Call Us Now: 0-2532-2062-4

Virtual System ของ Palo Alto Networks มันคืออะไร??

HomefirewallVirtual System ของ Palo Alto Networks มันคืออะไร??

สวัสดีครับ, ผมนายคิว วันนี้มีเรื่องน่าสนใจมาให้ทุกๆ คนได้ลองติดตามอ่านกัน ลองสังเกตจากหัวข้อที่ผมตั้งไว้ มีสองคำที่น่าสนใจอยู่คือ Virtual System และ Palo Alto Networks วันนี้ผมจะมาอธิบายที่มาที่ไปให้ฟังกัน เริ่มด้วยคำนี้กันเลย

Palo Alto Networks

ชื่อนี้ยังอาจไม่คุ้นกันมากในขณะนี้ นี่เป็นชื่อของตัวอุปกรณ์ firewall ( ชื่อขึ้นต้นของ series จะเป็น PAN-…. )และชื่อของบริษัท โดยชื่อของบริษัทก็คือ Palo Alto Networks ก่อตั้งในปี 2005 โดย Nir Zuk ซึ่งเป็นผู้คิดค้นเทคโนโลยี stateful inspection จุดเด่นของ firewall ตัวนี้คือ การควบคุมแอพลิเคชันต่างๆ ที่ใช้งานผ่านเครือข่ายในระบบได้อย่างละเอียด รวมไปถึงความสามารถในการทำ URL filtering และ Threat prevention โดยที่ throughtput ของระบบไม่เสียไป นี่คือสรุปโดยย่อๆ ต่อไปเรามาดูรายละเอียดของคำนี้กัน

Virtual System

นี่เป็นคุณสมบัติหนึ่งของ Palo Alto Networks firewall ซึ่งทำให้เราสามารถกำหนดการจัดการตัวอุปกรณ์, การเชื่อมต่อของอุปกรณ์กับระบบเครือข่าย และ policies ต่างๆ ให้ขึ้นอยู่กับแผนกหรือภาคหรือคณะหรือ….( ผู้ดูแลรับผิดชอบที่เราจัดสรรเพื่อดูแลตัวอุปกรณ์นี้ ) เปรียบเสมือนว่า box 1 ตัวนั้น สามารถทำงานได้ดังเช่นเรามี box หลายๆ ตัว ยกตัวอย่างเช่น

จากรูปหากเรามองโดยผิวเผินจะเหมือนกับว่ามี box 2 ตัว แต่โดยความจริงมันมีแค่ ตัวเดียว !! เป็นเพราะว่าเราได้แบ่ง Virtual System ของ box นั้นออกเป็น 2 Virtual System นั่นเอง

การที่เราแบ่งออกเป็นแต่ละ Virtual System นั้นทำให้เราสามารถแบ่งกลุ่มของ interface ทั้งที่เป็น physical และที่เป็น logical ( รวมไปถึง VLAN และ Virtual wire ) รวมทั้งยังแบ่ง security zone ซึ่งใช้กำหนด policies ตามที่เราต้องการได้ จากรูปข้างต้นสามารถบ่งบอกรายละเอียดได้ดังนี้

 Unit  Virtual System  Interface  Interface type  Security Zone
PAN-ACC
( ชื่อสมมติของตัว box )		   vsys1  eth1/1  Vwire ( สมมติ )  OutAcc
 eth1/2  Vwire  InAcc
  vsys2  eth1/5  Layer 3 ( สมมติ )  OutAccDataCtr
 eth1/6  Layer 3  InAccDataCtr

**หมายเหตุ**

  • Vwire หรือ Virual Wire คือ รูปแบบการเชื่อมต่อที่เป็นแบบ transparent โดยไม่ต้องตั้งค่าเพิ่มเติมใดๆ ให้กับตัว box
  • Layer3 คือ รูปแบบการเชื่อมต่อที่เป็นแบบ routing mode โดยต้องกำหนด protocol ที่ใช้ในการหาเส้นทาง โดยสามารถกำหนดเป็น static, RIP หรือ OSPF ซึ่งข้อมูลของ routing นั้นจะเก็บแยกไว้ในส่วนของ Virtual router เพื่อที่จะกำหนดไปยังแต่ละ interfaces อีกทอดหนึ่ง

เมื่อเรากำหนด Virtual System ดังนี้ เราอาจจะให้ส่วนของ vsys1 เป็น admin ของแผนก account เป็นผู้ดูแล และส่วนของ vsys2 เป็น admin ของแผนก datacenter เป็นผู้ดูแล โดย admin แต่ละแผนกนั้นสามารถ access vsys อื่นที่ไม่ใช่ของตนเองและแก้ไขได้หรือแค่ดูได้อย่างเดียวเท่านั้นก็ได้

เราสามารถเพิ่ม account ของ admin ที่จะเข้ามาจัดการดูแลแต่ละ Virtual System ได้ ทำให้สามารถแบ่งหน้าที่ดูแลตัวอุปกรณ์ได้อย่างสะดวก

Virtual System มีประโยชน์อย่างไร ?

  1. Interfaces, virtual routers, VLANs, virtual wires, และ security zones สามารถกำหนดได้โดยอิสระ ไม่ขึ้นต่อกันในแต่ละ Virtual System
  2. สามารถกำหนด Policies และ Objects ได้ในแต่ละ Virtual System เนื่องจากจะมี drop-down list ให้เลือกก่อนที่จะตั้งค่า ซึ่งในส่วนของ objects นั้นสามารถที่จะ share ระหว่าง Virtual System ได้
  3. ภายใน Tab Objects จะมีเมนู Remote logging destination ( SNMP,Syslog,and email ) , applications, services และ profiles ที่สามารถ share กันระหว่าง Virtual System ได้หรือกำหนดเฉพาะเจาะจงไปในแต่ละ Virtual System โดยเลือกจาก drop-down list เช่นเดียวกัน

บทสรุป

  • เมื่อเรากำหนด Virtual System ขึ้นมาแล้ว interfaces, VLAN, virtual wire หรือ virtual route นั้นจะต้องถูกกำหนด Virtual System ไว้ด้วย
  • แต่ละ Virtual System นั้นเป็นอิสระต่อกัน แต่สามารถที่จะ share สิ่งเหล่านี้ได้ ได้แก่ Remote logging destination ( SNMP,Syslog,and email ) หรือ applications, services, profiles, Policies และ Objects

 

By on January 20, 2012   /   firewall, paloalto   /   Leave a comment
Leave a Reply