비디오: Tutorial: How to Configure Source NAT on the PAN-OS GUI 2024
보안 서비스는 SRX에서 제공하는 유일한 서비스는 아니지만 (보안 서비스가 가장 중요 함). NAT 원본 주소 변환과 같은 다른 서비스도 구성 할 수 있습니다. 본질적으로 NAT는 IP 주소의 유용성을 확장하도록 구성되어야합니다. NAT는 구성된 규칙에 따라 패킷 헤더 주소 정보를 다른 패킷 헤더 주소 정보로 대체하여 수행합니다.
일부는 NAT를 일종의 보안 서비스로 간주합니다. 그러나 NAT는 보안 서비스로 사용되지 않습니다. 그럼에도 불구하고 호스트의 실제 원본 주소 (및 포트!)를 위장하면 다른 방법을 통해 쉽게 사용할 수없는 보안 조치가 제공됩니다.
기본적으로 SRX는 보안 정책 테스트를 통과 한 패킷을 라우팅하지만 소스 및 대상 IP 주소는 변환하지 않습니다. 세션을 통해 흐르는 패킷은이 지점을 보여줍니다. 패킷이 대상으로 흐르고 돌아올 때 인 및 아웃 주소는 변경되지 않습니다.
루트 # 보안 흐름 세션 표시 세션 ID: 100001790, 정책 이름: admins_to_untrust / 4, 시간 초과: 1800 있음: 1922. 2. 2/4781 → 209. 239. 112. 126/80; tcp, If: ge-0 / 0 / 0. 0 외: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0 / 0 / 2. 0 …
이 주소 변환 서비스를 SRX에 쉽게 제공하도록 NAT를 구성 할 수 있습니다.
SRX에서는 세 가지 주요 NAT 옵션, 발신지, 수신 지, 및 정적을 사용할 수 있습니다. 첫 번째 두 개는 주소 풀을 기반으로 소스 또는 대상 주소를 변환하지만 마지막 옵션은 정적으로 주소를 매핑합니다 (따라서 서버와 네트워크 프린터는 안정적이지만 숨겨진 주소를 갖습니다).
-원하는 NAT 옵션을 결정하면 다른 옵션을 조정할 수 있습니다. 특히 사용할 수있는 옵션은 발신지와 발신지 간 인터페이스 변환을 사용하거나 포트와 IP 주소를 변환하는 것 중에서 선택할 수 있습니다 (기술적으로 이것은 NATP - 포트와 NAT입니다).하지만 NAT 사용자는 모든 것을 간단하게 호출하는 경향이 있습니다. NAT >).
그러나 SRX는 "개인"LAN과 "공용"인터넷을 구별하지 못한다는 것을 기억해야합니다. SRX는 영역 만 알고 있으며 예상되는 NAT 서비스를 제공하기 위해 올바르게 구성되어야합니다.
