Palo Alto防火墙---目的NAT篇

其实在前面的篇章中我们已经介绍了源NAT，简单的说就是内网要访问internet的时候，需要在防火墙上做源NAT。

那么目的NAT呢？

目的NAT其实就是反过来，简单的说就是来自internet上的一台终端要访问你内网的某一台服务器，这时候需要配置目的NAT。

比如以下场景就需要用到目的NAT：

1、公司需要将自己的网站发布到互联网，以便其他人可以访问。

2、公司需要将自己的OA系统发布到互联网，以便公司的员工可以随时访问。

3、公司的微信小程序需要调用内网服务器的数据。

当然了，我只是简单的列出了三个场景，如何应用要看实际情况。

此次，我们以发布内网网站为例来说明如何配置目的NAT。

环境：公司内网WEB服务器IP为192.168.100.200，目前已经开通IIS服务。

要求：当访问公司公网IP（以10.109.200.208为例）的8080端口时，可以跳转到192.168.100.200的80端口。

配置方法：

1）、配置NAT策略

在这里首先为NAT策略配置一个名称，然后点击“Original Packet"标签

在这里要配置源安全域untrust，目的安全域untrust，服务service，这里的服务我定义的是web-8080，如下图所示，另外还要配置源地址，目的地址，这里的目的地址就是我们要访问的公网IP。

上面的标签配置完成之后，点击”Translated Packet"标签

这里要配置目的地址转换，转换类型选择static IP，转换IP和端口就是内网WEB服务的IP和端口号，配置完成点击OK，配置完成如下：

2）、配置安全策略

在之前提到过，如果仅仅是配置了NAT，那么是不起作用的，必须要有安全策略放行才可以。

我们新建一条策略，并为策略起一个名字，然后继续后面标签的配置

在Source标签中，我们需要源安全域，选择untrust，其它可以保持默认。

在Destination标签中，我们需要配置目的安全域，选择trust，目的地址为公网IP，这里是10.109.200.208。

在Service/URL Category标签中，我们需要配置服务，在这里选择的是我之前定义的web-8080。

最后在Actions标签中，配置Action为Allow，就是允许访问，最后点击OK

完成之后commit一下配置。

待提交完配置之后我们测试一下：

在PA防火墙之外找一台电脑，然后在浏览器中输入http://10.109.200.208:8080，显示结果如下：

通过结果可以看到此次的目的NAT已经配置完成了。

同时在防火墙的日志中我们也可以看到此次访问的记录：

好了，到这里目的NAT已经介绍完了……