Skip to main content

Настройка Маршрутизации между виртуальными системами (VSYS) на Palo Alto Networks

Farkhan Aliyev
Updated

В некоторых сценариях, например, внутри крупного предприятия, может потребоваться, чтобы различные виртуальные системы (VSYS) могли взаимодействовать друг с другом, при этом трафик остается внутри физического межсетевого экрана Palo Alto Networks. Это достигается за счет использования концепции "внешних зон" (External Zones) и правильной настройки видимости VSYS.

Данное руководство предполагает, что вы уже выполнили следующие шаги:

  • Завершили базовую настройку виртуальных систем (как описано в предыдущей статье "Настройка Виртуальных Систем (VSYS) на Palo Alto Networks").
  • При настройке виртуальных систем, в поле Visible Virtual System (Видимые Виртуальные Системы), вы отметили флажки всех виртуальных систем, которые должны иметь возможность общаться друг с другом, чтобы они были "видимы" друг для друга.

Пошаговая Настройка Коммуникации Между VSYS Внутри Межсетевого Экрана

1. Конфигурация Внешней Зоны (External Zone) для каждой виртуальной системы

Для каждой виртуальной системы, которая должна взаимодействовать с другими VSYS, необходимо создать "внешнюю зону". Эта зона не привязана к физическому интерфейсу, но служит логическим шлюзом для трафика, предназначенного для других виртуальных систем внутри того же межсетевого экрана.

  1. Перейдите в Network > Zones.
  2. Нажмите Add и введите Name для новой зоны.
  3. Для Location выберите виртуальную систему, для которой вы создаете эту внешнюю зону (например, vsys-A).
  4. Для Type выберите External.
  5. В поле Virtual Systems нажмите Add и укажите виртуальную систему (или системы), которую (которые) эта внешняя зона может достичь. Например, если вы создаете внешнюю зону для vsys-A для связи с vsys-B, вы добавите vsys-B сюда.
  6. (Опционально) Выберите Zone Protection Profile (или настройте его позже), который обеспечивает защиту от наводнений (flood), разведки (reconnaissance) или атак на основе пакетов.
  7. (Опционально) В Log Setting выберите профиль пересылки логов для пересылки логов защиты зоны во внешнюю систему.
  8. (Опционально) Выберите Enable User Identification, чтобы включить User-ID для этой внешней зоны.
  9. Нажмите OK.
  10. Повторите эти шаги для каждой виртуальной системы, которая должна участвовать во внутри-межсетевой коммуникации, создавая для каждой из них свою внешнюю зону и указывая "видимые" для неё VSYS.

2. Настройка Правил Политики Безопасности

После создания внешних зон необходимо настроить правила политики безопасности, которые разрешают или запрещают трафик между внутренними зонами виртуальной системы и внешними зонами других виртуальных систем.

  1. Перейдите в Policies > Security.
  2. Создайте новые правила безопасности:
    • Source Zone (Исходная зона): Укажите внутренние зоны вашей VSYS (например, LAN-Zone-A из vsys-A).
    • Destination Zone (Зона назначения): Укажите внешнюю зону, которую вы создали для этой VSYS и которая ссылается на целевую VSYS (например, External-Zone-to-B из vsys-A, которая ссылается на vsys-B).
    • Source Address/User/Application/Service: Укажите соответствующие источники, пользователей, приложения и службы, которые вы хотите разрешить.
    • Action: Выберите Allow или Deny в зависимости от вашей политики.
  3. Аналогично, создайте обратные правила, если требуется двусторонняя коммуникация (например, из внутренних зон vsys-B к внешней зоне vsys-A).
    • Подробные инструкции по созданию правил безопасности см. в документации Palo Alto Networks по Create a Security Policy Rule.
  4. Нажмите Commit, чтобы применить все сделанные изменения конфигурации.

Принцип Работы Внутри-Межсетевой Коммуникации

После выполнения этих шагов, когда трафик из одной виртуальной системы (например, vsys-A) предназначен для другой виртуальной системы (vsys-B), он будет следовать следующему логическому пути:

  1. Трафик из источника в vsys-A пытается достичь назначения в vsys-B.
  2. Маршрутизатор vsys-A (через настройки "видимых виртуальных систем") знает о сетях и интерфейсах vsys-B.
  3. На основе правил безопасности vsys-A, трафик разрешается из внутренней зоны vsys-A в созданную внешнюю зону vsys-A, которая настроена на достижение vsys-B.
  4. Межсетевой экран внутренне направляет этот трафик в vsys-B.
  5. В vsys-B, трафик поступает как будто извне через её внешнюю зону, которая настроена на достижение vsys-A.
  6. Правила безопасности в vsys-B обрабатывают этот трафик, разрешая ему достичь целевого назначения во внутренней зоне vsys-B.

Этот метод позволяет создать контролируемый и изолированный канал связи между виртуальными системами без необходимости использования внешних физических подключений или общих физических интерфейсов для каждого взаимодействия.

Related articles

Comments

0 comments

Please sign in to leave a comment.