内部ホスト「10.10.10.1」をグローバルアドレス「200.200.200.1」として外部へ公開します。

MIPという設定を使ってこのNATを実現します。

今回、「200.200.200.1」がMIPということになります。

MIPの設定方法はこちら

ここでは、外部(Untrust側)からNATを介して内部ホスト「10.10.10.1」に
アクセスできるようにポリシーを設定します。

------------------------
ポリシーの設定
------------------------
NATの対象となるポリシーを設定する。
例えば、10.10.10.1はwebサーバでHTTP・HTTPSを公開しているとする。

この場合、設定するポリシーは、

Source    Destination    Service    Action
ANY        10.10.10.1      HTTP      Permit
ANY        10.10.10.1      HTTPS    Permit

となる。

ただ、これをそのまま「From Untrust to trust」のポリシーとして、
設定するわけではない。

NAT（MIP）を使用する場合には、
「From Untrust to Global」のポリシーとして設定する。
その際、DestinationにMIPを指定する。
したがって、次のようなポリシーになる。

「From Untrust to Global」
Source    Destination            Service    Action
ANY        MIP(200.200.200.1)  HTTP      Permit
ANY        MIP(200.200.200.1)  HTTPS    Permit

※当たり前だが、念のため
「From Untrust to trust」に許可するポリシーを入れなければ、
外部ホストが直接内部ホスト10.10.10.1にアクセスすることはできない。
上記設定により、NATのアドレスを通してのみ10.10.10.1へアクセスが可能となっている。