DotW: 接口内 (数据包进入和退出同一接口)？

在本周的讨论中 (DotW), 我们正在仔细研究社区成员 MicGioia 问的一个有趣的问题:

一个重要的因素, 以确定什么样的连接将工作, 哪些不会没有手动干预, 是帕洛阿尔托网络防火墙是基于区域。这意味着将根据传入数据包所属的源区域和目标区域来处理通信量。

每个防火墙都在规则库的末尾加载了2个隐含的安全策略 (所有安全规则都是从上到下处理的):

这些规则是 intrazone 默认值和区间默认值。

这2策略将确保允许从和到同一区域的任何会话 (例如受信任的信任) 通过, 并且从一个区域到任何其他区域 (如信任不信任) 的任何会话都将被阻止, 除非受到安全规则中先前的策略的否决。

这些默认策略自动允许上述问题: 是否允许数据包从他们 ingressed 的同一接口上出口？

可能的用例是一个没有直接连接到防火墙接口的远程网络, 但必须通过本地连接的路由器 (如 MPLS 远程办公室) 到达, 而本地客户端没有路由。

但是, 对于这种类型的变通办法, 最好创建一个 U 转 NAT 策略, 以便返回的数据包也通过防火墙接口传递。这确保了防火墙可以检查流的两个方向:如何配置 U 转 NAT

有兴趣参加吗？请按照下面的原始讨论:接口内 (数据包进入和退出同一接口) ？

一如既往, 请随时留下任何评论, 太!

谢谢你 ！

死神