建议PC端访问
https://www.liuluanyi.cn
首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。
https://www.paloaltonetworks.com/
如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程请参考以前的写的文章:Paloalto 系统初始化和管理实验演示拓扑图
实验演示拓扑图
PA VM实验版本
Policy rule 的类型:
- IntraZone——流量在一个zone里穿梭。默认允许。
- InterZone——流量在不同的zone之间穿梭。默认拒绝。
- Universal——policy rule默认的类型,可以是IntraZone的,也可以是InterZone的。
Policy rule 的匹配规则:
- 从上到下匹配。
- 使用第一个匹配流量的policy rule。
- 后面的policy rule不再匹配。
NAT处理过程:
- 检查源地址和源zone,目的地址和目的zone。
- NAT策略评估转换前地址,评估是否有匹配第一步的NAT策略。
- 检查安全策略,基于转换前地址和转换后zone。
- 使用NAT策略进行地址转换,然后发送数据包。
实验拓扑PA配置
设置接口地址,划分zone,添加ping的profile,否则你直连无法ping通
演示其中一个VR配置(每一个三层接口只能属于一个VR,每个VR都是相互独立的,VR间可以路由,但下一跳必须是VR中的地址)
额外演示一下VR中OSPF以及重分布如何配置(与本实验路由无关):
此时Inside区域内的主机就可以ping通Internet了。
做NAT的配置演示
添加object中的address,并分类打上颜色tag:
做静态地址转换:
上面图示中Bi-directional代表双向转换,勾选上
做策略进行流量放行(强调一下,是基于转换前地址和目标zone):
结果成功验证:在PA底层使用show session all 查看
动态地址转换演示
做策略进行流量放行(强调一下,是基于转换前地址和目标zone):
结果成功验证:在PA底层使用show session all 查看
