书接上篇,在上网配置(一)中已经完成了接口及安全域的配置
2、路由配置
在本次实验拓扑中需要配置的路由只有一个那就是去往untrust方向的路由。如果拓扑是类似于第二图中那样,那么还需要配置去往trust方向的路由。路由的配置方法如下:
点击“network"菜单,在左侧点击”virtual routers“,然后再在右侧点击”default"如下图:
还记得在上篇中配置接口的时候,有一项是要选择virtual router么?其实就是这里。点击完default之后,弹出如下图所示:
点击“static routes",然后单击”add"(上图中显示的静态路由是已经配置好的,默认在这里是空的)
配置路由的名称,目的网络及下一跳,然后点击“OK”。当然了,在这里我配置的只是基本的参数,这里还有其它的参数可以配置,就先不一一介绍了。
接口、安全域、路由配置完成了,下面我们要配置NAT策略
3、NAT策略配置
点击“Policies"菜单,然后点击”NAT“,右侧会显示NAT策略列表,但是默认是空的,我们可以点击下方的”Add“来创建一条NAT规则
点击"Add"之后,弹出如下窗口:
配置一个NAT策略的名称,选择NAT的类型。
配置完General标签后,再配置Original Packet标签,在这里要配置源安全域、目的安全域、目的接口、服务、源IP及目的IP,其实这里根据实际情况进行配置。我在这里配置的是源安全域trust的任意IP到目的安全域untrust的任意接口的、任意IP的、任意服务的访问。
最后一个配置的是translated Packet标签
这里要配置的是:
1)、translation type:这里有好几个选项,我选择是Dynamic IP and Port,这个NAT转换类型是基于IP和端口的,如果用户环境中只有一个公网IP,那么在这里配置NAT的时候只能选择这个。
2)、Address type:因为我们测试环境只有一个”公网“IP(当然了,我们配置的是一个私网IP),并且这个IP配置在了接口上,所以在这里只能选择interface address。
3)、interface:internet连接在哪个接口上,就选择哪个接口。
4)、IP Address:这个就是选择”公网“接口的IP地址。
完成之后点击OK
4、安全策略配置
配置完NAT策略之后,还有最重要的一个”安全策略“配置,因为它将决定你的数据包是否能从防火墙出去。配置方法如下:
点击”policies"菜单,在左侧点击“security",这时右侧会列出系统中的安全策略,如下图:
右侧框中的两条策略是系统默认的,在这里我们要创建我们自己的策略,点击下方的”Add"
配置安全策略名称及规则类型
选择源安全域及源IP。
配置目的安全域及目的IP
配置要访问的应用,这里选择的是any,如果你只允许这个用户访问搜狐视频,或是微信视频,那么就需要在这里选择。
这里配置要访问的service及URL,此次实验只是要上网,不做任何限制这里保持默认
这里主要配置Action,也就是策略的动作,是允放还是拒绝,我们这里选择allow。右侧有log setting设置,可以根据情况选择。
在这里还有一个很重要的选项“Profile Setting"这篇暂时不做介绍,后面会单独讲解,我们这里只是实现基本的上网功能。
配置完成之后点击”OK“
这时需要配置的部分已经完成了,最后我们还需要Commit一下配置,不然配置不会生效。
最后我们进行一下测试,看看内网测试PC是否能够访问internet.
1)、在CMD中PING一下百度
可以看到到百度已经通了
2)、再测试一个WEB访问
也可以正常访问WEB了。
至此关于Palo Alto防火墙上网配置部分已经介绍完了。