Junosmumys'taki Kaynak Adres Çevirisi Seçenekleri

Güvenlik hizmetleri, SRX tarafından sunulan tek hizmet değildir (güvenlik hizmetleri en hayati önem taşır). NAT kaynak adresi çevirisi gibi diğer hizmetleri de yapılandırabilirsiniz. Özünde NAT, yalnızca IP adreslerinin kullanışlılığını genişletmek için yapılandırılmalıdır. NAT, yapılandırılmış bir kurala göre, bir paket üstbilgisi adresi bilgisini bir başkasına atarak yapar.

Bazıları NAT'ı bir çeşit güvenlik hizmeti olarak görüyorlar. Bununla birlikte, NAT bir güvenlik hizmeti olarak tasarlanmamıştır. Bununla birlikte, ev sahibinin gerçek kaynak adresini (ve portunu) gizlemek başka yollardan kolayca erişilemeyen bir güvenlik tedbiri sağladığı da doğrudur.

Varsayılan olarak, SRX güvenlik ilkesi testlerini geçen paketleri yönlendirir ancak kaynak ve hedef IP adreslerini çevirmez. Bir oturum boyunca akan paketler bu noktayı gösterir. Paketlerin hedefe ve arkaya aktığı için Giriş ve Çıkış adresleri değişmez.

kök # güvenlik akış oturumunu göster Oturum Kimliği: 100001790, İlke adı: admins_to_untrust / 4, Zamanaşımı: 1800 Gelen: 192. 168. 2. 2.471 ± 209. 239 112. 126/80; tcp, If: ge-0/0/0. 0 Out: 209. 239.112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0/0/2. 0 …

NAT'ı bu adres çevirme servisini SRX'de kolayca sağlayacak şekilde yapılandırabilirsiniz.

SRX'de üç temel NAT seçeneği vardır: kaynak, hedef, ve statik. İlk iki kaynak veya hedef adresi bir adres havuzu temelinde çevirirken, son seçenek statik olarak birinden diğerine adresleri eşleştirir (dolayısıyla sunucular ve ağ yazıcılarının istikrarlı, ancak gizlenmiş adresleri vardır).

İstediğiniz NAT seçeneğini belirledikten sonra diğer seçenekleri ayarlayabilirsiniz. Özellikle, mevcut seçenek, kaynaktan çıkışa arabirimi çevirisi kullanmak veya bağlantı noktası ve IP adresini tercüme etmek arasında bir seçim (teknik olarak, NATP - NAT'dır, ancak bağlantı noktaları NAT'dır); ancak NAT insanlar sinir bozucu bir şekilde yalnızca NAT olan her şeyi çağırma eğilimindedir >).

Kaynak IP adresini çıkış arabirimi ge-0/0/2 üzerindeki IP adresine çevirmenin yanı sıra SRX de kaynak bağlantı noktasını çevirir. Bu, özel yerel IP adreslerini ve limanları genel kamu İnternet'inden gizleyen NAT'ın çok yaygın bir şeklidir.

Bununla birlikte, SRX'in bir "özel" LAN ile "genel" İnternet arasında ayrım yapacak şekilde tasarlanmadığını unutmamalısınız. SRX yalnızca bölgeleri bilir ve bu beklenen NAT hizmetini sağlamak için doğru şekilde yapılandırılmış olmalıdır.

Ayrıca, NAT kuralları bir güvenlik politikası gibi görünse de, SRX NAT hizmetini güvenlik hizmetinden bağımsız olarak değerlendirir (NAT kuralları ayrı bir güvenlik düzeni hiyerarşisinde bulunur).

Bu özellik, NAT kurallarının güvenlik politikalarını etkilemeden ayarlanmasına izin verir, ancak aynı zamanda dikkatli bir değerlendirme gerektirir. NAT'ın bir paketin kabul edilip edilmediği ile ilgisi yoktur; yalnızca güvenlik politikaları bunu yapabilir.