在本周的讨论中 (DotW), 我们正在仔细研究社区成员 MicGioia 问的一个有趣的问题:
一个重要的因素, 以确定什么样的连接将工作, 哪些不会没有手动干预, 是帕洛阿尔托网络防火墙是基于区域。这意味着将根据传入数据包所属的源区域和目标区域来处理通信量。
每个防火墙都在规则库的末尾加载了2个隐含的安全策略 (所有安全规则都是从上到下处理的):
这些规则是 intrazone 默认值和区间默认值。
这2策略将确保允许从和到同一区域的任何会话 (例如受信任的信任) 通过, 并且从一个区域到任何其他区域 (如信任不信任) 的任何会话都将被阻止, 除非受到安全规则中先前的策略的否决。
这些默认策略自动允许上述问题: 是否允许数据包从他们 ingressed 的同一接口上出口?
可能的用例是一个没有直接连接到防火墙接口的远程网络, 但必须通过本地连接的路由器 (如 MPLS 远程办公室) 到达, 而本地客户端没有路由。
但是, 对于这种类型的变通办法, 最好创建一个 U 转 NAT 策略, 以便返回的数据包也通过防火墙接口传递。这确保了防火墙可以检查流的两个方向:如何配置 U 转 NAT
有兴趣参加吗?请按照下面的原始讨论:接口内 (数据包进入和退出同一接口) ?
一如既往, 请随时留下任何评论, 太!
谢谢你 !
死神