NAT Source Address Translation Valg i Junos

June 30  by Eliza

Sikkerhetstjenester er ikke de eneste tjenester levert av SRX (selv om sikkerhetstjenester er den mest vitale). Du kan konfigurere andre tjenester, for eksempel NAT kilde Address Translation, så vel. I hovedsak skal NAT utelukkende være konfigurert til å forlenge nyttigheten av IP-adresser. NAT gjør det ved anvendelse av ett sett av pakkehodet adresseinformasjon for en annen, i henhold til en konfigurert regel.

Noen anser NAT som en slags sikkerhetstjeneste. Imidlertid er NAT ikke ment som en sikkerhetstjeneste. Likevel er det også sant at skjule vertens virkelige kilden adresse (og port!) Er et mål på sikkerhet ikke er lett tilgjengelig gjennom andre virkemidler.

Som standard SRX ruter pakker som passerer sikkerhetspolitiske tester, men det gjør oversette ikke kilden og målet IP-adresser. De pakker som strømmer gjennom en sesjon demonstrere dette punktet. Legg merke til at inn- og ut-adresser er uendret som pakkene strømme til destinasjonen og tilbake.

root # viser sikkerhet flyt sesjon
Session ID: 100001790, Policy navn: admins_to_untrust / 4, Timeout: 1800
I: 192.168.2.2/4781 → 209.239.112.126/80;tcp, If: ge-0/0 / 0.0
Ut: 209.239.112.126/80 → 192.168.2.2/4781;tcp, If: ge-0/0 / 2.0
...
<Utgang avkortet>

Du kan konfigurere NAT for å gi denne adressen oversettelsestjeneste på SRX ganske enkelt.

Tre store NAT-valg er tilgjengelige på SRX: kilde, destinasjon, og statisk De to første sette kilde eller destinasjonsadresser basert på en pool av adresser, mens det siste alternativet statisk kart adresser fra til hverandre (slik at serverne og nettverk. skrivere har stabile, men skjulte, adresser).

Når du bestemmer deg på NAT alternativet du vil, kan du justere andre alternativer. Nærmere bestemt er det tilgjengelige alternativet et valg mellom å bruke kilde-til-utgang grensesnitt oversettelse eller sette porten og IP-adressen (teknisk, er dette NATP - NAT med porter - men NAT folk frustrerende tendens til å bare kalle alt NAT).

NAT Source Address Translation Valg i Junos


Legg merke til at i tillegg til å oversette kilden IP-adressen til IP-adressen på utgående grensesnitt ge-0/0/2, SRX oversetter også kilden port. Dette er en svært vanlig form for NAT som skjuler private lokale IP-adresser og porter fra det globale offentlige Internett.

Imidlertid må du huske at SRX ikke er laget for å skille mellom en "privat" LAN og "offentlig" Internet. SRX vet bare soner, og disse må konfigureres riktig å forsyne NAT tjenesten forventet.

Også, selv om NAT-regler kan se veldig mye som en sikkerhetspolicy, behandler SRX NAT tjenesten uavhengig av sikkerhetstjeneste (NAT reglene er under en egen [rediger sikkerhet nat] hierarki).

Denne karakteristikken kan NAT-regler som skal justeres uten at det påvirker sikkerhetspolitikk, men det krever også nøye overveielse. NAT har ingenting å gjøre med om en pakke blir akseptert; bare sikkerhetspolicyer kan gjøre det.