仮想システムは、パロアルトネットワークスの単一の物理ファイアウォール内に存在する複数の論理ファイアウォール インスタンスです。各仮想システムは、個別に管理される独立した論理ファイアウォールで、そのトラフィックは他の仮想システムのトラフィックから分離された状態で維持されます。仮想システムは、PA-3000シリーズ、PA-5000シリーズ、PA-7000シリーズのファイアウォールでサポートされていますが、その数は製品とライセンスごとに異なります。
仮想システムの使用を推進するユース ケース要件はマルチテナンシーです。マルチテナンシーに対応する典型的な導入シナリオでは、高可用性を実現する2つの物理ファイアウォールが、テナントで使用するために仮想システムとして設定されます。仮想システムを使用する利点には、物理統合に基づいた効率向上と、迅速に作成できる仮想システムがもたらす敏捷性があります。
仮想システムの管理
システムの複数のレベルで管理者が介在できます。特に、1つ以上の仮想システムに制御を限定された管理者を割り当てることができます。複数のレベルの管理ドメインをサポートできるこの機能は、マネージド セキュリティ サービス プロバイダ(MSSP)や、多くのファイアウォール インスタンス間で懸念事項を分離する必要がある組織にとって特に有用なものです。
物理ファイアウォール全体でリソース使用を管理するために、仮想システムごとに制限(最大セッション、セキュリティ ルールの最大数など)を割り当てることができます。
トラフィック フローおよび仮想システム
トラフィックは、バーチャル ワイヤー設定、またはレイヤー2デプロイメントおよびレイヤー3デプロイメント向けのVLANに基づいて、仮想システムに送出することができます。物理ファイアウォール上で稼働するPAN-OS®の一部である、仮想ルーターというソフトウェア要素は、これらのトラフィックの出入りと、仮想システム間でのフローを制御します。
仮想システム間のトラフィックはポリシーで制御できますが、関係する仮想システムのファイアウォール ポリシーが適用されます。これにより、ネットワーク セグメンテーションなどのユース ケースを実装できます。その際には、仮想システムが定義されたセグメント間で、許可されたネットワーク トラフィックに対するファイアウォール プロテクションを提供することができます。