NAT Kildeadresse Oversættelsesindstillinger i Junos

Sikkerhedstjenester er ikke de eneste tjenester, der leveres af SRX (selvom sikkerhedstjenester er mest vitale). Du kan også konfigurere andre tjenester, som f.eks. NAT-kildeadresseoversættelse. I det væsentlige skal NAT udelukkende konfigureres til at udvide anvendeligheden af ​​IP-adresser. NAT gør det ved at erstatte et sæt pakkeoverskriftsadresseoplysninger for en anden, ifølge en konfigureret regel.

Nogle betragter NAT som en slags sikkerhedstjeneste. NAT er dog ikke beregnet som en sikkerhedstjeneste. Ikke desto mindre er det også sandt at skjule værtens rigtige kildeadresse (og port!) Giver en sikkerhedsmåling, der ikke er let tilgængelig på andre måder.

Som standard forsyner SRX-ruterne pakker, der passerer sikkerhedspolitiske tests, men det oversætter ikke kilde- og destinations-IP-adresserne. Pakkerne, der flyder gennem en session, viser dette punkt. Bemærk, at ind- og udadresserne er uændrede, da pakkerne flyder til destinationen og tilbage.

root # Vis sikkerhedsflowsession Session ID: 100001790, Politik navn: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, hvis: ge-0/0/0. 0 ud: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, hvis: ge-0/0/2. 0 …

Du kan nemt konfigurere NAT til at levere denne adresseoversættelsestjeneste på SRX.

Tre vigtige NAT-indstillinger er tilgængelige på SRX: kilde, destination, og statisk. De første to oversætter kilden eller destinationsadresserne baseret på en pulje af adresser, mens den sidste mulighed statisk kort adresserer fra den ene til den anden (så serverne og netværksprinterne har stabile, men skjulte adresser).

Når du har valgt den ønskede NAT-indstilling, kan du justere andre muligheder. Specifikt er den tilgængelige indstilling et valg mellem at bruge oversættelse af kilde til udgående grænseflade eller at oversætte port og IP-adresse (teknisk set er dette NATP-NAT med porte - men NAT-personer har frustrerende tendens til bare at kalde alt NAT >).

Bemærk, at udover at oversætte kilde-IP-adressen til IP-adressen på udgangsgrænseflade GE-0/0/2, oversætter SRX også kildeporten. Dette er en meget almindelig form for NAT, der skjuler private lokale IP-adresser og porte fra det globale offentlige internet.

Men du skal huske, at SRX ikke er designet til at skelne mellem et "privat" LAN og det "offentlige" internet. SRX kender kun zoner, og disse skal konfigureres korrekt for at levere NAT-tjenesten, der forventes.

Selvom NAT-reglerne kan se meget ud som en sikkerhedspolitik, behandler SRX NAT-tjenesten uafhængigt af sikkerhedstjenesten (NAT-reglerne er under et separat [edit security nat] hierarki).

Denne karakteristik gør det muligt at justere NAT regler uden at påvirke sikkerhedspolitikkerne, men det kræver også omhyggelig overvejelse. NAT har intet at gøre med, om en pakke accepteres; kun sikkerhedspolitikkerne kan gøre det.