Trucs et astuces: Inter VSYS routage
Resolution
A système virtuel ( VSYS ) est une instance distincte et firewall logique dans un seul châssis physique.L’activation de systèmes virtuels firewall sur votre peut vous aider à séparer logiquement les réseaux physiques les uns des autres. Les réseaux distincts peuvent être très utiles lorsque des réseaux spécifiques ne doivent pas être connectés les uns aux autres. L’utilisation de systèmes VSYS virtuels () vous permet également de contrôler quels administrateurs peuvent contrôler certaines parties du réseau et de la firewall configuration.
Dans certains cas, cependant, une certaine connectivité doit être activée entre VSYS . Plutôt que de connecter physiquement les réseaux distincts, ce qui pourrait provoquer une brèche de sécurité potentielle, un routage limité peut être activé pour permettre uniquement aux sous-réseaux spécifiques de communiquer. La policy sécurité peut alors être appliquée pour prévenir l’abus de ce pont entre les réseaux.
Tout d’abord, la visibilité doit être activée entre VSYS . VSYSPuisqu’un agit comme un système autonome, il n’est pas au courant de tout autre résidant sur le même châssis VSYS physique.
Ensuite, un nouveau type de zone, appelé « Externe », doit être créé sur chacune pour VSYS permettre aux sessions de traverser dans une zone qui se connecte. VSYS Le type externe formera un réseau de toutes sortes qui permet VSYS de communiquer.
Sur chaque VSYS participant, créez une zone avec le type « Externe ». Ajoutez le système virtuel de destination pour permettre à cette zone de représenter la VSYS télécommande. Plusieurs destinations VSYS peuvent être ajoutées.
Chacun VSYS d’eux doit ensuite être configuré avec une sécurité qui permet à la zone locale de se connecter à la zone externe ou policy de la zone externe au réseau de confiance, si la connexion doit être considérée comme entrante. Par exemple, dans le cas OOB d’un réseau, le IT-VSYS peut être autorisé une connexion sortante à la zone externe, et le OOB VSYS pourrait permettre une connexion entrante à partir de la zone externe.
Étant donné que les routeurs virtuels ne sont pas au courant des sous-réseaux disponibles dans la VSYS télécommande, le routage doit être ajouté pour diriger correctement le trafic vers la zone externe.
Configurez chaque routeur virtuel à configurer avec des itinéraires pour les sous-réseaux distants appropriés, avec le prochain jeu de saut sur le VSYS routeur virtuel à distance. Dans mon exemple, le routeur virtuel «testing» devra être configuré avec un itinéraire statique pour le sous-réseau 10.6.0.0/24 de la confiance Lab, pointant vers le routeur virtuel vr_lab, et un itinéraire de retour sur le routeur virtuel vr_lab, pour tester la confiance sous-réseau 10.100.0.0/24 pointant vers le routeur virtuel distant vr_testing.
Lorsque cette configuration est engagée, les clients situés dans les zones de confiance des deux vsys1 et vsys2 seront en mesure de se connecter les uns aux autres en utilisant le microsoft remote desktop, ou applications mssql par la sécurité policy .