如何让外网访问内网的网站呢？

在数字化办公和生活场景中，经常会遇到需要让外网访问内网网站的情况。比如企业员工远程办公时，需要访问公司内部的业务系统网站；我们希望通过手机在外网查看家中基于内网搭建的智能家居控制页面。实现这一需求有多种技术方案，每种都有其独特之处，下面为你详细介绍。

一、端口映射实现外网访问内网网站
端口映射通常在路由器层面进行配置，其核心原理是将外网的特定端口请求精准转发到内网中运行网站服务设备的对应端口。假设你的路由器公网 IP 是 101.10.10.10，内网里运行网站的服务器 IP 为 192.168.0.100，网站服务端口是 80。在路由器中设置把外部端口 80 映射到内部 IP 192.168.0.100 的 80 端口后，外网用户只要访问http://101.10.10.10，就能访问到内网的这个网站。
操作步骤（以常见家用路由器为例）：
1.进入路由器管理界面：打开浏览器，在地址栏输入路由器的管理 IP 地址，常见的如 192.168.1.1 或 192.168.0.1，这些信息一般能在路由器说明书中找到，输入后回车即可进入。
2.登录路由器：输入管理员账号和密码，初始的账号密码通常在说明书里，要是已经修改过，就使用修改后的登录信息。
3.寻找端口映射选项：在路由器管理界面里，查找 “端口映射”“虚拟服务器” 这类功能选项。不同品牌和型号的路由器，该选项所处位置可能不同，比如有的在 “高级设置” 里，有的在 “网络设置” 板块中。
4.添加映射规则：依次填写外部端口（如 80）、内部端口（与网站服务端口一致，如 80）、内部 IP 地址（运行网站的服务器内网 IP，如 192.168.0.100）等信息，确认无误后保存设置。
端口映射的优势在于设置相对简便，能直接把内网服务暴露在外网，访问速度可能较快。但它的弊端也很明显，直接暴露内网端口，容易遭受网络攻击，像端口扫描、恶意请求等，安全性较低。

二、利用 VPN 实现外网访问内网网站
VPN，即虚拟专用网络，它通过在公共网络上搭建一条加密隧道，让外网设备能安全地访问内网资源，就如同直接连接到内网一样。常见的 VPN 协议有 OpenVPN、L2TP 等。
以 OpenVPN 为例，搭建步骤如下：
1.准备服务器：需要一台拥有公网 IP 的服务器，并安装 Linux 操作系统，CentOS 是比较常用的选择。
2.安装 OpenVPN 软件包：通过 yum 命令进行安装，在服务器终端输入yum install openvpn，等待安装完成。
3.配置服务器参数：这一步包括生成证书和配置网络参数。生成证书可以借助 EasyRSA 工具，按照其官方文档的步骤，分别生成服务器和客户端证书。网络配置方面，需要修改 OpenVPN 的配置文件，一般路径为/etc/openvpn/server.conf，在文件里配置服务器监听的端口、使用的协议、客户端地址池等关键信息。
4.生成客户端配置文件：将生成好的客户端证书、密钥以及修改后的配置文件打包，下载到需要访问内网网站的设备上，然后导入到 OpenVPN 客户端中，连接成功后即可访问内网网站。
VPN 的显著优势是安全性高，数据在传输过程中被加密，能有效防止数据泄露和篡改。不过，它的搭建和维护相对复杂，需要具备一定的网络知识和服务器管理经验，而且在部分地区，非正规 VPN 的使用是受到限制的。

三、反向代理实现外网访问内网网站
反向代理服务器处于外网和内网之间，扮演中间人的角色。它接收外网的请求，然后把请求转发到内网的网站服务器上，再将服务器的响应返回给外网用户。常见的反向代理服务器软件有 Nginx 和 Apache。
以 Nginx 配置反向代理为例：
1.安装 Nginx：如果是基于 Debian 或 Ubuntu 系统，在终端输入以下命令安装：
apt - get update
apt - get install nginx
如果是基于 CentOS 系统，则使用 yum 命令安装：
yum install nginx
1.配置反向代理规则：在 Nginx 的配置文件中添加反向代理规则。一般在/etc/nginx/conf.d/目录下创建一个新的配置文件，比如example.com.conf，内容如下：
server {
listen 80;
server_name example.com; # 替换为你的域名或公网IP
location / {
proxy_pass http://192.168.1.100:80; # 替换为内网网站服务器的地址和端口
proxy_set_header Host $host;
proxy_set_header X - Real - IP $remote_addr;
proxy_set_header X - Forwarded - For $proxy_add_x_forwarded_for;
proxy_set_header X - Forwarded - Proto $scheme;
}
}
1.重启 Nginx 服务：保存配置文件后，在终端使用命令systemctl restart nginx重启 Nginx 服务，使配置生效。
反向代理的好处是大大提高了安全性，隐藏了内网服务器的真实 IP 地址，还能对请求进行过滤、缓存等处理，并且可以实现负载均衡，提升网站的可用性和性能。但它的配置相对复杂，需要对 Nginx 等反向代理软件有一定了解。

四、通过花生壳实现外网访问内网网站
花生壳是一款内网穿透和动态域名解析软件，专门为没有公网 IP 或动态公网 IP 的用户提供便捷的远程访问解决方案。
具体操作步骤如下：
1.下载并安装花生壳客户端：前往花生壳官方网站（https://hsk.oray.com/ ），根据自己的操作系统，下载对应的客户端，支持 Windows、Linux、Mac 等系统。下载完成后，运行安装程序进行安装。
2.注册并登录：安装完成后，打开花生壳客户端，使用 Oray 帐号登录。如果没有帐号，可以在官网进行注册。
3.添加内网映射：登录后，点击花生壳主界面右下角的 “+”，选择 “内网映射”。
-映射类型：可以选择自定义端口或是网站常用的 80 端口。如果网站使用了非标准端口，比如 8080，就选择自定义端口并填写 8080；如果是标准的 Web 服务（HTTP 协议，端口 80），直接选择 80 端口即可。
-内网主机：填写运行网站服务主机的局域网 IP 地址，例如 192.168.1.100。
-内网端口：填写对应网站服务的端口，如 Tomcat 的 Web 管理界面端口号一般为 8080，若网站使用该端口，此处就填写 8080。
1.生成外网访问地址：确认填写的信息无误后，点击 “确定”，花生壳会生成一个外网访问地址。通过这个外网访问地址，外网用户就能访问到内网的网站。
花生壳的优点是操作简单，不需要复杂的网络配置和专业知识，特别适合个人用户和小型企业快速实现外网访问内网网站。同时，它支持多种协议和操作系统，兼容性较好。
根据自身的技术能力、安全需求、成本预算等因素综合考量，若对安全性要求高且有技术实力，VPN 或反向代理是不错的选择；若追求简单易用、快速搭建，花生壳等内网穿透工具较为合适；而端口映射则适用于对安全性要求不高、网络环境相对简单的场景。

拓展阅读
1.什么是动态域名解析：动态域名解析是将动态变化的公网 IP 地址与固定域名进行绑定的技术，使设备在 IP 地址变化时仍能通过固定域名被访问。
2.HTTP 和 HTTPS 协议的区别：HTTP 是超文本传输协议，数据传输未加密，安全性较低；HTTPS 是 HTTP 加上 SSL/TLS 加密协议，数据传输加密，安全性更高，能防止数据被窃取和篡改 。
3.网络安全中的防火墙是什么：防火墙是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过，可防止外部非法网络访问和内部数据泄露。