paloalto 2020 NAT配置 策略配置

weixu

paloalto 2020 NAT配置 策略配置



1、需要配置zone区域，因为PA的区域是需要自己定义，不像华为，华三，trust untrust dmz这三个区域是没办法删除的。
在国外思科ASA PA都是使用inside outside和dmz来区分域域的。





如果在刚开始配置的时候，区域里面没有接口可以选择，这时不要担心，我们后面可以继续选择。


2、配置接口。



在接口配置中，要选择接口类型，选择三层接口，虚拟路由器是必须要选择的，选择default默认路由，其这里的默认路由很奇怪，只有outside配置一个默认路由即可，没想到inside接口也要配置默认路由，很奇怪。
安全区域配置。



ipv4配置ip地址。如下图所示配置。



ipv6地址没有配置。





在高级中有个管理配置文件，这个需要配置一下。是否可以通过这个接口来访问PA的ping HTTPS等服务。



可以按自己的需要进行配置。





可以配置名称，选择允许的服务，还要台添加只允许哪个ip地址可以访问到这个PA。







两个接口都是这么配置。



3、配置默认路由
如果我们防火墙需要访问到互联网，就必须要配置一个默认网关。找到虚拟路由器



它被称为一个虚拟的路由器，因为防火墙不会利用一个单一的路由实例，但可以有多个，所有绑定到不同的接口。这允许路由的情况非常不同于彼此，并使得路由一级网络隔离。现在，我们会坚持我们有的一个
这里就需要将inside接口和outside接口都加入进来。



配置静态默认路由。



会将目标设置为0.0.0.0/0包含 所有IP子网，因为这是连接到互联网路由器的外部接口，最后将下一跳的路由器的ip地址写在上面。


4、配置DHCP。







必须要先选择接口，然后租期，网关，DNS，IP pool地址池，保留地址。







DHCP配置完成，提示一下ethernet1/9配置时，必须也要将这个接口加入到default router里面，加入到虚拟路由里面。否则DHCP也配置不成功。





DHCP配置好之后，在这个接口后面会有个DHCP的小图标。









5、配置NAT

















NAT配置，如果配置过中国的华三，或者华为，它们叫做easy ip。





6、配置安全策略。































PA的最大特点，就是一条策略配置所有安全选项。





这样就配置完成了。





提交完成后，然后点击保存。



最后配置完成之后，电脑还是没有通网，将防火墙重新启动后，就可以上网了。