Paloalto 安全和NAT策略简单部署

  • A+
所属分类:安全 网络

首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。

https://www.paloaltonetworks.com/

如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程请参考以前的写的文章:Paloalto 系统初始化和管理

Paloalto 安全和NAT策略简单部署

实验演示拓扑图
Paloalto 安全和NAT策略简单部署

PA VM实验版本


Policy rule 的类型:

  • IntraZone——流量在一个zone里穿梭。默认允许。
  • InterZone——流量在不同的zone之间穿梭。默认拒绝。
  • Universal——policy rule默认的类型,可以是IntraZone的,也可以是InterZone的。

Policy rule 的匹配规则:

  • 从上到下匹配。
  • 使用第一个匹配流量的policy rule。
  • 后面的policy rule不再匹配。

NAT处理过程:

  1. 检查源地址和源zone,目的地址和目的zone。
  2. NAT策略评估转换前地址,评估是否有匹配第一步的NAT策略。
  3. 检查安全策略,基于转换前地址和转换后zone。
  4. 使用NAT策略进行地址转换,然后发送数据包。

实验拓扑PA配置

设置接口地址,划分zone,添加ping的profile,否则你直连无法ping通

Paloalto 安全和NAT策略简单部署
Paloalto 安全和NAT策略简单部署

演示其中一个VR配置(每一个三层接口只能属于一个VR,每个VR都是相互独立的,VR间可以路由,但下一跳必须是VR中的地址)

Paloalto 安全和NAT策略简单部署

额外演示一下VR中OSPF以及重分布如何配置(与本实验路由无关):

Paloalto 安全和NAT策略简单部署
Paloalto 安全和NAT策略简单部署
Paloalto 安全和NAT策略简单部署

此时Inside区域内的主机就可以ping通Internet了。

做NAT的配置演示

添加object中的address,并分类打上颜色tag:

Paloalto 安全和NAT策略简单部署

做静态地址转换:

Paloalto 安全和NAT策略简单部署
Paloalto 安全和NAT策略简单部署

上面图示中Bi-directional代表双向转换,勾选上

Paloalto 安全和NAT策略简单部署

做策略进行流量放行(强调一下,是基于转换前地址和目标zone):

Paloalto 安全和NAT策略简单部署

结果成功验证:在PA底层使用show session all 查看

Paloalto 安全和NAT策略简单部署

动态地址转换演示

Paloalto 安全和NAT策略简单部署

做策略进行流量放行(强调一下,是基于转换前地址和目标zone):

Paloalto 安全和NAT策略简单部署

结果成功验证:在PA底层使用show session all 查看

Paloalto 安全和NAT策略简单部署

  • 我的微信
  • 欢迎大家,与我交流,非诚勿扰谢谢
  • weinxin
  • 奕知伴解 微信公众号
  • 扫一扫关注,从此不迷路。
  • weinxin
刘銮奕

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: