Juniper ScreenOS下的MIP, VIP, DIP, NAT-src, NAT-dst区别

outlook

　　Juniper防火墙的防火墙接口有三种模式，透明（Transparent）、NAT、路由（route）模式；其中在 ScreenOS 6.2后，防火墙支持在透明模式下的NAT，但是是有条件的，只支持策略nat-src和DIP。（原文Starting with ScreenOS 6.2, the firewall supports NAT in Transparent Mode but only on policy based NAT-src with the DIP pool built on the extended VLAN interface.MIP, VIP or destination NAT is not supported in Transparent Mode.）
　　透明和路由模式都相对简单，本文为自己学习笔记，记录NAT模式下的各种问题。
　　首先 ScreenOS提供了以下几种模式NAT：

• 　　DIP (Dynamic IP)http://kb.juniper.net/library/CUSTOMERSERVICE/BK11909/nat_directions.bmp
  
• 　　NAT-Src
  
• 　　NAT-Dst
  
• 　　MIP (Mapped IP)
  
• 　　VIP (Virtual IP)
  

　　如何选择正确的NAT模式，见右图：
　　1.对于outbound方向：使用Source Network Address Translation (NAT) and Source Port Address Translation (PAT)  、Source NAPT (Network Address Port Translation)、Policy NAT-Src or DIPs (Dynamic IPs)
　　2.对于inbound方向（客户端在外网untrust方向访问内网资源）：使用Port Forwarding or Destination NAT (Destination port translation) 、Destination IP Address translation 、Destination IP and Destination Port Address Translation (PAT)、Policy NAT-Dst or VIPs (Virtual IPs)
　　3.对于双向访问使用MIPs (Mapped IPs)。注：此处的双向指无论到Inbound还是Outbound，必须是“内网”同一主机（ from the same internal hosts.）否则你可以分别建立第一、二两种不同的NAT达到要求。
　　对于NAT-Src、NAT-Dst，是属于策略机的NAT；DIP、MIP、VIP是接口级NAT；有一些需要注意的地方：
　　1、入口接口处于“路由”或 NAT 模式时，可以使用基于策略的 NAT-src。如果处于NAT 模式，策略级的 NAT-src 参数将取代接口级的 NAT 参数。
　　2、可以在同一策略中结合使用 NAT-src 和 NAT-dst。每个转换机制均独立执行，且只能单向执行。也就是说，如果在从 zone1 到 zone2 的信息流上启用 NAT-dst，安全设备就不会在从 zone2 到 zone1 的信息流上执行 NAT-src，除非您明确配置策略让设备这样执行。
　　3、虽然 MIP 和 VIP 的地址转换机制是双向的，但基于策略的 NAT-src 和 NAT-dst 能够将入站和出站信息流的地址转换分开，以提供较好的控制与安全性能。例如，如果在 Web 服务器上使用 MIP，则每当服务器发起出站信息流以获取更新或补丁程序时，其活动都会被公开，这样就将信息提供给警觉的***者，供其进行***。利用基于策略的地址转换方法，可以在 Web 服务器 (使用 NAT-dst) 接收信息流而不是 (使用 NAT-src) 发起信息流时定义不同的地址映射。这样可以使服务器的活动处于隐藏状态，防止他人收集信息趁机***，从而更好地保护服务器。在此版 ScreenOS 中，基于策略的 NAT-src 和 NAT-dst 各提供一种单一方法，加起来可以取代基于接口的 MIP 和 VIP 功能，而且超过了后者。