NAT Fonte opções de endereço de tradução em Junos
serviços de segurança não são os únicos serviços prestados pela SRX (embora os serviços de segurança são as mais vital). É possível configurar outros serviços, tais como NAT tradução de endereços de origem, também. Em essência, a NAT deve apenas ser configurado para estender a utilidade de endereços IP. NAT faz isso substituindo um conjunto de informações de endereço cabeçalho do pacote para outra, de acordo com uma regra configurada.
Alguns consideram NAT como uma espécie de serviço de segurança. No entanto, NAT não pretende ser um serviço de segurança. No entanto, também é verdade que disfarçando endereço de origem verdadeira do hospedeiro (e porta!) Fornece uma medida de segurança não prontamente disponíveis através de outros meios.
Por padrão, as rotas SRX pacotes que passam os testes de política de segurança, mas não traduzem os endereços IP de origem e de destino. Os pacotes que fluem através de uma sessão demonstrar este ponto. Note-se que o Dentro e Fora endereços estão inalterados como os pacotes de fluxo para o destino e vice-versa.
raiz# mostrar sessão de fluxo de segurançaSession ID: 100001790, Nome da política: admins_to_untrust / 4, Timeout: 1800In: 192.168.2.2/4781 - 209.239.112.126/80-tcp, Se: ge-0/0 / 0.0Out: 209.239.112.126/80 - 192.168.2.2 / 4781-tcp, Se: ge-0/0 / 2,0 ...
Você pode configurar o NAT para fornecer este serviço de tradução de endereços no SRX com bastante facilidade.
Três grandes opções NAT estão disponíveis no SRX: fonte de destino, e estático. Os dois primeiros traduzir os endereços de origem ou de destino com base em um conjunto de endereços, enquanto que a última opção mapeia estaticamente endereços de um para outro (para os servidores e impressoras de rede têm estável, mas escondido, endereços).
Depois de decidir sobre a opção NAT você quiser, você pode ajustar outras opções. Especificamente, a opção disponível é uma escolha entre o uso de tradução da interface da fonte ao egresso ou traduzir a porta e endereço IP (tecnicamente, este é NATP - NAT com portas - mas NAT pessoas frustrantemente só tendem a chamar tudo NAT).
Note-se que, além de traduzir o endereço IP de origem para o endereço IP de saída interface ge-0/0/2, o SRX traduz também a porta de origem. Esta é uma forma muito comum de NAT que oculta os endereços IP locais privados e portos a partir da Internet pública global.
No entanto, é preciso lembrar que o SRX não foi projetado para diferenciar entre um # 147-privada # 148- LAN ea # # 147 pública 148- Internet. O SRX conhece apenas zonas, e estes devem ser configurados corretamente para prestar o serviço NAT esperado.
Além disso, embora as regras NAT pode parecer muito com uma política de segurança, o SRX trata o serviço NAT de forma independente do serviço de segurança (as regras de NAT está sob um separado [Nat de segurança editar] hierarquia).
Esta característica permite que regras de NAT para ser ajustado sem afetar as políticas de segurança, mas também exige uma análise cuidadosa. NAT não tem nada a ver com se um pacote é accepted- apenas as políticas de segurança pode fazer isso.