Options de traduction d'adresses source nAT dans Junos - Les services de sécurité

Les services de sécurité ne sont pas les seuls services fournis par le SRX (bien que les services de sécurité soient les plus vitaux). Vous pouvez également configurer d'autres services, tels que la traduction d'adresse source NAT. En substance, NAT devrait uniquement être configuré pour étendre l'utilité des adresses IP. NAT le fait en substituant un ensemble d'informations d'adresse d'en-tête de paquet à un autre, selon une règle configurée.

Certains considèrent le NAT comme une sorte de service de sécurité. Cependant, NAT n'est pas conçu comme un service de sécurité. Néanmoins, il est également vrai que déguiser l'adresse source réelle de l'hôte (et le port!) Fournit une mesure de sécurité qui n'est pas facilement disponible par d'autres moyens.

Par défaut, le SRX achemine les paquets qui réussissent les tests de politique de sécurité, mais il ne traduit pas les adresses IP source et de destination. Les paquets circulant à travers une session démontrent ce point. Notez que les adresses In et Out sont inchangées lorsque les paquets sont transmis à la destination et inversement.

root # afficher la session de flux de sécurité ID de session: 100001790, nom de la stratégie: admins_to_untrust / 4, timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, Si: ge-0/0/0. 0 Sortant: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Si: ge-0/0/2. 0 …

Vous pouvez configurer NAT pour fournir ce service de traduction d'adresse sur le SRX assez facilement.

Trois principales options NAT sont disponibles sur le SRX: statique source, destination, et statique. Les deux premiers traduisent les adresses source ou de destination en fonction d'un pool d'adresses, alors que la dernière option mappe statiquement les adresses les unes par rapport aux autres (les serveurs et les imprimantes réseau ont donc des adresses stables mais masquées).

Une fois que vous avez choisi l'option NAT souhaitée, vous pouvez ajuster d'autres options. Spécifiquement, l'option disponible est un choix entre l'utilisation de la traduction d'interface source-vers-sortie ou la traduction du port et de l'adresse IP (techniquement, NATP-NAT avec ports), mais les NAT ont tendance à tout appeler NAT >).

Notez qu'en plus de traduire l'adresse IP source vers l'adresse IP sur l'interface de sortie ge-0/0/2, le SRX traduit également le port source. C'est une forme très courante de NAT qui cache les adresses IP locales privées et les ports de l'Internet public mondial.

Cependant, vous devez vous rappeler que le SRX n'est pas conçu pour différencier un LAN "privé" de l'Internet "public". Le SRX ne connaît que les zones, et celles-ci doivent être configurées correctement pour fournir le service NAT attendu.

Même si les règles NAT ressemblent beaucoup à une politique de sécurité, le SRX traite le service NAT indépendamment du service de sécurité (les règles NAT se trouvent dans une hiérarchie distincte [edit security nat]).

Cette caractéristique permet d'ajuster les règles NAT sans affecter les politiques de sécurité, mais elle nécessite également un examen attentif. Le NAT n'a rien à voir avec l'acceptation d'un paquet. Seules les politiques de sécurité peuvent le faire.