Tipps & Tricks: VSYS Inter-Routing

A virtuelles System ( VSYS ) ist eine separate, logische firewall Instanz innerhalb eines einzelnen physischen Gehäuses.Wenn Sie virtuelle Systeme auf Ihrem System aktivieren, firewall können Sie physische Netzwerke logisch voneinander trennen. Separate Netzwerke können sehr praktisch sein, wenn bestimmte Netzwerke nicht miteinander verbunden werden sollten. Mit der Verwendung virtueller Systeme ( VSYS ) können Sie auch steuern, welche Administratoren bestimmte Teile des Netzwerks und der Konfiguration steuern firewall können.

In einigen Fällen muss jedoch eine gewisse Konnektivität zwischen aktiviert VSYS werden. Anstatt die einzelnen Netzwerke physisch zu verbinden, was zu einem möglichen Sicherheitsbruch führen könnte, kann eine begrenzte Routing-Möglichkeit ermöglicht werden, nur bestimmte Subnetze zu kommunizieren. Die Sicherheit policy kann dann angewendet werden, um den Missbrauch dieser Brücke zwischen Netzwerken zu verhindern.

Erstens muss die Sichtbarkeit zwischen aktiviert VSYS werden. Da ein VSYS eigenständiges System als eigenständiges System fungiert, ist ihm kein anderes System bekannt, VSYS das sich auf demselben physischen Gehäuse befindet.

Als Nächstes muss für jede Zone ein neuer Zonentyp mit dem Namen "Extern" erstellt werden, VSYS damit Sitzungen in eine Zone durchlaufen können, die eine Verbindung VSYS herstellt. Der externe Typ bildet ein Netzwerk von Arten, die VSYS kommunizieren können.

Erstellen Sie auf jeder Teilnehmerin VSYS eine Zone mit dem Typ 'Extern'. Fügen Sie das virtuelle Zielsystem hinzu, damit diese Zone die Remotezone darstellen VSYS kann. Es können mehrere Ziele VSYS hinzugefügt werden.

Jede VSYS sollte dann mit einer Sicherheit konfiguriert policy werden, die es der lokalen Zone ermöglicht, eine Verbindung mit der externen Zone oder von der externen Zone zum vertrauenswürdigen Netzwerk herzustellen, wenn die Verbindung als eingehend betrachtet werden soll. Im Fall eines Netzwerks OOB kann z. IT-VSYS B. eine ausgehende Verbindung zur externen Zone und die OOB VSYS eine eingehende Verbindung aus der externen Zone zugelassen werden.

Da die virtuellen Router die in der Remote verfügbaren Subnetze nicht VSYS kennen, muss Routing hinzugefügt werden, um den Datenverkehr ordnungsgemäß an die externe Zone weiterzuleiten.

Konfigurieren Sie jeden virtuellen Router, der mit Routen für die entsprechenden Remotesubnetze konfiguriert werden soll, wobei der nächste Hop auf den virtuellen Remoterouter festgelegt VSYS ist. In meinem Beispiel muss der virtuelle Router "testing" mit einer statischen Route für das Lab-Trust-Subnet 10.6.0.0/24 konfiguriert werden, das auf den virtuellen Router vr_lab zeigt, und eine Rückroute auf dem virtuellen Router vr_lab, für testing-Trust Subnet 10.100.0.0/24, die auf der vr_testing Remote Virtual Router.

Wenn diese Konfiguration festgeschrieben ist, können Clients, die sich in den Vertrauenszonen von vsys1 und vsys2 befinden, über den Microsoft Remotedesktop oder mssql-Anwendungen gemäß der Sicherheit eine Verbindung zueinander policy herstellen.