจุบันจะรวมอยู่ในเราเตอร์เครือข่าย
จากมุมมองด้านความปลอดภัย วิธีที่ดีที่สุดคือ ผิดพลาดในด้านของความระมัดระวัง แทนที่จะเสี่ยงต่อความปลอดภัยเครือข่ายของคุณ ให้หลีกเลี่ยงการใช้ UPnP สำหรับการส่งต่อพอร์ตอัตโนมัติ (และหากเป็นไปได้ ให้ปิดการใช้งานทั้งหมด) คุณควรสร้างกฎการส่งต่อพอร์ตด้วยตนเองสำหรับแอปและบริการที่คุณเชื่อถือและไม่มีช่องโหว่ที่ทราบแทน
วิธีตั้งค่าการส่งต่อพอร์ตบนเครือข่ายของคุณ
หากคุณหลีกเลี่ยง UPnP และต้องการตั้งค่าการส่งต่อพอร์ตด้วยตนเอง คุณสามารถทำได้จากหน้าการดูแลเว็บของเราเตอร์ หากคุณไม่แน่ใจว่าจะเข้าถึงข้อมูลนี้ได้อย่างไร โดยปกติแล้วคุณจะพบข้อมูลที่ด้านล่างของเราเตอร์หรือรวมอยู่ในคู่มือเอกสารของเราเตอร์
คุณสามารถเชื่อมต่อกับ หน้าผู้ดูแลระบบของเราเตอร์โดยใช้ที่อยู่เกตเวย์เริ่มต้นสำหรับเราเตอร์ของคุณ โดยทั่วไปคือ 192.168.0.1หรือรูปแบบที่คล้ายกัน—พิมพ์ที่อยู่นี้ลงในแถบที่อยู่ของเว็บเบราว์เซอร์ของคุณ คุณจะต้องตรวจสอบสิทธิ์โดยใช้ชื่อผู้ใช้และรหัสผ่านที่ให้มากับเราเตอร์ของคุณ (เช่น ผู้ดูแลระบบ)
การกำหนดค่าที่อยู่ IP แบบคงที่โดยใช้การสำรอง DHCP
เครือข่ายท้องถิ่นส่วนใหญ่ใช้การจัดสรร IP แบบไดนามิกเพื่อกำหนดที่อยู่ IP ชั่วคราวให้กับอุปกรณ์ที่เชื่อมต่อ หลังจากช่วงเวลาหนึ่ง ที่อยู่ IP จะได้รับการต่ออายุ ที่อยู่ IP ชั่วคราวเหล่านี้อาจถูกนำกลับมาใช้ใหม่และใช้ที่อื่น และอุปกรณ์ของคุณอาจมีที่อยู่ IP ในเครื่องที่แตกต่างกัน
อย่างไรก็ตาม การส่งต่อพอร์ตกำหนดให้ที่อยู่ IP ที่ใช้สำหรับอุปกรณ์ในเครื่องใดๆ ยังคงเหมือนเดิม คุณสามารถ กำหนดที่อยู่ IP แบบคงที่ ได้ด้วยตนเอง แต่เราเตอร์เครือข่ายส่วนใหญ่อนุญาตให้คุณกำหนดการจัดสรรที่อยู่ IP แบบคงที่ให้กับอุปกรณ์บางอย่างในหน้าการตั้งค่าเราเตอร์ของคุณโดยใช้การจอง DHCP
แต่น่าเสียดายที่ผู้ผลิตเราเตอร์แต่ละราย และขั้นตอนที่แสดงในภาพหน้าจอด้านล่าง (ทำโดยใช้เราเตอร์ TP-Link) อาจไม่ตรงกับเราเตอร์ของคุณ ในกรณีนี้ คุณอาจต้องดูเอกสารของเราเตอร์เพื่อรับการสนับสนุนเพิ่มเติม
ในการเริ่มต้น ให้เข้าถึงหน้าการดูแลระบบของเราเตอร์เครือข่ายของคุณโดยใช้เว็บเบราว์เซอร์และรับรองความถูกต้องโดยใช้ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบของเราเตอร์ เมื่อคุณลงชื่อเข้าใช้แล้ว ให้เข้าถึงพื้นที่การตั้งค่า DHCP ของเราเตอร์ของคุณ
คุณอาจสแกนหาอุปกรณ์ในเครื่องที่เชื่อมต่ออยู่แล้วได้ (เพื่อป้อนกฎการจัดสรรที่จำเป็นโดยอัตโนมัติ) หรือคุณ อาจต้องระบุ ที่อยู่ MAC เฉพาะ สำหรับอุปกรณ์ที่คุณต้องการกำหนด IP แบบคงที่ให้ สร้างกฎโดยใช้ที่อยู่ MAC ที่ถูกต้องและที่อยู่ IP ที่คุณต้องการใช้ จากนั้นบันทึกรายการ
การสร้างกฎการส่งต่อพอร์ตใหม่
หากอุปกรณ์ของคุณมี IP แบบคงที่ (ตั้งค่าด้วยตนเองหรือจองไว้ในการตั้งค่าการจัดสรร DHCP) คุณสามารถย้ายไปสร้างกฎการส่งต่อพอร์ตได้ ข้อกำหนดสำหรับสิ่งนี้อาจแตกต่างกันไป ตัวอย่างเช่น เราเตอร์ TP-Link บางตัวอ้างถึงคุณลักษณะนี้เป็น เซิร์ฟเวอร์เสมือนในขณะที่เราเตอร์ของ Cisco อ้างถึงโดยใช้ชื่อมาตรฐาน (การส่งต่อพอร์ต)
ในเมนูที่ถูกต้องบนหน้าการดูแลเว็บของเราเตอร์ของคุณ ให้สร้างกฎการส่งต่อพอร์ตใหม่ กฎจะต้องใช้พอร์ต ภายนอก(หรือช่วงพอร์ต) ที่คุณต้องการให้ผู้ใช้ภายนอกเชื่อมต่อ พอร์ตนี้เชื่อมโยงกับที่อยู่ IP สาธารณะของคุณ (เช่น พอร์ต 80สำหรับ IP สาธารณะ 80.80.30.10)
นอกจากนี้ คุณจะต้องกำหนดพอร์ต ภายในที่คุณต้องการส่งต่อการรับส่งข้อมูลจากพอร์ต ภายนอกไปยัง นี่อาจเป็นพอร์ตเดียวกันหรือพอร์ตอื่น (เพื่อซ่อนวัตถุประสงค์ของการรับส่งข้อมูล) นอกจากนี้ คุณจะต้องระบุที่อยู่ IP แบบคงที่สำหรับอุปกรณ์ท้องถิ่นของคุณ (เช่น 192.168.0.10) และโปรโตคอลพอร์ตที่ใช้งาน (เช่น TCP หรือ UDP)
ขึ้นอยู่กับเราเตอร์ของคุณ คุณสามารถเลือกประเภทบริการเพื่อกรอกข้อมูลกฎที่จำเป็นโดยอัตโนมัติ (เช่น HTTPสำหรับพอร์ต 80 หรือ HTTPSสำหรับพอร์ต 443). เมื่อคุณกำหนดค่ากฎแล้ว ให้บันทึกเพื่อใช้การเปลี่ยนแปลง
ขั้นตอนเพิ่มเติม
เราเตอร์เครือข่ายของคุณควรใช้การเปลี่ยนแปลงกับกฎไฟร์วอลล์ของคุณโดยอัตโนมัติ . ความพยายามในการเชื่อมต่อภายนอกกับพอร์ตที่เปิดควรส่งต่อไปยังอุปกรณ์ภายในโดยใช้กฎที่คุณสร้างขึ้น แม้ว่าคุณอาจต้องสร้างกฎเพิ่มเติมสำหรับบริการที่ใช้พอร์ตหรือช่วงพอร์ตหลายพอร์ต
หากคุณประสบปัญหา คุณอาจต้องพิจารณาเพิ่มกฎไฟร์วอลล์เพิ่มเติมในไฟร์วอลล์ของซอฟต์แวร์พีซีหรือ Mac (รวมถึงไฟร์วอลล์ Windows) เพื่อให้การรับส่งข้อมูลผ่าน โดยปกติแล้ว Windows Firewall จะไม่อนุญาตให้มีการเชื่อมต่อภายนอก ดังนั้นคุณอาจต้องกำหนดค่านี้ในเมนูการตั้งค่าของ Windows
หาก Windows Firewall ทำให้คุณลำบาก คุณสามารถ ปิดการใช้งานชั่วคราว เพื่อสอบสวน อย่างไรก็ตาม เนื่องจากความเสี่ยงด้านความปลอดภัย เราขอแนะนำให้คุณเปิดใช้งาน Windows Firewall อีกครั้งหลังจากแก้ไขปัญหาแล้ว เนื่องจากมีการป้องกันเพิ่มเติมจาก ความพยายามในการแฮ็คที่เป็นไปได้
การรักษาความปลอดภัย เครือข่ายในบ้านของคุณ
คุณได้เรียนรู้วิธีตั้งค่าการส่งต่อพอร์ตแล้ว แต่อย่าลืมความเสี่ยง แต่ละพอร์ตที่คุณเปิดจะเพิ่มช่องอื่นผ่านไฟร์วอลล์ของเราเตอร์ซึ่ง เครื่องมือสแกนพอร์ต สามารถค้นหาและใช้ในทางที่ผิด หากคุณต้องการเปิดพอร์ตสำหรับแอปหรือบริการบางอย่าง ให้จำกัดพอร์ตไว้ที่พอร์ตแต่ละพอร์ต แทนที่จะเปิดพอร์ตขนาดใหญ่ที่อาจรั่วไหลได้
หากคุณกังวลเกี่ยวกับเครือข่ายในบ้าน คุณสามารถทำได้ เพิ่มความปลอดภัยเครือข่ายของคุณโดย เพิ่มไฟร์วอลล์ของบริษัทอื่น ซึ่งอาจเป็นซอฟต์แวร์ไฟร์วอลล์ที่ติดตั้งบนพีซีหรือ Mac หรือไฟร์วอลล์ฮาร์ดแวร์ตลอด 24 ชั่วโมงทุกวัน เช่น Firewalla Gold ที่ต่ออยู่กับเราเตอร์เครือข่ายเพื่อปกป้องอุปกรณ์ทั้งหมดของคุณในครั้งเดียว