A sistema virtual ( VSYS ) es una instancia lógica independiente firewall dentro de un único chasis físico.Habilitar sistemas virtuales en el suyo firewall puede ayudarle a separar lógicamente las redes físicas entre sí. Las redes separadas pueden resultar muy útiles cuando no se deben conectar redes específicas entre sí. El uso de sistemas virtuales ( VSYS ) también le permite controlar qué administradores pueden controlar ciertas partes de la red y la firewall configuración.
En algunos casos, sin embargo, es necesario habilitar cierta conectividad entre VSYS . En lugar de conectar físicamente las redes separadas, lo que podría causar una posible brecha de seguridad, se puede habilitar el enrutamiento limitado para permitir que sólo se comuniquen subredes específicas. A continuación, se puede aplicar la seguridad policy para evitar el abuso de este puente entre redes.
En primer lugar, la visibilidad debe habilitarse entre VSYS . Puesto que un VSYS actúa como un sistema independiente, no es consciente de ningún otro que VSYS resida en el mismo chasis físico.
A continuación, es necesario crear un nuevo tipo de zona, denominada 'Externo', en cada una VSYS para permitir que las sesiones se atraviesan en una zona que conecta VSYS . El tipo Externo formará una red de tipos que permite VSYS comunicarse.
En cada VSYS participante, cree una zona con el tipo 'Externo.' Agregue el sistema virtual de destino para permitir que esta zona represente el control VSYS remoto. Se pueden agregar varios VSYS destinos.
VSYSA continuación, cada uno debe configurarse con una seguridad policy que permita que la zona local se conecte a la zona externa o de la zona externa a la red de confianza, si la conexión debe considerarse entrante. Por ejemplo, en el caso de una OOB red, IT-VSYS se puede permitir una conexión saliente a la zona externa y se podría permitir una conexión entrante desde OOB VSYS la zona externa.
Puesto que el Routers virtual no es consciente de las subredes disponibles en el control remoto, el VSYS ruteo necesita ser agregado para dirigir correctamente el tráfico a la zona externa.
Configure cada virtual router para ser configurado con las rutas para las subredes remotas apropiadas, con el salto siguiente fijado al VSYS router virtual remoto'. En mi ejemplo, el enrutador virtual ' testing ' tendrá que configurarse con una ruta estática para la subred 10.6.0.0/24 de Lab-Trust que apunte al enrutador virtual vr_lab, y una ruta de retorno en el enrutador virtual vr_lab, para la subred de prueba-confianza 10.100.0.0/24 apuntando a el enrutador virtual remoto vr_testing.
Cuando se confirma esta configuración, los clientes ubicados en las zonas de confianza de vsys1 y vsys2 podrán conectarse entre sí mediante Microsoft Remote Desktop o aplicaciones mssql por policy seguridad.