Video: 8 dot 8 Nine Valparaíso Octubre 2019 2025
Los servicios de seguridad no son los únicos servicios suministrados por el SRX (aunque los servicios de seguridad son los más importantes). También puede configurar otros servicios, como traducción de direcciones de origen NAT. En esencia, NAT debe configurarse únicamente para extender la utilidad de las direcciones IP. NAT lo hace al sustituir un conjunto de información de la dirección del encabezado del paquete por otro, de acuerdo con una regla configurada.
Algunos consideran a NAT como un tipo de servicio de seguridad. Sin embargo, NAT no pretende ser un servicio de seguridad. Sin embargo, también es cierto que disfrazar la dirección de origen real del host (¡y el puerto!) Proporciona una medida de seguridad que no está fácilmente disponible por otros medios.
De forma predeterminada, el SRX enruta los paquetes que pasan las pruebas de política de seguridad, pero no traduce las direcciones IP de origen y de destino. Los paquetes que fluyen a través de una sesión demuestran este punto. Tenga en cuenta que las direcciones de entrada y salida no cambian a medida que los paquetes fluyen hacia el destino y viceversa.
root # muestra la sesión de flujo de seguridad ID de sesión: 100001790, Nombre de la política: admins_to_untrust / 4, Timeout: 1800 En: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, si: ge-0/0/0. 0 Fuera: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, si: ge-0/0/2. 0 …
Puede configurar NAT para proporcionar este servicio de traducción de direcciones en el SRX con bastante facilidad.
Tres opciones principales de NAT están disponibles en el SRX: fuente , destino, y estáticos. Los dos primeros traducen las direcciones de origen o de destino basadas en un grupo de direcciones, mientras que la última opción mapea de forma estática las direcciones de una a otra (para que los servidores y las impresoras de red tengan direcciones estables pero ocultas).
Una vez que elige la opción NAT que desea, puede ajustar otras opciones. Específicamente, la opción disponible es una elección entre usar la traducción de la interfaz fuente a salida o traducir el puerto y la dirección IP (técnicamente, esto es NATP - NAT con puertos), pero las personas NAT frustrantemente tienden a llamar a todo NAT >).
Sin embargo, debe recordar que el SRX no está diseñado para diferenciar entre una LAN "privada" y la Internet "pública". El SRX solo conoce zonas, y éstas deben estar configuradas correctamente para suministrar el servicio NAT esperado.
Esta característica permite ajustar las reglas de NAT sin afectar las políticas de seguridad, pero también requiere una consideración cuidadosa. NAT no tiene nada que ver con si se acepta un paquete; solo las políticas de seguridad pueden hacer eso.
