Trong triển khai Cisco Secure Firewall Threat Defense (FTD), việc cấu hình NAT (Network Address Translation) đóng vai trò quan trọng để cho phép các thiết bị nội bộ sử dụng IP private có thể giao tiếp với internet, DMZ hoặc các mạng đối tác. Toàn bộ quá trình được quản lý tập trung thông qua Cisco Secure Firewall Management Center (FMC, trước đây là Firepower Management Center).

1. NAT Policy trong FMC


Tại FMC, NAT được quản lý dưới dạng NAT Policy. Mỗi NAT Policy có thể được gán cho một hoặc nhiều thiết bị FTD, nhưng một thiết bị chỉ có thể thuộc về duy nhất một NAT Policy.

Đường dẫn thao tác:
Devices > NAT

Tại đây, bạn sẽ thấy:

• Danh sách các NAT Policy đã được tạo.
• Loại thiết bị áp dụng (Secure Firewall/Threat Defense).
• Trạng thái triển khai (Up-to-date hay Pending Deployment).

Lưu ý: FMC không cung cấp sẵn NAT Policy mặc định, nên bạn cần tự tạo policy trước, sau đó định nghĩa các NAT rule và gán cho thiết bị.

---

2. Tạo NAT Policy


Quy trình tạo một NAT Policy mới:

1. Vào Devices > NAT, nhấn New Policy > Threat Defense NAT.
2. Nhập tên Policy, ví dụ: FTD-NAT.
3. (Tùy chọn) Thêm mô tả, ví dụ: NAT rules for internet edge.
4. Thêm thiết bị mục tiêu vào NAT Policy.
   • Chọn từ cột Available Devices, nhấn Add to Policy để đưa vào Selected Devices.
   • Một thiết bị chỉ có thể thuộc một NAT Policy → nếu đã được gán, nó sẽ không xuất hiện ở danh sách Available.
5. Nhấn Save để lưu.

---

3. Cơ chế xử lý NAT trên FTD


Khi gói tin đi vào interface của firewall:

1. Firewall kiểm tra bảng Active Translation. Nếu trùng match, NAT được áp dụng ngay.
2. Nếu không match, firewall kiểm tra theo NAT Policy Table (theo thứ tự các section).
3. Nếu không có rule nào khớp, gói tin sẽ không được NAT.

---

4. Ba vùng NAT trong FMC


Một NAT Policy có 3 khu vực chính để sắp xếp rule: a. NAT Rules Before (Manual NAT – Pre Auto NAT)

• Còn gọi là Manual NAT.
• Có thể dùng Source và Destination IP để định nghĩa rule.
• Áp dụng theo thứ tự từ trên xuống dưới, first match wins.
• Quy tắc quan trọng: các rule cụ thể phải đặt trên rule tổng quát để tránh bị bỏ qua.

b. Auto NAT Rules (Object NAT)

• Được đánh giá sau Manual NAT Before.
• Chỉ dùng Source IP để NAT (khác với Manual NAT có thể dùng cả Source/Destination).
• Thứ tự xử lý:
  1. Static NAT
  2. Dynamic NAT
• Trong cùng loại, sắp xếp theo:
  • Số lượng địa chỉ trong object (ít → nhiều).
  • IP Address (nhỏ → lớn).
  • Tên object (theo thứ tự alphabet).
• Lưu ý: FMC không reorder rule trên GUI, nhưng khi deploy xuống thiết bị, FTD sẽ reorder. Có thể kiểm tra thực tế bằng CLI:
  show nat detail

c. NAT Rules After (Manual NAT – Post Auto NAT)

• Được đánh giá sau Auto NAT.
• Cũng theo nguyên tắc first match wins.
• Thường chứa các rule tổng quát nhất (catch-all).

---

5. Cấu trúc một NAT Rule


Một NAT Rule trong FMC bao gồm 3 thành phần chính:

• Type/Source Interface/Destination Interface
  • Xác định phạm vi áp dụng (Inside → Outside, DMZ → Outside, v.v.).
• Original Packet
  • Thông tin gói tin trước khi dịch (Source, Destination, Port).
• Translated Packet
  • Cách dịch gói tin (IP tĩnh, PAT, Dynamic Pool, Interface IP).

Ngoài ra còn có Advanced Options để tùy chỉnh chi tiết.

---

6. Kết luận


NAT trong Cisco Secure Firewall Management Center mang tính policy-driven, giúp quản lý tập trung nhiều thiết bị FTD. Khi triển khai, bạn cần chú ý đến:

• Thứ tự rule trong Manual NAT.
• Cơ chế reorder của Auto NAT.
• Nguyên tắc first match wins.
• Cấu trúc NAT Policy gồm Before, Auto, After.

Một thiết kế NAT tốt không chỉ giúp dịch địa chỉ mà còn đảm bảo an ninh, hạn chế xung đột và tối ưu hóa luồng traffic qua firewall.
​