NAT (Network Address Translation) ポリシーを使用して、送信元または送信先のIPアドレスとポートをパブリックとプライベートの間、およびレイヤ3のインタフェース間で変換するかどうかを指定できます。たとえば、内部 (信頼できる) ゾーンからパブリック (信頼できない) ゾーンに送信されるトラフィックで、プライベートの送信元アドレスをパブリックアドレスに変換できます。

次のNATポリシールールは、ある範囲のプライベート送信元アドレス (10.0.0.1～10.0.0.100) を単一のパブリックIPアドレス (200.10.2.100) および独自の送信元ポート番号に変換します (動的な送信元変換)。このルールは、内部 (信頼できる) ゾーンのレイヤ3インタフェース上で受信したトラフィックのうち、パブリック (信頼できない) ゾーンのインタフェースが送信先であるトラフィックのみに適用されます。プライベートアドレスは非表示であるため、ネットワークセッションはパブリックネットワークから開始されます。パブリックアドレスがCloud Edgeインタフェースアドレス (または同じサブネット上のアドレス) ではない場合、ローカルルータではリターントラフィックをCloud Edgeに送るための静的ルートが必要になります。