NAT Source Address Translation Optionen in Junos
Sicherheitsdienste sind nicht die einzigen Dienstleistungen, die von der SRX geliefert (obwohl Sicherheitsdienste sind die wichtigsten). Sie können auch andere Dienste wie NAT Quelle Adressübersetzung konfigurieren, wie gut. Im Wesentlichen sollten NAT nur die Nützlichkeit von IP-Adressen zu erweitern konfiguriert werden. NAT tut dies durch einen Satz von Paket-Header-Adressinformationen für eine andere ersetzt wird, nach einer konfigurierten Regel.
Einige betrachten NAT als eine Art Sicherheitsdienst. Allerdings ist NAT nicht als Sicherheitsdienst vorgesehen. Dennoch ist es auch wahr, dass die Host-wirkliche Quelle Adresse Verschleierung (und Port!) Ein gewisses Maß an Sicherheit bietet nicht ohne weiteres verfügbar durch andere Mittel.
Standardmäßig werden die SRX leitet Pakete, die die Sicherheitspolitik Tests bestehen, aber es ist nicht die Quell- und Ziel-IP-Adressen zu übersetzen. Die Pakete durch eine Sitzung fließt zeigen diesen Punkt. Beachten Sie, dass die Im und Aus Adressen sind unverändert, wie die Pakete zum Ziel und zurück fließen.
Wurzel# zeigen Sicherheits Flow SitzungSession ID: 100001790, Name der Richtlinie: admins_to_untrust / 4, Timeout: 1800In: 192.168.2.2/4781 - 209.239.112.126/80-tcp, If: ge-0/0 / 0.0Out: 209.239.112.126/80 - 192.168.2.2 / 4781-tcp, If: ge-0/0 / 2,0 ...
Sie können NAT konfigurieren ganz einfach diese Adresse-Übersetzungsdienst auf dem SRX bieten.
Drei große NAT-Optionen sind auf dem SRX zur Verfügung: Zielort, und statisch. Die ersten beiden, die Quell- oder Zieladressen basierend auf einem Pool von Adressen zu übersetzen, während die letzte Option statisch-Adressen von einem zum anderen Karten (so die Server und Netzwerkdrucker haben stabil, aber verborgen, Anschriften) besteht.
Sobald Sie auf dem NAT-Option entscheiden Sie möchten, können Sie andere Optionen einzustellen. Insbesondere die zur Verfügung stehende Option ist eine Wahl Quelle-zu-Ausgangs-Schnittstelle Übersetzung oder die Übersetzung der Port und IP-Adresse (technisch zwischen verwenden, ist diese NATP - NAT mit Ports - aber NAT Menschen frustrierende neigen dazu, einfach alles nennen NAT).
Man beachte, dass zusätzlich zu der Übersetzung der Quellen-IP-Adresse auf die IP-Adresse auf der Egress-Schnittstelle ge-0/0/2, auch die SRX den Quellport übersetzt. Dies ist eine sehr verbreitete Form von NAT die privaten lokalen IP-Adressen und Ports aus dem globalen öffentlichen Internet verdeckt.
Allerdings müssen Sie daran denken, dass der SRX nicht zwischen einem zu unterscheiden, ist so konzipiert, # 147-private # 148- LAN und die # 147-public # 148- Internet. Der SRX kennt nur Zonen, und diese müssen korrekt den NAT-Dienst konfiguriert werden voraussichtlich zu liefern.
Auch, obwohl die NAT-Regeln wie eine Sicherheitspolitik sehr viel aussehen kann, die SRX behandelt den NAT-Dienst unabhängig von den Sicherheitsdienst (die NAT-Regeln sind im Rahmen eines gesonderten [Bearbeiten Sicherheit nat] Hierarchie).
Diese Eigenschaft ermöglicht NAT-Regeln ohne Auswirkungen auf die Sicherheitsrichtlinien angepasst werden, aber es erfordert auch eine sorgfältige Prüfung. NAT hat nichts damit zu tun, ob ein Paket accepted- nur die Sicherheitsrichtlinien kann das tun.