Descripción general de las políticas NAT
La traducción de direcciones de red (NAT) es una forma de enmascaramiento de red en el que puede ocultar dispositivos o sitios entre zonas o interfaces. Una zona de confianza es un segmento de una red en el que se aplican medidas de seguridad. Por lo general, se asigna a la LAN interna. Un ejemplo de una zona que no es de confianza es Internet. NAT modifica las direcciones IP de los paquetes que se mueven entre las zonas de confianza y las que no son de confianza.
Cada vez que un paquete sale de un dispositivo NAT (cuando viaja de la LAN interna a la WAN externa), el dispositivo realiza una traducción en la dirección IP del paquete. La dirección IP del paquete se reescribió con una dirección IP que se especificó para uso externo. Después de la traducción, el paquete parece haberse originado desde la puerta de enlace en lugar del dispositivo original dentro de la red. Este proceso oculta sus direcciones IP internas de las otras redes y mantiene su red segura.
El uso de NAT también le permite utilizar más direcciones IP internas. Como estas direcciones IP están ocultas, no hay riesgo de conflicto con una dirección IP de una red diferente. Esto le ayuda a conservar las direcciones IP.
Juniper Security Director Cloud admite la configuración de tres tipos de NAT en los firewalls de la serie SRX:
NAT de origen: traduce la dirección IP de origen de un paquete que sale de una zona de confianza (tráfico saliente). Traduce el tráfico que se origina en el dispositivo en la zona de confianza. La dirección IP de origen del tráfico (que es una dirección IP privada) se traduce a una dirección IP pública a la que puede acceder el dispositivo de destino especificado en la regla NAT. La dirección IP de destino no se traduce.
Los siguientes casos de uso muestran la compatibilidad con la traducción NAT de origen entre dominios de direcciones IPv6 e IPv4:
Traducción de una subred IPv6 a otra subred IPv6 sin traducción de puertos de direcciones de red (NAPT), también conocida como traducción de direcciones de puerto (PAT).
Traducción de direcciones IPv4 a prefijos IPv6 junto con traducción de direcciones IPv4.
Traducción de hosts IPv6 a hosts IPv6 con o sin NAPT.
Traducción de hosts IPv6 a hosts IPv4 con o sin NAPT.
Traducción de hosts IPv4 a hosts IPv6 con o sin NAPT.
NAT de destino: traduce la dirección IP de destino de un paquete. Mediante el NAT de destino, un dispositivo externo puede enviar paquetes a un dispositivo interno oculto. Como ejemplo, considere el caso de un servidor web detrás de un dispositivo NAT. El tráfico a la dirección IP pública orientada a la WAN (la dirección IP de destino) se traduce a la dirección IP privada del servidor web interno.
Los siguientes casos de uso muestran la compatibilidad con la traducción de NAT de destino entre dominios de direcciones IPv6 e IPv4:
Asignación de una subred IPv6 a otra subred IPv6
Asignación entre un host IPv6 y otro host IPv6
Asignación de un host IPv6 (y número de puerto opcional) a otro host IPv6 especial (y número de puerto opcional)
Asignación de un host IPv6 (y número de puerto opcional) a otro host IPv4 especial (y número de puerto opcional)
Asignación de un host IPv4 (y número de puerto opcional) a otro host IPv6 especial (y número de puerto opcional)
NAT estático: siempre traduce una dirección IP privada a la misma dirección IP pública. Traduce el tráfico de ambos lados de la red (tanto de origen como de destino). Por ejemplo, un servidor web con una dirección IP privada puede acceder a Internet utilizando una traducción estática de direcciones uno a uno. En este caso, el tráfico saliente del servidor web se somete a la traducción NAT de origen, y el tráfico entrante al servidor web se somete a la traducción NAT de destino.
Los siguientes casos de uso muestran la compatibilidad con la traducción de NAT estática entre dominios de direcciones IPv6 e IPv4:
Asignación de una subred IPv6 a otra subred IPv6.
Asignación entre un host IPv6 y otro host IPv6.
Asignación entre la dirección a.b.c.d IPv4 y la dirección Prefix::a.b.c.dIPv6.
Asignación entre hosts IPv4 y hosts IPv6.
Asignación entre hosts IPv6 y hosts IPv4.
Juniper Security Director Cloud también admite la configuración de NAT persistente en la que las traducciones de direcciones se mantienen en la base de datos durante un período de tiempo configurable después de que finaliza una sesión.
En la Tabla 1 se muestra la compatibilidad con TDR persistente para diferentes direcciones NAT de origen y NAT de destino.
Dirección NAT de origen |
Dirección traducida |
TDR de destino Dirección |
Compatibilidad con NAT persistente |
---|---|---|---|
IPv4 |
IPv6 |
IPv4 |
No |
IPv4 |
IPv6 |
IPv6 |
No |
IPv6 |
IPv4 |
IPv4 |
Sí |
IPv6 |
IPv6 |
IPv6 |
No |
La Tabla 2 y la Tabla 3 muestran la selección del grupo de direcciones traducidas para las direcciones NAT de origen, NAT de destino y NAT estáticas.
Dirección NAT de origen |
Dirección de destino |
Dirección del grupo |
---|---|---|
IPv4 |
IPv4 |
IPv4 |
IPv4 |
IPv6: la subred debe ser mayor que 96 |
IPv6 |
IPv6 |
IPv4 |
IPv4 |
IPv6 |
IPv6 |
IPv6 |
Dirección NAT de origen |
Dirección de destino |
Dirección del grupo |
---|---|---|
IPv4 |
IPv4 |
IPv4 o IPv6 |
IPv4 |
IPv6: la subred debe ser mayor que 96 |
IPv4 o IPv6 |
IPv6 |
IPv4 |
IPv4 |
IPv6 |
IPv6 |
IPv4 o IPv6 |
Para NAT de origen, el proxy Neighbor Discovery Protocol (NDP) está disponible para direcciones de grupo NAT. Para la NAT de destino y la NAT estática, el NDP de proxy está disponible para las direcciones NAT de destino.
Un grupo de NAT puede tener una sola subred IPv6 o varios hosts IPv6.
No puede configurar el grupo de desbordamiento si el tipo de dirección es IPv6.
Los grupos NAT permiten las entradas de direcciones de un solo tipo de versión: IPv4 o IPv6.