首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Paloalto 安全和NAT策略简单部署

Paloalto 安全和NAT策略简单部署

作者头像
刘銮奕
发布2019-07-22 17:37:35
1.7K0
发布2019-07-22 17:37:35
举报
文章被收录于专栏:奕知伴解奕知伴解
建议PC端访问
https://www.liuluanyi.cn

首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。

https://www.paloaltonetworks.com/

如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程请参考以前的写的文章:Paloalto 系统初始化和管理实验演示拓扑图

实验演示拓扑图

PA VM实验版本

Policy rule 的类型:

  • IntraZone——流量在一个zone里穿梭。默认允许。
  • InterZone——流量在不同的zone之间穿梭。默认拒绝。
  • Universal——policy rule默认的类型,可以是IntraZone的,也可以是InterZone的。

Policy rule 的匹配规则:

  • 从上到下匹配。
  • 使用第一个匹配流量的policy rule。
  • 后面的policy rule不再匹配。

NAT处理过程:

  1. 检查源地址和源zone,目的地址和目的zone。
  2. NAT策略评估转换前地址,评估是否有匹配第一步的NAT策略。
  3. 检查安全策略,基于转换前地址和转换后zone。
  4. 使用NAT策略进行地址转换,然后发送数据包。

实验拓扑PA配置

设置接口地址,划分zone,添加ping的profile,否则你直连无法ping通

演示其中一个VR配置(每一个三层接口只能属于一个VR,每个VR都是相互独立的,VR间可以路由,但下一跳必须是VR中的地址)

额外演示一下VR中OSPF以及重分布如何配置(与本实验路由无关):

此时Inside区域内的主机就可以ping通Internet了。

做NAT的配置演示

添加object中的address,并分类打上颜色tag:

做静态地址转换:

上面图示中Bi-directional代表双向转换,勾选上

做策略进行流量放行(强调一下,是基于转换前地址和目标zone):

结果成功验证:在PA底层使用show session all 查看

动态地址转换演示

做策略进行流量放行(强调一下,是基于转换前地址和目标zone):

结果成功验证:在PA底层使用show session all 查看


本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-07-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 奕知伴解 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 建议PC端访问
  • https://www.liuluanyi.cn
相关产品与服务
NAT 网关
NAT 网关(NAT Gateway)提供 IP 地址转换服务,为腾讯云内资源提供高性能的 Internet 访问服务。通过 NAT 网关,在腾讯云上的资源可以更安全的访问 Internet,保护私有网络信息不直接暴露公网;您也可以通过 NAT 网关实现海量的公网访问,最大支持1000万以上的并发连接数;NAT 网关还支持 IP 级流量管控,可实时查看流量数据,帮助您快速定位异常流量,排查网络故障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档