4.PaloAlto安全与NAT策略

标签：1.0   tor   roc   6.2   安全策略   配置   网络访问   images   ado   

1.1 NAT的类型

• 源NAT：用于内部用户上网
• 目的NAT--用于私有网络中的服务器为公有网络提供服务

1.2 源NAT的类型

• 静态IP
  • 一对一固定转换（双向NAT：出去转源，进来转目的）
  • 源IP改变，源端口不变（10.0.0.1:1025--->202.100.1.1:1025）
• 动态IP
  • 源IP一对一动态转换，端口不变
• 动态IP/Port（DIPP）
  • 多个客户端使用同一个公网ip，但是源端口不同 (10.0.0.1:1025--->10.0.0.1:11025)
  • 转换后的地址可以是接口地址也可以是指定的IP

1.3 DIPP NAT OverSubscription

相同IP/Port映射可以被用于多个并发会话，前提是主机连接不同的目的地。意思是当不同的内部主机访问公网不同资源做NAT时，可以映射到相同IP的同一端口。

• 设置
  【Device】-【Setup】-【Session】-【Session Settings】
  

1.4 LAB 6 Static NAT

• 实验目的：通过本实验可以掌握静态NAT的配置
• 实验需求：DMZ Win2012（192.168.1.200）转换到Outside Win2012_NAT(202.100.1.200)

• 实验过程：

  • 创建tag（可以通过TAG来对IP做分类）
    【Object】-【Tags】
    
  • 创建Object
    【Object】-【Addresses】
    
    
    
  • 创建NAT策略
    【Policy】-【NAT】

  

  

  
  说明：勾选Bi-directional时，启用双向NAT，当用户从outside访问200.1.100.200时，可以自动转换为DMZ的192.168.1.200.思科默认为双向NAT

  • 创建安全策略：
    DMZ---->Outside
    

    

    

    

Outside--->DMZ

说明：由于Check Security Policy在NAT Policy Apply之前，所以这里的目的地址是转换前的地址。

• 实验结论：

  • 当Win2012访问outside区域网络时，通过Monitor查看NAT流量。

  • 当通过outside区域网络访问DMZ Win2012时，通过Monitor查看NAT流量。

  • 动态IP
• 实验目的：通过本实验可以掌握静态NAT的配置
• 实验需求：当inside的172.16.2.0去往outside时，转换为192.168.2.120-192.168.2.130

• 实验过程：

  • 实验结论：

  • DIPP
• 实验目的：通过本实验可以掌握静态NAT的配置
• 实验需求：当inside的172.16.1.0去往outside时，转换为FW1通往outside的接口IP
  • 实验过程：
  • 实验结论：

4.PaloAlto安全与NAT策略

标签：1.0   tor   roc   6.2   安全策略   配置   网络访问   images   ado   

原文地址：http://blog.51cto.com/robingo/2132844