共有ゲートウェイと相互通信する仮想システムの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Set Up Shared Gateway and Inter VSYS

https://live.paloaltonetworks.com/t5/tkb/articleeditorpage/tkb-id/ConfigurationArticles/message-uid/...

 

概要

Palo Alto Networksは多くの組織にて必要とされる柔軟性のため、複数の仮想システムと、仮想システム間の通信機能をサポートしています。この文書では、業務用と家庭用に別の仮想ファイアウォールを必要とするのものの、仮想システムが同じISPを外部接続に共有する典型的な在宅勤務者の状況の2つの例を紹介します。両方のシナリオとも、双方の仮想システムが外部のISP接続を共有する状況をカバーし、相互の仮想システム(WORK_192とHOME_10)間の通信を許可します。

 

この文書ではこれらの機能を設定するための手順を示します。

 

 

 

論理構成

Diagram_1.png

手順

パート1:仮想システムと共有ゲートウェイのセットアップ

  1. 最初に[Device] > [セットアップ] > [管理] > [一般設定] に移動し、マルチ仮想システム機能が有効になるようにチェックします。
    New-01.PNG
  2. 2つの内部のインターフェイス ethernet1/2 (WORK_192) とethernet1/3 (zone: HOME_10)は別の仮想システムに設定されるべきです。 外部インターフェイス(ethernet1/1; zone: SHARED_UNTRUST)は手順4で共有ゲートウェイに設定するため、仮想システムに組み込まないでください。
    注:この文書でインターフェイスをどう設定するか理解するために、概要に記載の論理構成をレビューしてください。
  3. 仮想システムの定義のため、Deviceタブで仮想システムを選択してください。[認識可能な仮想システム]列で互いの仮想システムが認識できるようにしてください。例えばvsys1 workはvsys2 homeが見えるように設定する必要があり、逆もまた可能なよう設定しなければなりません。
    New-02.PNG
    New-03.PNG
  4. 共有ゲートウェイを追加するため、[Device] > [共有ゲートウエイ]で名前とIDを割り当てます。インターフェイスを割り当てるため、[Network] > [インターフェイス]を選択し、仮想システムメニューから共有ゲートウェイを選択してください。この例ではethernet 1/1はISPからIPアドレスを提供された外部インターフェイスであり、従ってこれが設定される必要があります。
    New-04a.PNG
    New-04b.PNG
  5. Networkタブからインターフェイスを選択してして、インターフェイスが適切に設定されていることを確認してください。
    [Network] > [インターフェイス]
    New-05.PNG
  6. 各インターフェイスが同じ仮想ルーター(この例ではAll-Routesという名称)に加わります。すべてのゾーンを同じ仮想ルーターに加えますが、その仮想ルーターは共有ゲートウェイや他の仮想システム間の通信を許可しません。これは後でStep8とパート2で紹介しますが、セキュリティポリシーで制御します。
    [Network] > [仮想ルーター]
    New-06.PNG
    単一のISP上のネクストホップへのデフォルトルートを設定することが本文書の目的です。もし他にもルートが必要であれば、この仮想ルーターに追加してください。上記のスクリーンショットの3列目で"none"となっているとおり、仮想ルーターはどの仮想システムのメンバーにもなっていないことに注意してください。
    New-07_alt.PNG
  7. Networkタブの下にあるゾーンを選んで、HomeからUntrust、WorkからUntrustの外部ゾーンを作成します。これらの2つの外部ゾーンは、内部ゾーン(例 HOME_10 and WORK_192)からSHEARED_Untrustへのトラフィックを許可あるいは禁止するポリシーを設定するためのものです。それらは効果的に内部から外部へのトラフィックの移動を、経由のゾーンで見ることができます。この例では共有ゲートウェイ ゾーンです。タイプを外部として設定し、そのゾーンに向けて通信経路が設定されているよう定義することが重要です。
    New-09.PNG
    New-10.PNG
  8. ポリシーを設定する際は、内部のネットワークから共有ゲートウェイに向かうトラフィックをファイアウォールのuntrust側で許可するルールを作成します。これでHome-to-UntrustとWork-to-Untrustがともに有効に働きます。加えて、SHARED_UNTRUSTを持つShared_External_GW仮想システムに設定するNATが必要になります。
    そのポリシーを設定するには[Policy] > [セキュリティ]に移動します。ポリシーを設定したい仮想システムを選ぶようにしてください。
    New-11.PNG
    New-12.PNG
  9. 前述したとおり、NATはShared_External_GW仮想システムに設定します。PoliciesタブのNATに移動して、WORK_192  とHOME_10のゾーンに属するホストから隠蔽する、共有ゲートウェイ外部インターフェイス(例:外部ISPアドレスがethernet1/1に割り当てられている)を使用する隠蔽用NAT設定します。このデザインではすべてのNATの設定は、仮想システムとしてShared_External_GW を選択して行われていること確認してください。この例ではどの仮想システムも外部ゲートウェイを共有するコンセプトのため、送信元ゾーンは'any'と設定します。以下は内部ホストの送信元アドレスを外部IPアドレスに変換するシンプルな隠蔽NATの例です。
    New-13.PNG
  10. テストのため、WORK_192とHOME_10からインターネットへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。
    Image_14.png
    Image_15.png

 

パート2:仮想システム間通信

仮想システム間通信のコンセプトは共有ゲートウェイのセットアップと似ています。それらの仮想システムは互いに通信できる必要があり、個々の外部ゾーンの設定とそのトラフィックを許可するポリシーが必要です。

  1. 仮想システム間通信のためには HOME_10ゾーンはWORK_192に、またその逆も到達できる必要があります。そのため2つの外部ゾーンと、ゾーン間のトラフィックを制御するポリシーの設定が必要です。ゾーンを設定するにはNetworkタブに移動し、ゾーンを選択します。
    New-16.PNG
    New-17.PNG
    すべての共有ゲートウェイと仮想システム間通信のためのすべてのゾーンの一覧です。
    New-18.PNG
  2. ポリシーを設定する際は、ゾーン間の通信を許可するルールを作成します。これでHome-to-Work とWork-to-Home 外部ゾーンが、ともに有効に働きます。これらのゾーンのホスト間のトラフィックは外部ゾーンを経由のために使い、従ってポリシーを設定する必要があります。

    ポリシーを設定するには[Policies] > [セキュリティ]に移動します。ポリシーを設定したい仮想システムを選ぶようにしてください。
    New-19.PNG
    New-20.PNG
  3. テストのため、WORK_192とHOME_10のホストから相手のゾーンへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。
    Image_21.png

 

著者:jhess