思科防火墙:ASA中Object-group在ACL中的应用

最新推荐文章于 2025-09-30 14:49:53 发布
原创 最新推荐文章于 2025-09-30 14:49:53 发布 · 1.1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #linux

一、实验拓扑:
6-思科防火墙:ASA中Object-group在ACL中的应用
二、实验要求:
先定义几个小的,然后用大的包在一起;打包在一起,这就是所谓的嵌套,嵌套在编程里是很长用的东西,叫做Object-group;
Object-group比较强大,可以调用普通的object;还可以在组里调用单独的网段、主机。
1、放行Outside(202.100.1.0/24)网络去往内部Inside服务器群:FTP/ESP/DNS/ICMP的流量;
2、比如Outside有4个源主机:202.100.1.1~202.100.1.4,3个目的地;
3、如果正常写ACL,需要一条一条的写,作用:节省很多命令;
4、定义源、目的、服务组;
5、对比show run access-list和show access-list的区别
三、命令部署:
1、定义源object network
ASA(config)# object network yuan1 //network这里其实就是主机的意思
ASA(config-network-object)# host 202.100.1.1

ASA(config-network-object)# object network yuan2
ASA(config-network-object)# subnet 202.100.1.0 255.255.255.0

ASA(config-network-ob

最低0.47元/天 解锁文章
datsing2021
关注
6-思科防火墙ASAObject-groupACL中的应用
weixin_34270606的博客
07-07 4448
一、实验拓扑:二、实验要求:先定义几个小的,然后用大的包在一起;打包在一起,这就是所谓的嵌套,嵌套在编程里是很长用的东西,叫做Object-groupObject-group比较强大,可以调用普通的object;还可以在组里调用单独的网段、主机。1、放行Outside(202.100.1.0/24)网络去往内部Inside服务器群:FTP/ESP/DNS/ICMP的流量;2、比如Outside有...
ASA防火墙之居于object-groupACL配置实例
Stephen_jj的博客
04-27 1905
object-groupACL配置实例 本篇介绍一下对象组的ACL放行策略,可以将多个不同的流量进行捆版式的放行,也可以相互嵌套,综合使用。 拓扑实验(中间模拟ASA) 需求:放行outside(192.168.150.100)网络去往内部服务器(192.168.106.0/24,这里用192.168.106.1-3来做组)的(TFP/ESP/DNS/ICMP)流量。 配置如下: ASA(c...
PIX防火墙配置命令---笔记1
zwish的信安之路
04-11 1718
1、静态路由 Firewall(config)# route if_ name foreign_ network foreign_mask gateway [metric] 可配置一个静态路由允许防火墙把管理流量发送到不在本地IP子网上的地址。在透明防火墙模式下不支持动态路由选择协议。 远程网络可在名为if_name (如outside) 的防火墙接口上查找到,其网络地址为foreign_ net...
ASA_object-group
weixin_33984032的博客
04-09 324
1、定义object-group object-group networkxxx network-object host 117.136.10.179 2、定义ACL access-list out extended deny tcp object-groupxxx interface outside eq端口 3、在接口...
Object-group优化ACL
par@ish的博客
12-28 3788
Object-group极大帮助减少ACL条目,降低交换机CPU loading。
网络安全篇 ASAObject-Group-11
佐德将军的博客
01-14 2655
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 我们在配置路由器ACL的时候都是一个需求一个ACL这样来配置,这种做法是比较严谨的,但是如果需求变得很多了呢?例如,下图中的网络拓扑,在inside区域有192.168.100.1、192.168.100.2192.168.100.4、192.168.100.7、192.168.100.8这五台主机,outside区域有192.168....
13、思科ASA防火墙高级ACL功能详解
最新发布
linux6sysadmin的博客
09-30 22
本文详细解析了思科ASA防火墙的高级ACL功能,涵盖对象分组、标准ACL、基于时间的ACL、可下载的ACL以及ICMP过滤等核心特性。通过CLI和ASDM两种配置方式的示例,深入讲解各类ACL应用场景、配置方法与操作流程,并结合实际案例说明如何综合运用这些功能提升网络安全性与管理效率。文章还提供了配置注意事项和功能对比,帮助读者全面掌握ASA防火墙的高级访问控制策略。
思科object-group
08-13
在 Cisco 防火墙设备(如 ASA)中,`object-group` 是一种用于组织和管理访问控制策略的高效工具。它允许将多个网络对象(如 IP 地址、端口或协议)分组,以便在访问控制列表(ACL)或策略规则中引用这些组。这不仅...
防火墙控制对象组
道亦的博客
08-19 1079
1.扩展访问控制列表: ciscoasa(config)# access-list 100 permit icmp any any ciscoasa(config)# access-group 100 in interface outside 2.object group对象组 1.对象组: icmp-type:指定PING包的类型 echo echo-relay等 ne...
CiscoASA5510上用 object-group替换access-list
weixin_34295316的博客
09-29 492
object-group network jishubu network-object 192.168.5.0 255.255.255.0 network-object 192.168.1.0 255.255.255.0 network-object 192.168.2.0 255.255.255.0 network-object 192.168.3.0 25...
ASA防火墙Object对象/Object-group对象组的定义
weixin_34029949的博客
11-06 1962
这边还是基于之前的ASA防火墙拓扑图来讲,在Object对象中使用比较多的是用来定义IP地址、IP Subnet、域名、服务端口号(源端口和目的端口)在Object-group对象组中,可以将之前定义具有相同属性的Object对象放在一个Object-group对象组中使用Object对象和Object-group对象优势:1.减少配置访问策略的条目2.如果需要添加或删除某一...
28-思科防火墙:状态化AA
weixin_34306593的博客
07-07 594
一、实验拓扑:二、实验要求:1、2个ASA都为多模式、路由模式;2、ASA1、ASA2打开5个接口:no shutdown;因为都要做子防火墙;3、2个ASA的子防火墙的配置其实是一摸一样的;4、ASA1的配置:admin-context admin;delete flash:admin.cfg;context c1:allocate-interface g0;allocate-interface...
(转)防火墙上的object-group命令实际应用。 (2010-11-11 10:03:53)
dianqingguan7291的博客
09-29 1690
(转)防火墙上的object-group命令实际应用。 (2010-11-11 10:03:53) RLooo的博客:http://blog.sina.com.cn/s/blog_59879e3a0100o5w1.html 使用object-group 能大大...
object-group(ASA高级ACL特性)
weixin_33743880的博客
05-10 929
object-group四种类型: 1.Protocol 2.Network 3.Service 4.ICMP-type 1.Protocol object-group protocol tcp_udp_icmp protocol-object tcp protocol-object udp protocol-object icmp 2.N...
H3C防火墙基础配置2-配置安全策略
热门推荐
阿元的笔记
11-06 2万+
1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。 (2)规则的过滤条件 每条规则中均可以配置多种过滤条件...
Cisco ASA8.4.2 nat配置---基于network object
weixin_34315189的博客
08-25 900
关于network object nat的配置 动态NAT的配置 1.配置network objectnetwork object group------用来匹配网络中需要转化的地址(这里包括需要转换的以及地址池的配置) object network cisco1 range 100.100.100.0 100.100.100.100 object netw...
cisco ASA防火墙NAT/PAT详解
phoenix1415的博客
11-05 6683
cisco ASA NAT大全,只针对NAT44做介绍
思科---防火墙asa5520配置笔记
weixin_33810006的博客
01-31 2175
一、防火墙的动态pat配置 Object network (inside)名称 //设置对象网络名称 Subnet 网段 掩码 //设置网段 Nat (inside,outside)指定接口方向 dynamic 外网ip 或interface //设置nat方向为inside区域到outside区域,动态转换ip为外网ip或外网端口ip(不能与防火墙网关地址相同) 二、Show xlate ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值