Opciones de traducción de direcciones de origen Nat en Junos
Los servicios de seguridad no son los únicos servicios suministrados por el SRX (aunque los servicios de seguridad son los más vitales). Puede configurar otros servicios, tales como NAT traducción de direcciones de origen, también. En esencia, NAT únicamente debe estar configurado para ampliar la utilidad de direcciones IP. NAT hace mediante la sustitución de un conjunto de información de dirección encabezado del paquete para otro, de acuerdo a una regla configurada.
Algunos consideran NAT como una especie de servicio de seguridad. Sin embargo, NAT no se piensa como un servicio de seguridad. Sin embargo, también es cierto que disfrazar dirección de origen real del host (y el puerto!) Proporciona una medida de seguridad no está fácilmente disponible a través de otros medios.
De forma predeterminada, los paquetes de rutas SRX que pasan los exámenes de política de seguridad, pero no se traducen las direcciones IP de origen y de destino. Los paquetes que fluyen a través de una sesión de demostrar este punto. Tenga en cuenta que la En y Sale direcciones son sin cambios ya que los paquetes fluyen hacia el destino y la espalda.
root # mostrar sesión de flujo de seguridadID de sesión: 100001790, Nombre de directiva: admins_to_untrust / 4, Tiempo de espera: 1800In: 192.168.2.2/4781 - 209.239.112.126/80-tcp, Si: ge-0/0 / 0.0Out: 209.239.112.126/80 - 192.168.2.2 / 4781-tcp, Si: ge-0/0 / 2.0 ...
Puede configurar NAT para proporcionar este servicio de traducción de direcciones en la SRX con bastante facilidad.
Tres grandes opciones NAT están disponibles en el SRX: origen Destino, y estático. Los dos primeros se traducen las direcciones de origen o destino en base a un conjunto de direcciones, mientras que la última opción mapas estáticamente direcciones de una a otra (por lo que los servidores y las impresoras de red tienen estable, pero oculta, direcciones).
Una vez que decida sobre la opción NAT desea, puede ajustar otras opciones. En concreto, la opción disponible es una elección entre el uso de la traducción de código a la salida de interfaz o la traducción del puerto y la dirección IP (técnicamente, esto es NATP - NAT con puertos - pero la gente NAT frustrantemente tienden a simplemente llame todo NAT).
Tenga en cuenta que, además de la traducción de la dirección IP de origen a la dirección IP en la interfaz de salida ge-0/0/2, el SRX también traduce el puerto de origen. Esta es una forma muy común de NAT que oculta las direcciones IP locales privados y puertos de la Internet pública mundial.
Sin embargo, es necesario recordar que la SRX no está diseñado para diferenciar entre un " # 148 privada; LAN y el " público " Internet. El SRX sabe sólo zonas, y éstos debe estar correctamente configurado para suministrar el servicio NAT esperado.
Además, aunque las reglas NAT pueden parecerse mucho a una política de seguridad, el SRX trata el servicio NAT de manera independiente del servicio de seguridad (las reglas NAT están bajo una separada [nat seguridad editar] jerarquía).
Esta característica permite que las reglas de NAT para ajustarse sin afectar a las políticas de seguridad, pero también requiere una cuidadosa consideración. NAT no tiene nada que ver con si un paquete se aceptada- sólo las políticas de seguridad pueden hacer eso.
-
Definiciones TCP / IP - Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios SRX
- Cómo configurar las libretas de direcciones de puerta de enlace de servicios SRX
- Cómo configurar nat en una srx Junos
-
Cómo configurar zonas de seguridad SRX con Junos - Cómo excluir el tráfico procedente de nat en una srx Junos
Cómo gestionar múltiples políticas de seguridad en la puerta de enlace de servicios SRX Si el SRX sólo pudo asignar interfaces a zonas y permitir ciertos servicios dentro y fuera, no habría mucho a ella. Pero el SRX es mucho más potente. Después de tener zonas e interfaces creados, puede aprovechar el poder real de la SRX: las…
Cómo hacer coincidir el tráfico en función utilizando clasificadores multicampo en Junos Multicampo (MF) clasificadores examinar la cabecera del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia agregada comportamiento (BA) clasificadores, clasificadores MF examinan más que sólo los…
Configuración de seguridad predeterminada Junos Junos OS tiene una serie de comportamientos predeterminados que contribuyen al router de seguridad, los comportamientos que tienen efecto inmediato una vez que se realice la configuración inicial del router.Acceso Router: Por defecto, la única…
Aplicación de firewall de red Un fuerte perímetro de seguridad ayuda a proteger la red de ataques externos. El elemento principal en el frente de seguridad perimetral es una red cortafuegos. Puede implementar varios tipos de cortafuegos y otras opciones de seguridad. Los…
Osi para la capa CCNA 3: Red Las cubiertas del examen CCNA paquetes de datos- los paquetes de datos rutas de capa de red a través de redes que enlazan el envío y la recepción de acogida. En pocas palabras, la capa de red hace lo siguiente:Escoge la mejor ruta para enviar…
Examen de certificación ICND1: dispositivos y servicios de red Usted puede estar seguro de obtener un par de preguntas sobre el examen de certificación Cisco ICND1 que pone a prueba su conocimiento de los tipos de dispositivos y diferentes servicios de red. Los siguientes son algunos puntos clave a tener en…
Dispositivos y servicios de información general de red para el examen de certificación CCENT Usted puede estar seguro de obtener un par de preguntas sobre el examen de certificación CCENT que ponen a prueba su conocimiento de los tipos de dispositivos y diferentes servicios de red. Los siguientes son algunos puntos clave a tener en cuenta…
Puertos, protocolos y rangos de direcciones IP para los servidores de seguridad Si usted está construyendo o la instalación de un servidor de seguridad para proteger su equipo y sus datos, información básica acerca de las configuraciones de Internet puede ser muy útil. Las siguientes tablas le dan los hechos en los…
Cómo personalizar reglas de firewall del servidor león Si quieres entrar en territorio firewall configuración de profundidad, puede utilizar la ficha Opciones avanzadas de configuración de Firewall en Lion Server para crear sus propias reglas que describen qué hacer con el tráfico de red entrante.Se…
Los números de puerto utilizados por los servicios de servidor de león Cada servicio Lion Server tiene un puerto estándar asociado con él. Por ejemplo, el puerto predeterminado para correo electrónico IMAP es el puerto TCP 143. Cuando se utiliza con cifrado SSL, el puerto IMAP predeterminado es TCP 993. Algunos…
Requisitos previos para compartir contactos en servidor de león Usted realmente no tiene que hacer mucho más a su red para hacer la libreta de direcciones del servidor en Lion disponibles para los usuarios. Usted incluso no tiene que alterar el directorio. Uno de los requisitos, sin embargo, es que el Mac se…
Cómo utilizar la traducción de direcciones de red Usted debe determinar una cosa antes de empezar su búsqueda de compartir Internet: el conjunto de la red de protocolo de Internet (IP) que va a utilizar. Cuando se habla de las direcciones IP, el cuerpo gobernante que rastrea las direcciones IP y…