Descripción general de las políticas de TDR
La traducción de direcciones de red (TDR) es una forma de enmascaramiento de red en la que puede ocultar dispositivos o sitios entre zonas o interfaces. Una zona de confianza es un segmento de una red en el que se aplican medidas de seguridad. Por lo general, se asigna a la LAN interna. Un ejemplo de una zona no confiable es Internet. TDR modifica las direcciones IP de los paquetes que se mueven entre las zonas de confianza y no confiables.
Cada vez que un paquete sale de un dispositivo TDR (cuando viaja desde la LAN interna a la WAN externa), el dispositivo realiza una traducción en la dirección IP del paquete. La dirección IP del paquete se reescribió con una dirección IP que se especificó para uso externo. Después de la traducción, parece que el paquete se originó en la puerta de enlace en lugar de en el dispositivo original dentro de la red. Este proceso oculta sus direcciones IP internas de las otras redes y mantiene su red segura.
El uso de TDR también le permite usar más direcciones IP internas. Como estas direcciones IP están ocultas, no hay riesgo de conflicto con una dirección IP de una red diferente. Esto le ayuda a conservar las direcciones IP.
Utilice la página Políticas de TDR para crear, modificar, clonar y eliminar políticas y reglas de políticas de TDR. Puede filtrar y ordenar esta información para comprender mejor lo que desea configurar.
Para acceder a la página, seleccione .
Haga clic en una política de TDR para ver las reglas asociadas a ella. La página de reglas de política de TDR muestra las reglas de TDR asociadas con la política de TDR y realiza un seguimiento del número y el orden de las reglas de cada política.
Tipos de TDR admitidos
Juniper Security Director Cloud admite la configuración de tres tipos de TDR en los firewalls de la serie SRX:
-
TDR de origen: traduce la dirección IP de origen de un paquete que sale de una zona de confianza (tráfico saliente). Traduce el tráfico que se origina en el dispositivo en la zona de confianza. La dirección IP de origen del tráfico (que es una dirección IP privada) se traduce a una dirección IP pública a la que puede tener acceso el dispositivo de destino especificado en la regla de TDR. La dirección IP de destino no está traducida.
Los siguientes casos de uso muestran el soporte para la traducción de TDR de origen entre dominios de direcciones IPv6 e IPv4:
-
Traducción de una subred IPv6 a otra subred IPv6 sin traducción de puerto de dirección de red (NAPT), también conocida como traducción de direcciones de puerto (PAT).
-
Traducción de direcciones IPv4 a prefijos IPv6 junto con la traducción de direcciones IPv4.
-
Traducción de hosts IPv6 a hosts IPv6 con o sin NAPT.
-
Traducción de hosts IPv6 a hosts IPv4 con o sin NAPT.
-
Traducción de hosts IPv4 a hosts IPv6 con o sin NAPT.
-
-
TDR de destino: traduce la dirección IP de destino de un paquete. Con la TDR de destino, un dispositivo externo puede enviar paquetes a un dispositivo interno oculto. Como ejemplo, considere el caso de un servidor web detrás de un dispositivo TDR. El tráfico a la dirección IP pública orientada a la WAN (la dirección IP de destino) se traduce a la dirección IP privada del servidor web interno.
Los siguientes casos de uso muestran la compatibilidad con la traducción TDR de destino entre dominios de direcciones IPv6 e IPv4:
-
Asignación de una subred IPv6 a otra subred IPv6
-
Asignación entre un host IPv6 y otro host IPv6
-
Asignación de un host IPv6 (y número de puerto opcional) a otro host IPv6 especial (y número de puerto opcional)
-
Asignación de un host IPv6 (y un número de puerto opcional) a otro host IPv4 especial (y un número de puerto opcional)
-
Asignación de un host IPv4 (y un número de puerto opcional) a otro host IPv6 especial (y un número de puerto opcional)
-
-
TDR estático: siempre traduce una dirección IP privada a la misma dirección IP pública. Traduce el tráfico de ambos lados de la red (tanto de origen como de destino). Por ejemplo, un servidor web con una dirección IP privada puede acceder a Internet utilizando una traducción de direcciones estática uno a uno. En este caso, el tráfico saliente del servidor web se somete a una traducción TDR de origen y el tráfico entrante al servidor web se somete a una traducción TDR de destino.
Los siguientes casos de uso muestran la compatibilidad con la traducción estática de TDR entre dominios de direcciones IPv6 e IPv4:
-
Asignación de una subred IPv6 a otra subred IPv6.
-
Asignación entre un host IPv6 y otro host IPv6.
-
Asignación entre dirección a.b.c.d IPv4 y dirección Prefix::a.b.c.dIPv6 .
-
Asignación entre hosts IPv4 y hosts IPv6.
-
Asignación entre hosts IPv6 y hosts IPv4.
-
Juniper Security Director Cloud también admite la configuración de TDR persistente en la que las traducciones de direcciones se mantienen en la base de datos durante un período de tiempo configurable después de que finaliza una sesión.
| Dirección TDR de origen |
Dirección traducida |
Dirección TDR de destino |
Soporte TDR persistente |
|---|---|---|---|
| IPv4 |
IPv6 |
IPv4 |
No |
| IPv4 |
IPv6 |
IPv6 |
No |
| IPv6 |
IPv4 |
IPv4 |
Sí |
| IPv6 |
IPv6 |
IPv6 |
No |
| Dirección TDR de origen |
Dirección de destino |
Dirección del grupo |
|---|---|---|
| IPv4 |
IPv4 |
IPv4 |
| IPv4 |
IPv6: la subred debe ser mayor que 96 |
IPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv6 |
| Dirección TDR de origen |
Dirección de destino |
Dirección del grupo |
|---|---|---|
| IPv4 |
IPv4 |
IPv4 o IPv6 |
| IPv4 |
IPv6: la subred debe ser mayor que 96 |
IPv4 o IPv6 |
| IPv6 |
IPv4 |
IPv4 |
| IPv6 |
IPv6 |
IPv4 o IPv6 |
-
Para el TDR de origen, el protocolo de descubrimiento de vecinos (NDP) de proxy está disponible para direcciones de conjunto TDR. Para el TDR de destino y el TDR estático, el proxy NDP está disponible para las direcciones TDR de destino.
-
Un conjunto de TDR puede tener una sola subred IPv6 o varios hosts IPv6.
-
No puede configurar el conjunto de desbordamiento si el tipo de dirección es IPv6.
-
Los grupos de TDR permiten la entrada de direcciones de un solo tipo de versión: IPv4 o IPv6.
Descripciones de campos: página de políticas de TDR
| Campo |
Descripción |
|---|---|
| Seq. |
Número de pedido de la política de TDR. |
| Nombre |
Muestra el nombre de la política de TDR. |
| Reglas |
Número de reglas asignadas a la política de TDR. |
| Dispositivos |
Dispositivo en el que se implementará la política de TDR. |
| Estado |
Estado de despliegue de la política de TDR. |
| Modificado por |
El usuario que modificó la política. |
| Última modificación |
La fecha y hora en que se modificó la política. |
| Descripción |
Descripción de la política de TDR. |
Descripciones de campos: página de reglas de políticas de TDR
| Campo |
Descripción |
|---|---|
| Seq. |
Número de pedido de la política de TDR. |
| Nombre de la regla |
Nombre de regla de política TDR. |
| Tipo |
Tipo de regla TDR, como origen, destino o estático. |
| Fuentes |
Muestra los puntos de conexión de origen en los que se aplica la política de TDR. Un punto de conexión de origen puede ser una zona, una interfaz, una instancia de enrutamiento, una zona, unas direcciones o unos puertos. |
| Destinos |
Muestra los puntos de conexión de destino en los que se aplica la política de TDR. Un punto de conexión de destino puede ser una zona, una interfaz, una instancia de enrutamiento, una zona, unas direcciones o un puerto. |
| Servicios/protocolos |
Servicios y protocolos que se deben permitir o denegar para el tipo de origen y destino Reglas TDR. |
| Traducción |
Muestra el tipo de traducción aplicado al tráfico entrante o saliente. |
El campo Total de reglas en la esquina superior derecha de la página muestra el número total de reglas asociadas con la política de TDR. El campo Implementación pendiente muestra el estado de implementación de las reglas asociadas con la política de TDR.