默认情况下，每对安全区域之间的通信都会受到阻止，直至至少添加一个规则后，才允许在两个区域之间进行通信。

默认情况下允许进行区域内通信，并且这种通信需要显式的阻止规则。如果添加“全部拒绝”规则作为策略中的最后一个规则，除非另行允许，否则将阻止区域内通信。

palo数据转发的流程如上图所示

 

nat和policy中zone和地址的定义规则：