防火墙控制对象组

最新推荐文章于 2024-07-11 02:37:30 发布
原创 最新推荐文章于 2024-07-11 02:37:30 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。

  • 1.扩展访问控制列表:
    • ciscoasa(config)# access-list 100 permit  icmp any any
    • ciscoasa(config)# access-group 100 in interface outside
  • 2.object group对象组
    • 1.对象组:
      • icmp-type:指定PING包的类型 echo echo-relay等
      • network:指定host、subnet或网络地址
      • protocol:指定IP协议(协议类型1-254),或名称标识(TCP UDP ICMP GRE IGMP);如果想包含所有的IP协议,可以使用关键字IP
      • service:指定TCP UDP端口和特定的服务。
    • 2.protocol对象组
      • ciscoasa(config)# object-group protocol daiv-protocol
      • ciscoasa(config-protocol-object-group)# protocol-object tcp
      • ciscoasa(config-protocol-object-group)# protocol-object udp
      • ciscoasa(config-protocol-object-group)# protocol-object icmp
    • 3.Network对象组
      • ciscoasa(config)# object-group network daiv-network
      • ciscoasa(config-network-object-group)# network-object host 3.3.3.3
      • ciscoasa(config-network-object-group)# network-object 3.3.3.0255.255.255.0
    • 4.service对象组
      • ciscoasa(config)# object-group service daiv-service
      • ciscoasa(config-service-object-group)# service-object tcp
      • ciscoasa(config-service-object-group)# service-object udp
      • ciscoasa(config-service-object-group)# service-object icmp
    • 5.icmp-type对象组
      • ciscoasa(config)# object-group icmp-type daiv-icmp
      • ciscoasa(config-icmp-object-group)# icmp-object echo
      • ciscoasa(config-icmp-object-group)# icmp-object echo-reply
  • 3.对象组的调用方法:
    • 1:写访问控制列表去调用对象
      • ciscoasa(config)# object-group network daiv-network 创建网络组对象
      • ciscoasa(config-network-object-group)# network-object 3.3.3.0 255.255.255.0
      • ciscoasa(config-network-object-group)# exit
      • ciscoasa(config)# object-group network daiv1-network
      • ciscoasa(config-network-object-group)# network-object 1.1.1.0 255.255.255.0
      • access-list 110 extended permit icmp object-group daiv-network (源地址) object-group daiv1-network(目的地址)
      • access-list 100 extended permit tcp object-group daiv-network (源地址) 3.3.3.0 255.255.255.0 (目的地址)
    • 2.应用访问控制列表:
      • ciscoasa(config)# access-group 100 in interface outside
    • 3.查看及清除匹配的次数
      • ciscoasa# clear access-list 100 counters
      • ciscoasa# show access-list 100
      • access-list 100; 1 elements; name hash: 0xc6c44b7c
      • access-list 100 line 1 extended permit ip any any (hitcnt=0) 0xa2f91e1d
  • 4.基于时间的访问控制列表:
    • time-range worker
    • absolute start 15:27 05September 2017 end 15:27 05 September 2018
    • periodic weekdays 9:00 to 17:00
    • access-list 111 extended permit ip any host 192.168.1.1 time-rangeworker
    • access-group 111 in interface outside
道亦
关注
华三防火墙对象组-策略
qq_56248592的博客
09-18 1283
import interface GigabitEthernet 1/0/1 //将nterface GigabitEthernet 1/0/1导入到管理区域。exclude: 用于从对象中排除特定的IP地址或子网。group-object: 用于引用另一个对象组。: 用于定义一组服务,如HTTP、FTP等。host: 用于定义单个主机的IP地址。range: 用于定义一个IP地址范围。: 用于定义一个IPv6地址组。: 用于定义一个IP地址组。: 用于定义一个端口号组。
(转)防火墙上的object-group命令实际应用。 (2010-11-11 10:03:53)
dianqingguan7291的博客
09-29 1661
(转)防火墙上的object-group命令实际应用。 (2010-11-11 10:03:53) RLooo的博客:http://blog.sina.com.cn/s/blog_59879e3a0100o5w1.html 使用object-group 能大大...
防火墙---对象配置
angelliusa的博客
01-28 305
华为防火墙地址组和对象有什么区别?
lvshiliang123的博客
03-06 1117
选择type时,groupobject有什么区别呢?总结:也就是说group的范围比object大。
ASA防火墙利用Object对象/Object-group对象组简化访问策略配置
weixin_34163553的博客
11-10 2517
以下的内容还是基于之前的ASA网络拓扑:DMZ ZONE IP地址:192.168.10.100的主机作为NTP服务器提供时间同步服务,NTP服务器能够和INTERNETNTP服务器同步时间配置访问策略:object network ntp-server1fqdn ntp.ubuntu.comobject network ntp-server2fqdn ntp.ubun...
华三防火墙对象组-策略_华三防火墙object group-优快云博客.pdf
最新发布
02-24
华三防火墙对象组策略是针对网络设备安全域间实例进行应用的配置方法,通过设定规则来检查并控制报文流,允许或拒绝其通过。这些规则基于全局配置,并通过指定对象组来描述报文匹配条件,包括源IP地址、目的IP地址、...
Palo Alto防火墙动态对象与组:自动化网络安全管理的未来
本文旨在全面解析Palo Alto防火墙中动态对象与组的概念及其配置实践。首先介绍动态对象与组的基本理论,包括其定义、特性以及在网络策略中的作用。随后,探讨动态对象与组如何提升网络安全管理效率、减少人为错误和...
组策略 计算机配置 安全设置,使用组策略配置 Windows 防火墙设置
weixin_34206263的博客
07-19 2730
使用组策略管理单元来修改相应的 GPO 中的 Windows 防火墙设置。完成以下配置 Windows 防火墙设置的步骤后,可以等待标准刷新周期将这些设置应用到客户端计算机,也可以在客户端计算机上使用GPUpdate 实用程序来完成刷新。默认情况下,刷新周期为 90 分钟,随机偏移量为 +/-30分钟。下一次刷新计算机配置组策略时,将会下载新的 Windows 防火墙设置,然后将其应用于运行 Wi...
区分安全组与云防火墙
晓峰博客笔记
07-11 1197
VPC防火墙、安全组
易语言实现Windows防火墙对象应用教程
- **编程接口**:Windows防火墙对象模型提供了一组API,允许程序对防火墙进行操作。通过编程接口,开发者可以创建规则、监控流量、审核事件等。 - **脚本和自动化**:开发者可以通过编程语言(例如易语言)与Windows...
华为防火墙地址对象地址组、服务对象服务组
HCIE 数通、RHCE、HCIP 欧拉、MySQL OCP 持证工程师。
04-17 2726
在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。source-address address-set R&D_Dept //以地址组方式指定源地址。
防火墙--防火墙的组网及一些配置
banliyaoguai的博客
07-11 2919
环境实验环境:华为模拟器ensp防火墙型号:USG6000V。
H3C防火墙基础配置3-配置对象策略
热门推荐
阿元的笔记
12-02 1万+
1.对象策略简介 对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过。对象策略通过配置对象策略规则实现。 一个对象策略中可以包含多条对象策略规则。对象策略规则通过指定对象组来描述报文匹配条件的判断语句,匹配条件可以是报文的源 IP 地址、目的 IP 地址、服务类型、应用和应用组等设备依照...
CiscoASA5510上用 object-group替换access-list
weixin_34295316的博客
09-29 467
object-group network jishubu network-object 192.168.5.0 255.255.255.0 network-object 192.168.1.0 255.255.255.0 network-object 192.168.2.0 255.255.255.0 network-object 192.168.3.0 25...
object-group(ASA高级ACL特性)
weixin_33743880的博客
05-10 898
object-group四种类型: 1.Protocol 2.Network 3.Service 4.ICMP-type 1.Protocol object-group protocol tcp_udp_icmp protocol-object tcp protocol-object udp protocol-object icmp 2.N...
Object-group优化ACL
par@ish的博客
12-28 3650
Object-group极大帮助减少ACL条目,降低交换机CPU loading。
网络安全篇 ASA的Object-Group-11
佐德将军的博客
01-14 2582
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 我们在配置路由器ACL的时候都是一个需求一个ACL这样来配置,这种做法是比较严谨的,但是如果需求变得很多了呢?例如,下图中的网络拓扑,在inside区域有192.168.100.1、192.168.100.2192.168.100.4、192.168.100.7、192.168.100.8这五台主机,outside区域有192.168....
6-思科防火墙:ASA中Object-group在ACL中的应用
weixin_34270606的博客
07-07 4405
一、实验拓扑:二、实验要求:先定义几个小的,然后用大的包在一起;打包在一起,这就是所谓的嵌套,嵌套在编程里是很长用的东西,叫做Object-groupObject-group比较强大,可以调用普通的object;还可以在组里调用单独的网段、主机。1、放行Outside(202.100.1.0/24)网络去往内部Inside服务器群:FTP/ESP/DNS/ICMP的流量;2、比如Outside有...
思科ASR防火墙实操手册
Santiago
06-29 1333
1、防火墙看有什么策略组 # show running-config | include acl --------------- # group name acl_out_to_in 2、查哪个策略组是否有某个ip,如10.21.22.23 # show running-config | include 10.21.22.23 --------------- # permit tcp obje...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值