NAT 策略概述
网络地址转换 (NAT) 是一种网络伪装形式,您可以在其中隐藏区域或接口之间的设备或站点。可信区域是应用安全措施的网络分段。它通常被分配给内部 LAN。不受信任区域的一个示例是互联网。NAT 修改在可信区域和不可信区域之间移动的数据包的 IP 地址。
每当数据包离开 NAT 设备时(从内部 LAN 遍历到外部 WAN 时),设备都会对数据包的 IP 地址执行转换。使用指定供外部使用的 IP 地址重写数据包的 IP 地址。转换后,数据包似乎来自网关,而不是来自网络中的原始设备。此过程会对其他网络隐藏您的内部 IP 地址,并确保您的网络安全。
使用 NAT 还可以使用更多内部 IP 地址。由于这些 IP 地址是隐藏的,因此不会与来自不同网络的 IP 地址发生冲突。这有助于保护 IP 地址。
使用 NAT 策略 页面可以创建、修改、克隆和删除 NAT 策略和策略规则。您可以筛选和排序此信息,以便更好地了解要配置的内容。
要访问该页面,请选择 SRX > NAT > NAT 策略。
单击 NAT 策略,查看与之关联的规则。NAT 策略规则页面显示与 NAT 策略关联的 NAT 规则,并跟踪每个策略的规则数量和顺序。
支持的 NAT 类型
瞻博网络 Security Director 支持在 SRX 系列防火墙上配置三种类型的 NAT:
-
源 NAT — 转换离开信任区域(出站流量)的数据包的源 IP 地址。它转换源自信任区域中设备的流量。流量的源 IP 地址(即私有 IP 地址)将转换为公共 IP 地址,NAT规则中指定的目标设备可以访问该地址。目标 IP 地址未转换。
以下用例显示了对 IPv6 和 IPv4 地址域之间源 NAT 转换的支持:
-
从一个 IPv6 子网转换到另一个 IPv6 子网,而无需网络地址端口转换 (NAPT),也称为端口地址转换 (PAT)。
-
从 IPv4 地址转换为 IPv6 前缀以及 IPv4 地址转换。
-
从 IPv6 主机转换为带或不带 NAPT 的 IPv6 主机。
-
从 IPv6 主机转换为带或不带 NAPT 的 IPv4 主机。
-
从 IPv4 主机转换为带或不带 NAPT 的 IPv6 主机。
-
-
目标 NAT — 转换数据包的目标 IP 地址。外部设备可使用目标 NAT 将数据包发送至隐藏的内部设备。例如,考虑 NAT 设备后面的 Web 服务器的情况。发往面向 WAN 的公共 IP 地址(目标 IP 地址)的流量将转换为内部 Web 服务器专用 IP 地址。
以下用例显示了对 IPv6 和 IPv4 地址域之间目标 NAT 转换的支持:
-
将一个 IPv6 子网映射到另一个 IPv6 子网
-
一个 IPv6 主机与另一个 IPv6 主机之间的映射
-
将一个 IPv6 主机(和可选端口号)映射到另一个特殊 IPv6 主机(和可选端口号)
-
将一个 IPv6 主机(和可选端口号)映射到另一个特殊 IPv4 主机(和可选端口号)
-
将一个 IPv4 主机(和可选端口号)映射到另一个特殊 IPv6 主机(和可选端口号)
-
-
静态 NAT — 始终将专用 IP 地址转换为同一公共 IP 地址。它转换来自网络两端(源和目标)的流量。例如,具有专用 IP 地址的 Web 服务器可以使用静态的一对一地址转换来访问 Internet。在这种情况下,来自 Web 服务器的传出流量将进行源 NAT 转换,而传入 Web 服务器的流量将进行目标 NAT 转换。
以下用例显示了对 IPv6 和 IPv4 地址域之间静态 NAT 转换的支持:
-
将一个 IPv6 子网映射到另一个 IPv6 子网。
-
一个 IPv6 主机与另一个 IPv6 主机之间的映射。
-
IPv4 地址 a.b.c.d 和 IPv6 地址 Prefix::a.b.c.d之间的映射。
-
IPv4 主机和 IPv6 主机之间的映射。
-
IPv6 主机和 IPv4 主机之间的映射。
-
Juniper Security Director 还支持配置持久 NAT,在会话结束后,地址转换会在数据库中保留一段可配置的时间。
| 源 NAT 地址 |
翻译地址 |
目标 NAT 地址 |
持久 NAT 支持 |
|---|---|---|---|
| IPv4 |
IPv6 |
IPv4 |
不 |
| IPv4 |
IPv6 |
IPv6 |
不 |
| IPv6 |
IPv4 |
IPv4 |
是的 |
| IPv6 |
IPv6 |
IPv6 |
不 |
| 源 NAT 地址 |
目标地址 |
池地址 |
|---|---|---|
| IPv4 |
IPv4 |
IPv4 |
| IPv4 |
IPv6 - 子网必须大于 96 |
IPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv6 |
| 源 NAT 地址 |
目标地址 |
池地址 |
|---|---|---|
| IPv4 |
IPv4 |
IPv4 或 IPv6 |
| IPv4 |
IPv6 - 子网必须大于 96 |
IPv4 或 IPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv4 或 IPv6 |
-
对于源 NAT,代理邻接方发现协议 (NDP) 可用于 NAT 池地址。对于目标 NAT 和静态 NAT,代理 NDP 可用于目标 NAT 地址。
-
NAT 池可以有一个 IPv6 子网,也可以有多个 IPv6 主机。
-
如果地址类型为 IPv6,则无法配置溢出池。
-
NAT 池只允许一种版本类型的地址条目:IPv4 或 IPv6。
字段说明 - NAT 策略页面
| 田 |
描述 |
|---|---|
| 序列 |
NAT 策略的订单号。 |
| 名字 |
显示 NAT 策略的名称。 |
| 规则 |
分配给 NAT 策略的规则数。 |
| 设备 |
将在其上部署 NAT 策略的设备。 |
| 地位 |
NAT 策略的部署状态。 |
| 修改者 |
修改策略的用户。 |
| 上次修改时间 |
修改策略的日期和时间。 |
| 描述 |
NAT 策略说明。 |
字段说明 - NAT 策略规则页面
| 田 |
描述 |
|---|---|
| 序列 |
NAT 策略的订单号。 |
| 规则名称 |
NAT 策略规则名称。 |
| 类型 |
NAT 规则的类型,例如源、目标或静态。 |
| 来源 |
显示应用 NAT 策略的源端点。源端点可以是区域、接口、路由实例、区域、地址或端口。 |
| 目的地 |
显示应用 NAT 策略的目标端点。目标端点可以是区域、接口、路由实例、区域、地址或端口。 |
| 服务/协议 |
用于允许或拒绝源和目标类型 NAT 规则的服务和协议。 |
| 译本 |
显示应用于传入或传出流量的转换类型。 |
页面右上角 的“规则总数” 字段显示与 NAT 策略关联的规则总数。 Deploy pending (部署挂起 ) 字段显示与 NAT 策略关联的规则的部署状态。