대상 NAT
대상 NAT는 라우터를 통과하는 패킷의 대상 주소를 변경합니다. 또한 TCP/UDP 헤더에서 포트 변환을 수행하는 옵션도 제공합니다. 대상 NAT는 주로 외부 주소 또는 포트 대상의 수신 패킷을 네트워크 내의 내부 IP 주소 또는 포트로 리디렉션하는 데 사용됩니다.
대상 NAT 이해하기
대상 NAT는 주니퍼 네트웍스 디바이스로 들어오는 패킷의 대상 IP 주소 변환입니다. 대상 NAT는 가상 호스트(원래 대상 IP 주소로 식별)로 향하는 트래픽을 실제 호스트(번역된 대상 IP 주소로 식별)로 리디렉션하는 데 사용됩니다.
대상 NAT가 수행되면 구성된 대상 NAT 규칙에 따라 대상 IP 주소가 변환되고 보안 정책이 적용됩니다.
대상 NAT를 사용하면 들어오는 네트워크 연결(예: 인터넷에서 프라이빗 네트워크)에 대해서만 연결을 시작할 수 있습니다. 대상 NAT는 일반적으로 다음 작업을 수행하는 데 사용됩니다.
단일 IP 주소를 다른 주소로 변환합니다(예: 인터넷의 디바이스가 프라이빗 네트워크의 호스트에 연결할 수 있도록 함).
인접한 주소 블록을 동일한 크기의 다른 주소 블록으로 변환합니다(예: 서버 그룹에 대한 액세스를 허용).
대상 IP 주소와 포트를 다른 대상 IP 주소 및 포트로 변환합니다(예: 동일한 IP 주소이지만 다른 포트를 사용하는 여러 서비스에 대한 액세스를 허용하려면).
다음과 같은 유형의 대상 NAT가 지원됩니다.
사용자 정의 풀에서 원래 대상 IP 주소를 IP 주소로 변환합니다. 이러한 유형의 변환에는 PAT(Port Address Translation)가 포함되지 않습니다. 원래 대상 IP 주소 범위가 사용자 정의 주소 풀의 주소 범위보다 큰 경우, 번역되지 않은 패킷은 모두 삭제됩니다.
사용자 정의 풀에서 원래 대상 IP 주소(및 선택 사항 포트 번호)를 하나의 특정 IP 주소(및 포트 번호)로 변환합니다.
대상 NAT 주소 풀 이해하기
NAT 풀은 변환에 사용되는 사용자 정의 IP 주소 집합입니다. 한 방향으로 대상 IP 주소 변환을 포함하고 역방향으로 소스 IP 주소 변환을 포함하는 일대일 매핑이 있는 정적 NAT와 달리 대상 NAT를 사용하면 원래 목적지 주소를 주소 풀의 IP 주소로 변환합니다.
대상 NAT 주소 풀의 경우, 다음을 지정합니다.
대상 NAT 주소 풀 이름
대상 주소 또는 주소 범위
참고:하나의 라우팅 인스턴스 내에서 소스 NAT, 대상 NAT 및 정적 NAT에 대한 NAT 주소와 겹치지 마십시오.
포트 포워딩에 사용되는 대상 포트
풀이 속한 라우팅 인스턴스 - 특정 라우팅 인스턴스를 지정하지 않는 대상 NAT 풀은 기본적으로 수신 영역의 라우팅 인스턴스에 적용됩니다.
참고:기본 라우팅 인스턴스에 존재하도록 NAT 풀을 구성할 수 있습니다. 기본 라우팅 인스턴스에 NAT 풀이 존재하는 것을 지정하는 구성 옵션을 사용할 수 있습니다. 결과적으로 NAT 풀은 기본 라우팅 인스턴스의 영역과 다른 라우팅 인스턴스의 영역에서 연결할 수 있습니다.
대상 NAT 규칙 이해
대상 NAT 규칙은 두 가지 일치 조건 계층을 지정합니다.
트래픽 방향 - , 또는
from routing-instance
을(를)from zone
지정할from interface
수 있습니다.패킷 정보 - 소스 IP 주소, 대상 IP 주소 또는 서브넷, 대상 포트 번호 또는 포트 범위, 프로토콜 또는 애플리케이션일 수 있습니다.
ALG 트래픽의 경우 옵션이나 application
옵션을 일치하는 조건으로 사용하지 destination-port
않는 것이 좋습니다. 이러한 옵션이 사용되는 경우, 애플리케이션 페이로드의 포트 값이 IP 주소의 포트 값과 일치하지 않을 수 있기 때문에 변환에 실패할 수 있습니다.
일치 조건에서 여러 대상 NAT 규칙이 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어, 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만 규칙 A가 영역 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0
의 트래픽을 지정하는 경우, 규칙 B는 대상 NAT을 수행하는 데 사용됩니다. 인터페이스 일치는 라우팅 인스턴스 일치보다 더 구체적인 영역 일치보다 더 구체적인 것으로 간주됩니다.
대상 NAT 규칙에 대해 지정할 수 있는 작업은 다음과 같습니다.
off- 대상 NAT을 수행하지 마십시오.
풀 - 지정된 사용자 정의 주소 풀을 사용하여 대상 NAT을 수행합니다.
대상 NAT 규칙은 플로우 또는 ALG의 빠른 경로에 처리되는 첫 번째 패킷의 트래픽에 적용됩니다. 목적지 NAT 규칙은 정적 NAT 규칙 이후에 처리되지만 소스 NAT 규칙 이전에 처리됩니다.
대상 NAT 구성 개요
대상 NAT의 주요 구성 작업은 다음과 같습니다.
- 네트워크 및 보안 요구 사항에 맞춰 대상 NAT 주소 풀을 구성합니다.
- 네트워크 및 보안 요구 사항에 맞춰 대상 NAT 규칙을 구성합니다.
- 수신 인터페이스의 동일한 서브넷에서 IP 주소에 대한 NAT 프록시 ARP 항목을 구성합니다.
예: 단일 주소 변환을 위한 대상 NAT 구성
이 예에서는 단일 공용 주소의 대상 NAT 매핑을 프라이빗 주소로 구성하는 방법을 설명합니다.
한 대상 IP 주소를 다른 주소로 매핑하는 것도 정적 NAT로 수행할 수 있습니다. 정적 NAT 매핑을 사용하면 게이트웨이 디바이스의 어느 쪽에서나 연결을 설정할 수 있는 반면 대상 NAT는 한쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 한 주소에서 다른 주소로 또는 동일한 크기의 주소 블록 간에만 변환을 허용합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX 시리즈 디바이스
서버
시작하기 전에 다음을 수행합니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
대상 NAT는 일반적으로 공개적으로 액세스 가능한 IP 주소를 가진 프라이빗 네트워크에 위치한 서비스를 배포하는 데 사용됩니다. 이를 통해 사용자는 공용 IP 주소와 함께 프라이빗 서비스를 사용할 수 있습니다. 대상 NAT 주소 풀 및 대상 NAT 규칙 구성은 네트워크를 조정하고 보안 요구 사항을 개선하는 데 사용됩니다.
이 예에서 먼저 프라이빗 주소 공간에 대한 트러스트 보안 영역을 구성한 다음 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 구성합니다. 그림 1에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.200/32를 통해 트러스트 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.200/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우 대상 IP 주소는 프라이빗 주소 192.168.1.200/32로 변환됩니다.
토폴로지
표 1 은 이 예에서 구성된 매개 변수를 보여줍니다.
매개 변수 |
설명 |
---|---|
트러스트 존 |
프라이빗 주소 공간을 위한 보안 영역입니다. |
Untrust Zone |
공용 주소 공간을 위한 보안 영역입니다. |
192.168.1.200/32 |
번역된 대상 NAT IP 주소입니다. |
192.168.1.0/24 |
프라이빗 영역의 프라이빗 서브넷. |
203.0.113.200/32 |
서버의 공용 주소입니다. |
서버 |
프라이빗 주소 공간의 서버 주소입니다. |
ge-0/0/0 및 ge-1/0/0 |
트래픽 방향을 위한 NAT 인터페이스. |
이 예에서는 다음과 같은 구성을 설명합니다.
IP 주소 192.168.1.200/32를 포함하는 대상 NAT 풀
dst-nat-pool-1
입니다.ge-0/0/0.0 인터페이스에서 수신된 패킷을 대상 IP 주소 203.0.113.200/32와 일치하도록 규칙
r1
으로 설정된rs1
대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소dst-nat-pool-1
로 변환됩니다.인터페이스 ge-0/0/0.0에서 주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
신뢰할 수 없는 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
공용 주소에서 프라이빗 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 NAT 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
전역 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
신뢰할 수 없는 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
결과
구성 모드에서 , show security zones
및 show bridge-domains
명령을 입력하여 구성을 show interfaces
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.200/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } [edit] user@host# show security address-book global { address server-1 192.168.1.200/32; } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
대상 NAT 풀 사용 확인
목적
대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination pool all
. 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.
user@host>show security nat destination pool all Total destination-nat pools: 1 Pool name : dst-nat-pool-1 Pool id : 1 Total address : 1 Translation hits: 71 Address range Port 192.168.1.200 - 192.168.1.200 0
의미
show security nat destination pool all
명령은 번역된 주소 풀을 표시합니다. 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination rule all
.
user@host>show security nat destination rule all Total destination-nat rules: 1 Total referenced IPv4/IPv6 ip-prefixes: 1/0 Destination NAT rule: r1 Rule-set: rs1 Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : dst-nat-pool-1 Translation hits : 75 Successful sessions : 75 Failed sessions : 0 Number of sessions : 4
의미
show security nat destination rule all
명령은 대상 NAT 규칙을 표시합니다. 번역 히트 필드를 보고 대상 규칙과 일치하는 트래픽을 확인합니다.
단일 주소 변환을 위한 대상 NAT 확인
목적
단일 주소 변환을 위한 대상 NAT 구성을 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination summary
.
user@host>show security nat destination summary Total pools: 1 Pool name Address Range Routing Port Total Instance Address dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1 Total rules: 1 Rule name Rule set From Action r1 rs1 ge-0/0/0.0 dst-nat-pool-1
의미
show security nat destination summary
명령은 대상 NAT 구성에 대한 정보를 표시합니다. 다음 정보를 확인할 수 있습니다.
규칙 세트
규칙
주소 범위
NAT 풀
포트 세부 정보
트래픽에 대한 NAT 애플리케이션 확인
목적
NAT가 지정된 트래픽에 적용되고 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security flow session
.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
의미
show security flow session
명령은 디바이스에 활성 세션과 각 세션의 관련 보안 정책을 표시합니다. 출력은 프라이빗 대상 IP 주소 192.168.1.200으로 변환되는 203.0.113.200에서 공용 호스트로 향하는 디바이스로 들어오는 트래픽을 보여줍니다.
Session ID—세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.
server-access—신뢰할 수 없는 영역에서 변환된 대상 IP 주소로 트래픽을 허용하는 정책 이름입니다.
In-수신 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 ICMP이며, 이 세션의 소스 인터페이스는 ge-0/0/0.0)입니다.
Out-역 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 ICMP이며, 이 세션의 대상 인터페이스는 ge-0/0/1.0)입니다.
예: IP 주소 및 포트 변환을 위한 대상 NAT 구성
이 예에서는 포트 번호에 따라 공용 주소의 대상 NAT 매핑을 프라이빗 주소로 구성하는 방법을 설명합니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대한 트러스트 보안 영역과 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 사용합니다. 그림 2에서는 포트 80 또는 8000에서 공용 주소 203.0.113.200을 통해 트러스트 영역의 신뢰할 수 없는 영역 액세스 서버의 디바이스를 사용합니다. 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷은 다음과 같이 서버의 프라이빗 주소에 매핑됩니다.
대상 IP 주소 203.0.113.200 및 포트 80은 프라이빗 주소 192.168.1.200 및 포트 80으로 변환됩니다.
대상 IP 주소 203.0.113.200 및 포트 8000은 프라이빗 주소 192.168.1.220 및 포트 8000으로 변환됩니다.
이 예에서는 다음과 같은 구성을 설명합니다.
IP 주소 192.168.1.200 포트 80을 포함하는 대상 NAT 풀
dst-nat-pool-1
입니다.IP 주소 192.168.1.220 및 포트 8000을 포함하는 대상 NAT 풀
dst-nat-pool-2
입니다.신뢰할 수 없는 영역에서 수신된 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 80과 일치하도록 규칙
r1
으로 설정된rs1
대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소dst-nat-pool-1
로 변환됩니다.룰
r2
로 설정된 대상 NAT 규칙은 신뢰할 수 없는 영역에서 수신된 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 8000과 일치하도록 설정합니다rs1
. 패킷과 일치하는 경우 대상 IP 주소와 포트가 풀의 주소와 포트로dst-nat-pool-2
변환됩니다.주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
보안 정책은 신뢰할 수 없는 영역에서 트러스트 영역의 변환된 대상 IP 주소로 트래픽을 허용합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
공용 주소에서 프라이빗 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 NAT 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
전역 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
신뢰할 수 없는 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 구성을 show security nat
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32 port 80; } pool dst-nat-pool-2 { address 192.168.1.220/32 port 8000; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; destination-port 80; } then { destination-nat pool dst-nat-pool-1; } } rule r2 { match { destination-address 203.0.113.200/32; destination-port 8000; } then { destination-nat pool dst-nat-pool-2; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address [ server-1 server-2 ]; application any; } then { permit; } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
대상 NAT 풀 사용 확인
목적
대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination pool all
. 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination rule all
. 변환 히트 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 대상 NAT 구성
이 예에서는 공용 서브넷 주소의 대상 NAT 매핑을 프라이빗 서브넷 주소로 구성하는 방법을 설명합니다.
한 서브넷에서 다른 서브넷으로 주소를 매핑하는 것은 정적 NAT로도 수행할 수 있습니다. 정적 NAT 매핑은 게이트웨이 디바이스의 어느 쪽에서나 연결을 설정할 수 있도록 하는 반면, 대상 NAT는 한 쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 동일한 크기의 주소 블록 간에만 변환을 허용합니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대한 트러스트 보안 영역과 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 사용합니다. 그림 3에서는 공용 서브넷 주소 203.0.113.0/24를 통해 신뢰할 수 없는 영역의 디바이스가 트러스트 영역의 디바이스에 액세스합니다. 대상 IP 주소가 203.0.113.0/24 서브넷인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우 대상 IP 주소는 192.168.1.0/24 서브넷의 프라이빗 주소로 변환됩니다.
이 예에서는 다음과 같은 구성을 설명합니다.
IP 주소 192.168.1.0/24를 포함하는 대상 NAT 풀
dst-nat-pool-1
입니다.ge-0/0/0.0 인터페이스에서 수신된 패킷과 203.0.113.0/24 서브넷의 대상 IP 주소와 일치하도록 규칙
r1
으로 설정된rs1
대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소dst-nat-pool-1
로 변환됩니다.인터페이스 ge-0/0/0.0의 주소 203.0.113.1/32~ 203.0.113.62/32 주소에 대한 프록시 ARP; 이는 203.0.113.0/24 서브넷에서 변환해야 하는 호스트의 IP 주소입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.0/24는 인터페이스 자체에 할당되므로 이 주소는 프록시 ARP 구성에 포함되지 않습니다. 203.0.113.1/32 ~ 203.0.113.62/32 범위에 없는 주소는 네트워크에 없을 것으로 예상되며 변환되지 않습니다.
보안 정책은 신뢰할 수 없는 영역에서 트러스트 영역의 변환된 대상 IP 주소로 트래픽을 허용합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
공용 서브넷 주소에서 프라이빗 서브넷 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 NAT 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
전역 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
신뢰할 수 없는 영역에서 트러스트 영역의 디바이스로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 구성을 show security nat
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.0/24; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.62/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy internal-access { match { source-address any; destination-address internal-net; application any; } then { permit; } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
대상 NAT 풀 사용 확인
목적
대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination pool all
. 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination rule all
. 변환 히트 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
대상 NAT 정보 모니터링
목적
목적지 네트워크 주소 변환(NAT) 요약 테이블과 지정된 NAT 대상 주소 풀 정보의 세부 정보를 봅니다.
작업
J-Web 사용자 인터페이스에서 Monitor>NAT> 대상 NAT 를 선택하거나 다음 CLI 명령을 입력합니다.
show security nat destination summary
show security nat destination pool pool-name
표 2 에는 대상 NAT 디스플레이의 주요 출력 필드가 요약되어 있습니다.
필드 |
값 |
작업 |
---|---|---|
규칙 | ||
규칙 세트 이름 |
규칙 세트의 이름입니다. |
목록에서 표시할 모든 규칙 세트 또는 특정 규칙 집합을 선택합니다. |
총 규칙 |
구성된 규칙 수입니다. |
– |
자료 |
규칙 ID 번호입니다. |
– |
이름 |
규칙 이름 . |
– |
규칙 이름 |
규칙 세트의 이름입니다. |
– |
보낸 사람 |
패킷이 흐르는 라우팅 인스턴스/영역/인터페이스 이름입니다. |
– |
소스 주소 범위 |
소스 풀의 소스 IP 주소 범위입니다. |
– |
대상 주소 범위 |
소스 풀의 대상 IP 주소 범위입니다. |
– |
대상 포트 |
대상 풀의 대상 포트입니다. |
– |
IP 프로토콜 |
IP 프로토콜. |
– |
작업 |
규칙과 일치하는 패킷에 대해 수행된 작업. |
– |
알람 임계 값 |
활용 알람 임계값. |
– |
세션(Succ/Failed/Current) |
성공, 실패, 현재 세션.
|
– |
번역 히트 |
대상 네트워크 변환(NAT) 규칙에 사용되는 변환 테이블의 변환 횟수. |
– |
풀 | ||
풀 이름 |
풀 이름입니다. |
목록에서 표시할 모든 풀 또는 특정 풀을 선택합니다. |
총 풀 |
총 풀이 추가되었습니다. |
– |
자료 |
풀 ID입니다. |
– |
이름 |
대상 풀 이름입니다. |
– |
주소 범위 |
대상 풀의 IP 주소 범위입니다. |
– |
포트 |
풀의 대상 포트 번호입니다. |
– |
라우팅 인스턴스 |
라우팅 인스턴스의 이름입니다. |
– |
총 주소 |
총 IP 주소, IP 주소 세트 또는 주소록 항목입니다. |
– |
번역 히트 |
대상 NAT에 번역 테이블이 사용된 변환 횟수. |
– |
상위 10개 번역 히트 | ||
그래프 |
상위 10개 번역 히트 그래프를 표시합니다. |
– |