Skip to main content

Настройка Виртуальных Систем (VSYS) на Palo Alto Networks

Farkhan Aliyev
Updated

Настройка виртуальных систем (VSYS) на межсетевых экранах Palo Alto Networks позволяет создать несколько изолированных логических экземпляров межсетевого экрана на одном физическом устройстве. Это идеальное решение для поставщиков управляемых услуг (MSP) и крупных предприятий, которым требуется строгая сегментация трафика и административного доступа.

Перед началом настройки

Прежде чем приступить к созданию виртуальных систем, убедитесь, что у вас есть следующее:

  • Роль администратора Superuser: Только пользователи с этой ролью могут изменять конфигурацию VSYS.
  • Сконфигурированный интерфейс: Убедитесь, что хотя бы один интерфейс на межсетевом экране настроен и готов к использованию.
  • Лицензия Virtual Systems: Если вы планируете создать больше виртуальных систем, чем поддерживается базовым функционалом вашей платформы, вам потребуется приобрести лицензию Virtual Systems. Подробности о поддержке платформ и лицензировании см. в документации Palo Alto Networks.
  • (Для межсетевых экранов, управляемых Panorama): Если ваш межсетевой экран управляется сервером Panorama, Palo Alto Networks настоятельно рекомендует записать все списки целевых объектов (Target lists) для правил политик, в которые добавлен управляемый межсетевой экран на Panorama, прежде чем изменять статус конфигурации виртуальной системы. Изменение статуса "Multi Virtual System Capability" влияет на все правила политик, где управляемый межсетевой экран был добавлен в список целевых объектов. Изменение этого статуса приведет к удалению межсетевого экрана из списка целевых объектов в правилах политики, управляемых Panorama, что повлияет на то, к каким межсетевым экранам Panorama применяет эти правила. Если удаленный межсетевой экран был единственным целевым объектом, правило теперь будет применяться ко всем межсетевым экранам, связанным с затронутой группой устройств.
    • В случае политик deny (запрета) это может привести к тому, что некоторые межсетевые экраны будут запрещать сессии, которые ранее разрешались.
    • В случае политик allow (разрешения) это может привести к тому, что некоторые межсетевые экраны будут разрешать сессии, которые ранее запрещались.

Пошаговая настройка VSYS

1. Включение функциональности виртуальных систем

  1. Перейдите в Device > Setup > Management.
  2. Отредактируйте General Settings.
  3. Установите флажок Multi Virtual System Capability и нажмите OK.
    • Это действие потребует подтверждения и запустит процесс commit (применения изменений).
    • Только после включения виртуальных систем в разделе Device появятся опции Virtual Systems и Shared Gateways.

2. Создание новой виртуальной системы

  1. Перейдите в Device > Virtual Systems.
  2. Нажмите Add и введите ID виртуальной системы, который будет добавлен к "vsys" (диапазон значений: 1-255).
    • По умолчанию существует vsys1. Вы не можете удалить vsys1, так как она относится к внутренней иерархии межсетевого экрана; vsys1 отображается даже на моделях межсетевых экранов, которые не поддерживают несколько виртуальных систем.
  3. При необходимости установите флажок Allow forwarding of decrypted content, если вы хотите разрешить межсетевому экрану перенаправлять расшифрованный контент во внешнюю службу (например, для отправки расшифрованного контента в WildFire для анализа).
  4. Введите описательное Name для виртуальной системы (максимум 31 буквенно-цифровой символ, пробел и символ подчеркивания).

3. Назначение интерфейсов виртуальной системе

Интерфейсы (виртуальные маршрутизаторы, виртуальные провода или VLAN) могут быть настроены заранее или позднее, при этом вы указываете, к какой виртуальной системе относится каждый из них.

  1. На вкладке General:
    • Выберите объект DNS Proxy, если вы хотите применить правила DNS-прокси к интерфейсу.
    • В поле Interfaces нажмите Add, чтобы добавить интерфейсы или субинтерфейсы, которые будут назначены виртуальной системе. Интерфейс может принадлежать только одной виртуальной системе.
    • В зависимости от требуемых типов развертывания в виртуальной системе, добавьте:
      • VLANs, которые будут назначены этой vsys.
      • Virtual Wires, которые будут назначены этой vsys.
      • Virtual Routers, которые будут назначены этой vsys.
      • Если на межсетевом экране включена Advanced Routing, добавьте Logical Routers, которые будут назначены этой vsys.
  2. В поле Visible Virtual System отметьте все виртуальные системы, которые должны быть видимы для настраиваемой виртуальной системы. Это необходимо для виртуальных систем, которым требуется взаимодействовать друг с другом.
    • В сценарии с множеством арендаторов (multi-tenancy), где требуются строгие административные границы, ни одна виртуальная система не будет отмечена.
  3. Нажмите OK.

4. (Обязательно для межсетевых экранов, управляемых Panorama) Синхронизация с Panorama

  1. Войдите в веб-интерфейс Panorama.
  2. Перейдите в Commit > Push to Devices.
  3. Выполните push всей управляемой Panorama конфигурации на каждую виртуальную систему межсетевого экрана с несколькими VSYS. Это требуется для использования общих объектов конфигурации для межсетевых экранов с несколькими VSYS, управляемых Panorama.

5. (Опционально) Ограничение выделения ресурсов для виртуальной системы

Гибкость в распределении лимитов для каждой виртуальной системы позволяет эффективно контролировать ресурсы межсетевого экрана.

  1. На вкладке Resource вы можете опционально установить лимиты для виртуальной системы. Каждое поле отображает допустимый диапазон значений, который варьируется в зависимости от модели межсетевого экрана. Значение по умолчанию — 0, что означает, что лимит для виртуальной системы равен общему лимиту для данной модели межсетевого экрана.
    • Важно: Лимит для конкретной настройки не дублируется для каждой виртуальной системы. Например, если межсетевой экран имеет четыре виртуальные системы, каждая виртуальная система не может иметь общее количество правил дешифрования, разрешенное для всего межсетевого экрана. После того как общее количество правил дешифрования для всех виртуальных систем достигает лимита межсетевого экрана, вы не сможете добавить больше.
  2. Вы можете настроить лимиты для:
    • Sessions Limit (Лимит сессий): Если вы используете команду CLI show session meter, она отображает максимальное количество сессий, разрешенное на каждый dataplane, текущее количество сессий, используемых виртуальной системой, и количество сессий, регулируемых для каждой виртуальной системы. На межсетевых экранах серии PA-5200 или PA-7000 текущее количество используемых сессий может быть больше, чем настроенный лимит сессий, поскольку на каждую виртуальную систему приходится несколько dataplanes. Лимит сессий, который вы настраиваете на межсетевом экране серии PA-5200 или PA-7000, является лимитом на каждый dataplane и приведет к более высокому максимальному значению на виртуальную систему.
    • Security Rules (Правила безопасности)
    • NAT Rules (Правила NAT)
    • Decryption Rules (Правила дешифрования)
    • QoS Rules (Правила QoS)
    • Application Override Rules (Правила переопределения приложений)
    • Policy Based Forwarding Rules (Правила перенаправления на основе политик)
    • Authentication Rules (Правила аутентификации)
    • DoS Protection Rules (Правила защиты от DoS)
    • Site to Site VPN Tunnels (Туннели Site-to-Site VPN)
    • Concurrent SSL VPN Tunnels (Одновременные туннели SSL VPN)
  3. Нажмите OK.

6. (Опционально) Настройка виртуальной системы как User-ID хаба

Вы можете настроить виртуальную систему как User-ID хаб для совместного использования сопоставлений User-ID между виртуальными системами.

  • Примечание: Информация о сопоставлении IP-адресов и портов с именами пользователей от агентов терминальных серверов и данные сопоставления групп не передаются между хабом виртуальной системы и подключенными виртуальными системами.
  1. Для любых существующих виртуальных систем, передайте конфигурацию источников User-ID, которые вы хотите использовать совместно (таких как отслеживаемые серверы и агенты User-ID), в виртуальную систему, которую вы будете использовать в качестве хаба.
  2. На вкладке Resource выберите Make this vsys a User-ID data hub.
  3. Нажмите Yes для подтверждения, затем OK.
  4. Если вы хотите изменить User-ID хаб на другую виртуальную систему или отключить его, выберите виртуальную систему, которая в данный момент настроена как User-ID хаб, затем выберите Resource > Change Hub.
  5. Выберите New User-ID hub из списка или выберите none, чтобы отключить User-ID хаб и прекратить совместное использование сопоставлений между виртуальными системами.
  6. Нажмите Proceed для подтверждения и применения изменений.
  7. Нажмите Commit.
    • Виртуальная система теперь является объектом, доступным на вкладке Objects.

7. Создание виртуального маршрутизатора для VSYS

Для того чтобы виртуальная система могла выполнять сетевые функции, такие как статическая и динамическая маршрутизация, необходимо создать для нее хотя бы один виртуальный маршрутизатор. В качестве альтернативы, ваша виртуальная система может использовать VLAN или виртуальный провод, в зависимости от вашего развертывания.

  1. Перейдите в Network > Virtual Routers.
  2. Нажмите Add и введите Name для виртуального маршрутизатора.
  3. Для Interfaces нажмите Add и выберите интерфейсы, принадлежащие этому виртуальному маршрутизатору.
  4. Нажмите OK.

8. Настройка зоны безопасности для каждого интерфейса

  1. Настройте зону безопасности для каждого интерфейса в виртуальной системе.
  2. Для хотя бы одного интерфейса создайте зону безопасности Layer 3. 

9. Настройка правил политики безопасности

  1. Настройте правила политики безопасности, которые разрешают или запрещают трафик в зоны и из зон в виртуальной системе.
  2. Нажмите Commit.

10. (Опционально) Просмотр политик безопасности для VSYS через CLI

После создания виртуальной системы вы можете использовать CLI для применения конфигурации только для конкретной виртуальной системы, а также для просмотра настроенных политик безопасности.

  • Откройте SSH-сессию для использования CLI.
  • Чтобы применить частичную конфигурацию для VSYS:
  • commit partial vsys <vsys-id>
  • Чтобы просмотреть политики безопасности для виртуальной системы в оперативном режиме, используйте следующие команды:
  • set system setting target-vsys <vsys-id>
  • show running security-policy

Related to

Related articles

Comments

0 comments

Please sign in to leave a comment.