Säkerhetstjänster är inte de enda tjänster som tillhandahålls av SRX (även om säkerhetstjänsten är den viktigaste). Du kan också konfigurera andra tjänster, till exempel översättning av NAT-källadressen. I huvudsak bör NAT uteslutande konfigureras för att utöka användbarheten av IP-adresser. NAT gör det genom att ersätta en uppsättning pakethuvudadressinformation för en annan, enligt en konfigurerad regel.
Vissa anser att NAT är en slags säkerhetstjänst. NAT är dock inte avsedd som säkerhetstjänst. Ändå är det också sant att förklara värdens verkliga källadress (och port!) Ger ett mått på säkerhet som inte är lättillgänglig på annat sätt.
Som standard skickar SRX-paket som överensstämmer med säkerhetspolicy testerna men översätter inte käll- och destinations-IP-adresserna. Paketen som flyter genom en session visar denna punkt. Observera att in- och utadresserna är oförändrade när paketet flyter till destinationen och bakåt.
root # visa säkerhetsflödesession Session ID: 100001790, Policy namn: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, Om: ge-0/0/0. 0 Ut: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0/0/2. 0 …
Du kan enkelt konfigurera NAT för att tillhandahålla denna adressöversättningstjänst på SRX.
Tre stora NAT-alternativ finns tillgängliga på SRX: källa, destination, och statisk. De första två översätter käll- eller destinationsadresserna baserat på en adresspalta, medan det sista alternativet statiskt kartor adresserar från en till en annan (så servrarna och nätverksskrivarna har stabila men dolda adresser).
När du bestämmer dig för NAT-alternativet du vill kan du justera andra alternativ. Specifikt är det tillgängliga alternativet ett val mellan att använda gränsöverskridande översättningsversion eller översättning av port och IP-adress (tekniskt är det NATP-NAT med portar - men NAT-personer brukar frustrerande bara kalla allt NAT >).
Men du måste komma ihåg att SRX inte är utformad för att skilja mellan ett "privat" LAN och det "offentliga" Internet. SRX känner bara till zoner, och dessa måste konfigureras korrekt för att tillhandahålla NAT-servicen som förväntas.
Denna egenskap gör att NAT-regler kan justeras utan att det påverkar säkerhetspolitiken, men det kräver också noggrann övervägning. NAT har ingenting att göra med om ett paket accepteras bara säkerhetspolitiken kan göra det.