内部ホスト「10.10.10.1」をグローバルアドレス「200.200.200.1」として外部へ公開します。

MIPという設定を使ってこの NAT を実現します。

今回、「200.200.200.1」が MIP ということになります。

MIP の設定方法はこちら

ここでは、外部 (Untrust 側) から NAT を介して内部ホスト「10.10.10.1」に
アクセスできるようにポリシーを設定します。

------------------------
ポリシーの設定
------------------------
NAT の対象となるポリシーを設定する。
例えば、10.10.10.1は web サーバで HTTP・HTTPS を公開しているとする。

この場合、設定するポリシーは、

Source    Destination    Service    Action
ANY        10.10.10.1      HTTP      Permit
ANY        10.10.10.1      HTTPS    Permit

となる。

ただ、これをそのまま「From Untrust to Trust」のポリシーとして、
設定するわけではない。

NAT（MIP）を使用する場合には、
「From Untrust to Global」のポリシーとして設定する。
その際、Destination に MIP を指定する。
したがって、次のようなポリシーになる。

「From Untrust to Global」
Source    Destination            Service    Action
ANY        MIP(200.200.200.1)  HTTP      Permit
ANY        MIP(200.200.200.1)  HTTPS    Permit

※当たり前だが、念のため
「From Untrust to Trust」に許可するポリシーを入れなければ、
外部ホストが直接内部ホスト 10.10.10.1 にアクセスすることはできない。
上記設定により、NAT のアドレスを通してのみ 10.10.10.1 へアクセスが可能となっている。