视频: Using Juniper for the First Time | JunOS CLI 2024
安全服务不是SRX提供的唯一服务(尽管安全服务是最重要的)。您也可以配置其他服务,例如NAT源地址转换。本质上,NAT应该被单独配置来扩展IP地址的有用性。 NAT通过根据配置的规则将一组分组头地址信息替换为另一组分组来执行。
<!有人认为NAT是一种安全服务。但是,NAT不是作为安全服务。尽管如此,伪装主机的真实源地址(和端口)也是事实,通过其他方式提供的安全措施是不容易获得的。默认情况下,SRX路由通过安全策略测试的数据包,但不转换源和目标IP地址。流经会话的数据包说明了这一点。请注意,入站和出站地址不变,因为数据包流向目的地和返回。
<!显示安全流会话
会话ID:100001790,策略名称:admins_to_untrust / 4,超时:1800在:192。168. 2. 2/4781→209。 239. 112. 126/80; tcp,如果:ge-0/0/0。 0 Out:209. 239. 112. 126/80→192。168. 2. 2/4781; tcp,如果:ge-0/0/2。 0 …您可以配置NAT,以便很容易在SRX上提供此地址转换服务。 SRX上有三种主要的NAT选项: 源,目标,
和
静态。前两个基于地址池来转换源地址或目标地址,而最后一个选项将地址从一个地址静态映射到另一个(所以服务器和网络打印机具有稳定但隐藏的地址)。
但是,您需要记住,SRX不是为了区分“专用”LAN和“公共”Internet而设计的。 SRX只知道区域,并且必须正确配置这些区域才能提供预期的NAT服务。 <!此外,虽然NAT规则看起来非常像安全策略,但SRX独立于安全服务来对待NAT服务(NAT规则在单独的[edit security nat]层次结构下) 。 这个特性允许在不影响安全策略的情况下调整NAT规则,但也需要仔细考虑。 NAT与数据包是否被接受无关;只有安全政策可以做到这一点。
