Palo Alto [LAB-3] Cấu hình Security và NAT Policy trên PAN VM-series (Phần 2)

phile

Moderator
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Security Policy trên PAN VM-series

III. Cấu hình NAT Policy trên PAN VM-series

[LAB-3] Cấu hình Security và NAT Policy trên PAN VM-series (Phần 2)
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

III. Cấu hình NAT Policy trên PAN VM-series


Để cấu hình NAT trên PAN VM-series tiến hành vào phần POLICIES > NAT > Chọn Add.
1696389807868.png

Tại tab General tiến hành cấu hình các thông tin để xác định NAT bao gồm:
 • Name: tên của NAT rule
 • Group Rules By Tag: cho phép nhóm các NAT theo group để dễ dàng cho việc quản lý và cấu hình
 • NAT Type: kiểu NAT hoạt động trên địa chỉ IP nào
Lưu ý: theo kiến trúc của PAN thì NAT sẽ được xử lý trước Security Rule nên sau khi cấu hình NAT cần phải cấu hình thêm Security Rule để cho phép nó hoạt động.
1696389827897.png

Tiếp theo tại tab Original Packet giúp xác định traffic sẽ được NAT, trong bài lab này sẽ xác định traffic của Subnet 172.16.198.0/24 và 172.16.199.0/24 đi internet cụ thể bao gồm:
 • SOURCE ZONE: nguồn traffic bắt đầu từ zone nào
 • Destination Zone: đích đến của traffic ra zone nào
 • Destination Interface: đích đến của traffic được cổng nào xử lý
 • Service: dịch vụ của traffic được match để NAT
 • SOURCE ADDRESS: địa chỉ nguồn traffic sinh ra
 • DESTINATION ADDRESS: địa chỉ đích traffic muốn tới
Lưu ý: nếu để any có nghĩa là match tất cả. cấu hình này giống như một security rule để xác định traffic nào sẽ được NAT
1696389831760.png

Tiếp theo tại tab Translated Packet cho phép thay đổi thông tin IP và port của traffic ban đầu thông qua NAT, hỗ trợ 2 kiểu thay đổi thông tin: Source Address Translation (thay đổi thông tin liên quan đến nguồn traffic sinh ra), Destination Address Translation (thay đổi thông tin liên quan đến đích traffic cần tới). Đối với SNAT sẽ thực hiện thay đổi thông tin trong Source Address Translation cụ thể trong bài lab này sẽ thực hiện thay đổi các thông số bao gồm:
 • Translate Type: hỗ trợ kiểu thay đổi Dynamic IP and Port (Lựa chọn địa chỉ dựa trên hàm băm của địa chỉ IP nguồn), Dynamic IP (cuyển đổi địa chỉ có sẵn tiếp theo trong phạm vi được chỉ định nhưng số cổng vẫn không thay đổi. ), Static IP (Địa chỉ giống nhau luôn được sử dụng để chuyển đổi và cổng không thay đổi)
 • Address Type: tùy vào translate type mà các thông số có thể thay đổi, kiểu dùng để chuyển đổi với NAT overload sẽ sử dụng chuyển đổi dựa vào IP của cổng
 • Interface: chọn cổng sẽ chịu trách nhiệm chuyển đổi
 • IP Address: địa chỉ IP trên cổng chịu trách nhiệm chuyển đổi
1696389835052.png

Sau khi tạo xong NAT rule, cần phải cấu hình Security rule tương ứng với trường hợp NAT overload sẽ cấu hình rule cho phép Subnet 172.16.198.0/24 và 172.16.199.0/24 có thể truy cập ra outside_zone như hình bên dưới.
1696389854435.png

Lúc này trên các PC thuộc Subnet 172.16.198.0/24 và 172.16.199.0/24 kiểm tra sẽ thấy được chúng có thể truy cập internet.
1696389878664.png
1696389881729.png
Trên thiết bị PAN VM-series để kiểm tra có thể dựa vào HIT COUNT (số lần match rule NAT) hoặc dựng vào Test Policy Match tương tự với Security rule.
1696389892607.png
1696389896299.png
Thêm vào có thể monitor traffic dựa vào log như hình bên dưới để xem thông tin NAT.
1696389905190.png

Ngoài ra còn hỗ trợ check các session đang hoạt động ở phần MONITOR > Session Browser như hình bên dưới.
1696389910573.pngTiếp theo để tạo SNAT rule static cho phép việc truy cập dựa vào 1 ip khác IP trên cổng ouside (có thể là ip alias hoặc ip được nhà mạng cấp), cũng thực hiện tương tự như trên.
1696389920204.png

Ở tab Origianl Packet sẽ cấu hình tương tự nhưng ở tab Translate packet thì chọn Access Type là Translate Address để chỉ định IP cụ thể dùng để chuyển đổi như hình bên dưới.
1696389929934.png
1696389932056.png
Sau khi cấu hình sẽ được kết quả như hình bên dưới, đồng thời cũng cần cấu hình Security rule tương ứng.
1696389936772.png
1696389968715.png
Kiểm tra NAT rule thông qua Test và Session sẽ thấy được traffic đi internet của IP 172.16.100.100/24 thông qua IP 10.120.190.51/24 như hình bên dưới.
1696389984504.png
1696389987151.png


Để cấu hình DNAT cho phép public port trước tiên cũng cần phải định nghĩa thông tin NAT như hình bên dưới.
1696390014114.png

Sau đó xác định port dùng để NAT ở phần service và IP public dùng để nhận kết nối từ người dùng bên ngoài ở phần Destination address. Vì dùng DNAT port forwarding nên các traffic kết nối đều ở phần ouside_zone cho cả Inteface, Source và Destination zone như hình bên dưới. Đồng thời lúc này thông tin chuyển đổi sẽ là địa chỉ đích nên sẽ chọn kiểu chuyển đổi phù hợp (Static IP là kiểu mapping 1:1, ánh xạ từ IP public về IP server bên trong) và điền thông tin IP, port cần public của server như hình.
1696390024423.png
1696390027460.png
Sau đó cần cấu hình Security rule cho phép traffic từ bên ngoài có thể truy cập vào server bên trong.
1696390038712.png

Tại phần Source để xác định các traffic bên ngoài truy cập tới server bên trong, còn phần Destiantion sẽ xác định thông tin của server bên trong với destination address là IP public sử dụng để chuyển đổi (vì khi người dùng kết nối sẽ sử dụng IP public sau đó sẽ ánh xạ thành IP server nên lúc này traffic trả về từ server sẽ đi qua thông qua chính sách này)
1696390051494.png
1696390054001.png
Tại tab Service/URL Category sẽ xác định service được public (port được public ra bên ngoài) và cấu hình action allow cũng như log.
1696390065134.png
1696390067427.png
Kiểm tra traffic match Security và NAT rule được match như hình bên dưới.
1696390077666.png
1696390080078.png
Kiểm tra các session kết nối với server bên trong ở phần MONITOR > Sesssion Browser.
1696390086554.png

Từ người dùng bên ngoài có thể truy cập service của server nội bộ bên trong.
1696390091680.png
 

Attachments

Last edited:
Top