Что такое Виртуальные Системы (VSYS) в Palo Alto Networks?

Виртуальные системы (VSYS) — это отдельные логические экземпляры межсетевого экрана, функционирующие в рамках одного физического устройства Palo Alto Networks. Вместо развертывания нескольких физических межсетевых экранов, поставщики управляемых услуг (MSP) и крупные предприятия могут использовать одну пару межсетевых экранов (для обеспечения высокой доступности) и активировать на них функциональность виртуальных систем. Каждая виртуальная система (vsys) представляет собой независимый, отдельно управляемый межсетевой экран, трафик которого полностью изолирован от трафика других виртуальных систем.

VSYS создает административную границу, позволяя логически разделить один физический межсетевой экран на несколько изолированных "виртуальных" межсетевых экранов.

Компоненты VSYS

Виртуальная система состоит из набора физических и логических интерфейсов (включая VLAN и Virtual Wires), виртуальных маршрутизаторов и зон безопасности. Вы можете выбрать режим развертывания для каждой виртуальной системы (любая комбинация Virtual Wire, Layer 2 или Layer 3).

Использование виртуальных систем позволяет сегментировать:

• Административный доступ: разделение управления различными виртуальными системами.
• Управление политиками: все типы политик (безопасности, NAT, QoS, перенаправления на основе политик, дешифрования, Application Override, инспекции туннелей, аутентификации, защиты от DoS).
• Все объекты: адресные объекты, группы и фильтры приложений, внешние динамические списки, профили безопасности, профили дешифрования, пользовательские объекты и т.д.
• User-ID: разделение пользовательских сопоставлений, чтобы они не распространялись на все виртуальные системы.
• Управление сертификатами.
• Профили серверов.
• Функции логирования, отчетности и мониторинга.

Сегментация Маршрутизации с VSYS

Хотя сами по себе виртуальные системы влияют на функции безопасности межсетевого экрана, они не влияют на сетевые функции, такие как статическая и динамическая маршрутизация. Однако вы можете сегментировать маршрутизацию для каждой виртуальной системы, создавая один или несколько виртуальных маршрутизаторов для каждой VSYS:

• Общая сеть: Если у вас есть виртуальные системы для разных отделов одной организации, и сетевой трафик для всех отделов находится в общей сети, вы можете создать один виртуальный маршрутизатор для нескольких виртуальных систем.
• Изолированная маршрутизация: Если требуется полная сегментация маршрутизации и трафик каждой виртуальной системы должен быть изолирован от других, вы можете создать один или несколько виртуальных маршрутизаторов для каждой виртуальной системы.

Поддерживаемые Устройства и Лицензирование

Виртуальные системы поддерживаются на следующих платформах Palo Alto Networks:

• PA-400 Series (только модели PA-440, PA-445, PA-450, PA-455 и PA-460)
• PA-1400 Series
• PA-3200 Series
• PA-3400 Series
• PA-5200 Series
• PA-5400 Series
• PA-7000 Series
• VM-Series межсетевые экраны (с PAN-OS 11.1.3 и более поздними версиями)
• PA-7500 Series межсетевые экраны
• PA-7500 Series межсетевые экраны в кластере NGFW (с PAN-OS 11.1.7 и более поздними версиями)

Каждая серия межсетевых экранов поддерживает базовое количество виртуальных систем, которое варьируется в зависимости от платформы. Если вам требуется создать больше виртуальных систем, чем базовая поддержка вашей платформы межсетевого экрана, необходимо приобрести лицензию Virtual Systems. Для получения подробной информации о лицензировании, а также о базовом и максимальном количестве поддерживаемых виртуальных систем, обратитесь к разделу "Subscriptions" и инструменту "Compare Firewalls" на сайте Palo Alto Networks.

Важное примечание: виртуальные системы не поддерживаются на межсетевых экранах PA-220 и PA-800 Series.

По умолчанию на всех межсетевых экранах присутствует vsys1. Эту виртуальную систему невозможно удалить, так как она является частью внутренней иерархии межсетевого экрана и отображается даже на моделях, которые не поддерживают множественные виртуальные системы.

Управление Ресурсами VSYS

Вы можете ограничивать выделение ресурсов для сессий, правил и VPN-туннелей, разрешенных для каждой виртуальной системы, тем самым контролируя использование ресурсов межсетевого экрана. Для каждой настройки ресурса отображается допустимый диапазон значений, который варьируется в зависимости от модели межсетевого экрана. Значение по умолчанию — 0, что означает, что лимит для виртуальной системы равен общему лимиту для данной модели межсетевого экрана. Однако следует учитывать, что лимит для конкретной настройки не дублируется для каждой виртуальной системы. Например, если межсетевой экран имеет четыре виртуальные системы, каждая виртуальная система не может иметь общее количество правил дешифрования, разрешенное для всего межсетевого экрана. После того как общее количество правил дешифрования для всех виртуальных систем достигает лимита межсетевого экрана, вы не сможете добавить больше.