提示和技巧：间 VSYS 联路由

A 虚拟系统 VSYS （） 是 firewall 单个物理底盘中的单独逻辑实例。启用虚拟系统 firewall 可以帮助您在逻辑上将物理网络彼此分离。 当特定的网络不应该连接在一起时, 独立的网络可以非常方便。 使用虚拟系统 VSYS （）还允许您控制哪些管理员可以控制网络的某些部分和 firewall 配置。

然而，在某些情况下，需要启用某些连接 VSYS 。 除了物理连接单独的网络 (可能导致潜在的安全漏洞) 之外, 还可以启用有限的路由, 以便仅允许特定的子网进行通信。 policy然后可以应用安全性来防止滥用网络之间的这一桥梁。

首先，必须启用可见性 VSYS 。 由于 VSYS 作为一个独立的系统，它不知道任何其他 VSYS 居住在同一物理底盘上。

接下来，需要在每一个区域上创建一个名为"外部"的新型区域， VSYS 以便会话能够穿过到连接区域 VSYS 。 外部类型将形成一个允许通信的网络 VSYS 。

每次参与 VSYS 时，创建具有类型"外部"的区域。 添加目的地虚拟系统，使此区域能够表示遥控器 VSYS 。 VSYS可以添加多个目的地。

VSYS然后，如果要考虑连接入站，则应配置每个区域的安全 policy 性，允许本地区域连接到外部区域或从外部区域连接到受信任的网络。 例如，在 OOB 网络的情况下， IT-VSYS 可以允许向外区域进行出站连接，也可以 OOB VSYS 允许从外部区域进行入站连接。

由于虚拟路由器不知道遥控器中可用的子网 VSYS ，需要添加路由以正确地将流量引导到外部区域。

将每个虚拟路由器配置为适合的远程子网的路由，下一个跃点设置为远程 VSYS "虚拟路由器"。 在我的示例中, 需要将 "测试" 虚拟路由器配置为实验室信任子网的静态路由 10.6. 0.0/24 指向 vr_lab 虚拟路由器, 以及 vr_lab 虚拟路由器上的返回路由, 用于测试信任子网 10.100.0. 0/24 指向vr_testing 远程虚拟路由器。

当此配置承诺时，位于 vsys1 和 vsys2 信任区域的客户将能够使用微软远程桌面或按安全性划分的 mssql 应用程序相互连接 policy 。