juniper防护墙一般是把trust接口部署为NAT模式,untrust接口部署为route模式。这样当来自内部的数据访问Utrust区域时,会把源地址翻译成untrust接口的地址。从而达到隐藏内部地址的目的。我不禁有这样的疑问,如果防火墙的DMZ接口或者untrust接口部署为NAT模式会怎么样?请教了以为资深的juniper工程师,他是这样解释的:一般工程来说,只会把trust接口部署为NAT模式,其它接口全部部署为route模式。而且现在juniper厂家的建议就是所有区域的接口都部署为route模式,然后通过策略来进行地址翻译。曾经就有这样的情况,用户自定义一个属于trust区域的接口,然后设置为NAT模式。在访问外部区域的时候,没用进行源地址翻译。所以综合起来的建议就是,所有的地址部署为route模式,然后通过策略进行NAT。
补充一点官方的资料:
Untrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT,但是,安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流,ScreenOS 不执行 NAT。还要注意,ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式,但是这样做并不会激活任何 NAT 操作。