ScreenOS下的MIP, VIP, DIP, NAT-src, NAT-dst區別

ScreenOS下的MIP, VIP, DIP, NAT-src, NAT-dst区别

juniper 防火墙的防火墙接口有三种模式，透明（Transparent）、NAT、路由（route）模式；其中在 ScreenOS 6.2后，防火墙支持在透明模式下的NAT，但是是有条件的，只支持策略nat-src和DIP。（原文Starting with ScreenOS 6.2, the firewall supports NAT in Transparent Mode but only on policy based NAT-src with the DIP pool built on the extended VLAN interface.MIP, VIP or destination NAT is not supported in Transparent Mode.）

透明和路由模式都相对简单，本文为自己学习笔记，记录NAT模式下的各种问题。

首先 ScreenOS提供了以下几种模式NAT：

• DIP (Dynamic IP)
• NAT-Src
• NAT-Dst
• MIP (Mapped IP)
• VIP (Virtual IP)

如何选择正确的NAT模式，见右图：

1.对于outbound方向：使用Source Network Address Translation (NAT) and Source Port Address Translation (PAT)  、Source NAPT (Network Address Port Translation)、Policy NAT-Src or DIPs (Dynamic IPs)

2.对于inbound方向（客户端在外网untrust方向访问内网资源）：使用Port Forwarding or Destination NAT (Destination port translation) 、Destination IP Address translation 、Destination IP and Destination Port Address Translation (PAT)、Policy NAT-Dst or VIPs (Virtual IPs)

3.对于双向访问使用MIPs (Mapped IPs)。注：此处的双向指无论到Inbound还是Outbound，必须是“内网”同一主机（ from the same internal hosts.）否则你可以分别建立第一、二两种不同的NAT达到要求。

对于NAT-Src、NAT-Dst，是属于策略机的NAT；DIP、MIP、VIP是接口级NAT；有一些需要注意的地方：

1、入口接口處于“路由”或 NAT 模式时，可以使用基于策略的 NAT-src。如果处于NAT 模式，策略级的 NAT-src 参数将取代接口级的 NAT 参数。

2、可以在同一策略中结合使用 NAT-src 和 NAT-dst。每个转换机制均独立执行，且只能单向执行。也就是说，如果在从 zone1 到 zone2 的信息流上启用 NAT-dst，安全设备就不会在从 zone2 到 zone1 的信息流上执行 NAT-src，除非您明确配置策略让设备这样执行。

3、虽然 MIP 和 VIP 的地址转换机制是双向的，但基于策略的 NAT-src 和 NAT-dst 能够将入站和出站信息流的地址转换分开，以提供较好的控制与安全性能。例如，如果在 Web 服务器上使用 MIP，则每当服务器发起出站信息流以获取更新或补丁程序时，其活动都会被公开，这样就将信息提供给警觉的攻击者，供其进行攻击。利用基于策略的地址转换方法，可以在 Web 服务器 (使用 NAT-dst) 接收信息流而不是 (使用 NAT-src) 发起信息流时定义不同的地址映射。这样可以使服务器的活动处于隐藏状态，防止他人收集信息趁机攻击，从而更好地保护服务器。在此版 ScreenOS 中，基于策略的 NAT-src 和 NAT-dst 各提供一种单一方法，加起来可以取代基于接口的 MIP 和 VIP 功能，而且超过了后者。

對於如何配置各种NAT，官方有详细的步骤及例子教授：

[Outbound direction] How to configure Source Network Address Translation (NAT-src) and source Port Address Translation (PAT)

[Inbound direction] How to configure Destination Network Address Translation (NAT-Dst); includes Port Mapping/Port Forwarding

[Bidirectional] How to configure one-to-one, bi-directional NAT (MIPs and other NAT combinations)

出處:引用http://eisen.me/archives/2153.html