Видео: Quality control (QC) using Thermal Analysis – online training course 2025
Службы безопасности - это не единственные сервисы, предоставляемые SRX (хотя службы безопасности являются наиболее важными). Вы можете настроить другие службы, такие как трансляция адреса источника NAT. По сути, NAT должен быть сконфигурирован исключительно для расширения полезности IP-адресов. NAT делает это, заменяя один набор информации адреса заголовка пакета для другого, в соответствии с настроенным правилом.
Некоторые считают NAT как своего рода службу безопасности. Однако NAT не предназначен для службы безопасности. Тем не менее, также верно, что маскировка реального исходного адреса хоста (и порта!) Обеспечивает меру безопасности, недоступную для других с помощью других средств.
По умолчанию SRX маршрутизирует пакеты, которые проходят тесты политики безопасности, но не преобразует IP-адреса источника и назначения. Пакеты, проходящие через сеанс, демонстрируют эту точку. Обратите внимание, что адреса In и Out не изменяются, поскольку пакеты поступают в пункт назначения и обратно.
root # показать сеанс потока безопасности Идентификатор сеанса: 100001790, имя политики: admins_to_untrust / 4, тайм-аут: 1800 В: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, If: ge-0/0/0. 0 Выезд: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0/0/2. 0 …
Вы можете настроить NAT для предоставления этой услуги перевода адресов на SRX довольно легко.
В SRX доступны три основных варианта NAT: источник, назначение, и статические. Первые два переводят исходные или целевые адреса на основе пула адресов, тогда как последний параметр статически сопоставляет адреса от одного к другому (поэтому серверы и сетевые принтеры имеют стабильные, но скрытые адреса).
Как только вы решите использовать параметр NAT, вы можете настроить другие параметры. В частности, доступная опция - это выбор между использованием перевода исходного текста в исходный интерфейс или перевода порта и IP-адреса (технически это NATP-NAT с портами), но люди NAT с разочарованием склонны просто называть все NAT >).
Однако вам нужно помнить, что SRX не предназначен для того, чтобы различать «частную» локальную сеть и «общедоступный» Интернет. SRX знает только зоны, и они должны быть правильно настроены для обеспечения ожидаемой службы NAT.
Этот признак позволяет настраивать правила NAT, не влияя на политику безопасности, но также требует тщательного рассмотрения. NAT не имеет никакого отношения к тому, принят ли пакет; это могут сделать только политики безопасности.
