Sicherheitsdienste sind nicht die einzigen Dienste, die vom SRX bereitgestellt werden (obwohl die Sicherheitsdienste am wichtigsten sind). Sie können auch andere Dienste konfigurieren, z. B. NAT-Quelladressübersetzung. Im Wesentlichen sollte NAT nur so konfiguriert werden, dass die Nützlichkeit von IP-Adressen erweitert wird. NAT tut dies, indem es einen Satz von Paketkopfadresseninformationen für einen anderen Satz gemäß einer konfigurierten Regel ersetzt.
Einige betrachten NAT als eine Art Sicherheitsdienst. NAT ist jedoch nicht als Sicherheitsdienst gedacht. Nichtsdestoweniger ist es auch wahr, dass eine Verschleierung der realen Quelladresse des Hosts (und Ports!) Ein Maß an Sicherheit bietet, das nicht ohne weiteres durch andere Mittel verfügbar ist.
Standardmäßig leitet das SRX Pakete weiter, die die Sicherheitsrichtlinientests bestehen, übersetzt aber nicht die Quell- und Ziel-IP-Adressen. Die durch eine Sitzung fließenden Pakete zeigen diesen Punkt. Beachten Sie, dass die In- und Out-Adressen unverändert bleiben, wenn die Pakete zum Ziel und zurück fließen.
root # show security flow session Sitzungs-ID: 100001790, Richtlinienname: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, wenn: ge-0/0/0. 0 Out: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, wenn: ge-0/0/2. 0 …
Sie können NAT so konfigurieren, dass dieser Adressübersetzungsdienst auf dem SRX ganz einfach bereitgestellt wird.
Drei wichtige NAT-Optionen sind auf dem SRX verfügbar: Quelle, Ziel, und statisch. Die ersten beiden übersetzen die Quell- oder Zieladressen auf der Grundlage eines Adressenpools, während die letzte Option die Adressen statisch von einer Adresse auf die andere überträgt (damit die Server und Netzwerkdrucker stabile, aber verdeckte Adressen haben).
Nachdem Sie sich für die gewünschte NAT-Option entschieden haben, können Sie weitere Optionen anpassen. Insbesondere ist die verfügbare Option eine Wahl zwischen der Verwendung der Quell-zu-Ausgangs-Schnittstellenübersetzung oder der Übersetzung des Ports und der IP-Adresse (technisch gesehen ist dies NATP - NAT mit Ports - aber NAT-Leute tendieren dazu, einfach alles NAT >).
Sie müssen jedoch daran denken, dass der SRX nicht zwischen einem "privaten" LAN und dem "öffentlichen" Internet unterscheidet. Der SRX kennt nur Zonen, und diese müssen korrekt konfiguriert sein, um den erwarteten NAT-Dienst bereitzustellen.
Dieses Merkmal ermöglicht die Anpassung von NAT-Regeln, ohne die Sicherheitsrichtlinien zu beeinträchtigen, erfordert jedoch eine sorgfältige Prüfung. NAT hat nichts damit zu tun, ob ein Paket akzeptiert wird. Nur die Sicherheitsrichtlinien können das tun.
