Palo Alto 防火墙配置Nat详解

NAT 策略的区域选择基于 NAT 前地址区域

1、snat，主要用于防火墙内部用户访问外网

举例如下所示：

 

 

 

ps：在源地址转换中，转换类型有静态ip，在这种情况下，内部的一个服务器私有地址被转为一个公网地址来上网；如果勾选了双向，外部用户可以通过该公网地址来访问内部的服务器。但是静态ip模式的优先级比较低，如果想让该策略生效，需要把该策略放到最前面。

使用场景如下图所示：

2、dnat（ip mapping），将某一个公网地址单独的映射给内部的某一台服务器。

 

 

 

在做dnat时，区域基于nat前 地址所在的区域。源区域一般为untrust，目标区域要使用驻留公共 IP 地址的区域（即untrust）来配置 NAT 策略，在这种情况下，源和目标区域将是相同的。

配置完dnat后，还需要配置相应的放行策略，如下图所示，源zone为untrust，目的zone为dmz，目的ip为服务器映射的公网地址。

 

3、dnat（port mapping），将某一个公网地址的不同端口映射给内部的不同服务器的不同端口。

 

 

 

 

 

4、dnat（内部用户通过公网地址访问内部服务器）

trust用户也通过访问3.1.1.100来访问内部服务器。

 

5、dnat（server和内部用户都在trust区域）

 

 

默认trust-trust为放行的。

ps：在monitor>日志>通信，可以查看通信日志的情况（nat和策略的放行或拒绝动作），在命令行里使用：show session all也可以查看。

pps：使用show running nat-policy可以在命令行里查看nat策略的配置情况。

在dnat中policy和nat相互影响，在配置nat和policy时最常见的错误是zone和ip 对象的确定。在dnat中地址一般指的是数据包中原始的ip地址，即转换之前的地址；在dnat中目的区域基于nat前 地址所在的区域，即被访问的公网ip所在的区域。

在安全策略（policy）中，地址和服务值得也是数据包中原始的ip地址和端口，即转换之前的地址；然而，在安全策略（policy）中目的区域指的是最终被访问的主机所在的区域。