18.5 配置对象和访问列表
对象是配置中可以重复使用的要素,可以在 ASA 配置中包含 IP 地址的部分定义和使用。借助对象,可以让配置变得更加简单,因为只需在一处修改对象,即可在引用它的所有位置都反映出来。如果没有对象,那么,就需要逐一修改这些参数功能,而不能一次搞定。例如,一个网络对象定义了一个 IP 地址和子网掩码,如果想改变 IP 地址,只需简单地在对象定义中修改它即可,而不必在引用它的每个功能中逐一进行修改。
18.5.1 配置对象和组
ASA 支持对象和对象组。根据需要,可以将对象添加至一个或多个对象组,或者将对象从对象组移除。
1. 对象和对象组简介
对象在包含有 IP 地址的配置中创建和使用。可以使用 IP 地址和子网掩码对或协议定义对象,并将其用于各自的配置中。无论何时,当需要修改 IP 地址或协议时,将不必再修改运行配置中的所有规则,只是简单地修改对象,就能够将修改自动应用于所有使用该对象的规则。在 Cisco ASA 中可以配置两种类型的对象,即网络对象和服务对象,都能应用于 NAT( Network Address Translation,网络地址转换),访问列表( Access List)和对象组。
对象组与对象类似,可以在 ACE 中使用对象组,而不必再分别输入每个对象。可以创建下列类型的对象组:
协议
网络
服务
ICMP 类型
例如,可以考虑创建 3 个对象组:
MyService——包含允许访问内部网络服务请求的 TCP 和 UDP 端口号。
TrustedHosts——包含允许访问重要的服务和服务器的主机和网络地址。
PublicServers——包含提供重要访问的服务器的主机地址。
在创建这些组之后,就可以仅用一个 ACE( Access Control Entry,访问控制项)来允许信任主机向组或公共服务器发出指定的服务请求。
2. 配置策略和限制
在配置对象和对象组时,应当遵循以下配置策略和限制:
对象和对象组支持单一和多模式环境模式。
对象和对象组支持路由和透明防火墙模式。
对象和对象组共享同一名称空间。
对象组必须有唯一的名称。
如果对象组正在命令中使用,那么,不能移除该对象组,或者使该对象组为空。
3. 配置网络对象
网络对象包含一个 IP 地址/子网掩码对。网络对象可以是三种类型,即主机、子网或范围。
① 创建一个新的网络对象。 obj_name 是一个最长 64 个字符的文本字符串,可以包括字
母、数字、下画线“ _”、连字符“ -”或句号“ .”。提示符将切换到网络对象配置模式。
hostname(config)# object-network obj_name
② 将 IP 地址指定至该对象。可以配置主机地址、子网或地址范围。
hostname(config-network-object)# {host ip_addr | subnet net_addr net_mask |
range ip_addr_1 ip_addr_2}
③ 添加对该对象的描述。
hostname(config-network-object)# description text
4. 配置服务对象
服务对象包含协议、源和/或目的端口。
① 创建一个新的服务对象。 obj_name 是一个最长 64 个字符的文本字符串,可以包括字
母、数字、下画线“ _”、连字符“ -”或句号“ .”。提示符将切换到服务对象配置模式。
hostname(config)# object-network obj_name
② 为源映射地址创建一个服务对象。 Protocol 用于指定 IP 协议名称或数值。 ICMP、 TCP
或 UDP 关键字指定该服务对象是 ICMP、 TCP 或 UDP 协议中的哪一个。 Icmp-type 用于命名
ICMP 类型。 Source 用于指定源端口。 Destination 用于指定目的端口。 Operator port 用于指定
支持配置端口协议的端口/代码值。当以 TCP 或 UDP 配置端口时,可以指定“ eq,”(等于)、
“ neq,”(不等于)、“ lt,”(小于)、“gt,”(大于)和“ range”(范围)。
hostname(config-service-object)# service {protocol | icmp icmp-type | {tcp |
udp} [sour