标签:思科asa
这边还是基于之前的ASA防火墙拓扑图来讲,
在Object对象中使用比较多的是用来定义IP地址、IP Subnet、域名、服务端口号(源端口和目的端口)
在Object-group对象组中,可以将之前定义具有相同属性的Object对象放在一个Object-group对象组中
使用Object对象和Object-group对象优势:
1.减少配置访问策略的条目
2.如果需要添加或删除某一个对象的策略是,至需要在Object对象组中操作就可以了
3.使我们的访问策略更有可读性
4.通过他们可以让我们的策略用途简单明了
5.我们动态NAT的定义是在Object对象中定义
定义IP Subnet对象,定义Object对象名称需要具有代表意思
object network 192.168.10.0-Internet
subnet 192.168.10.0 255.255.255.0
object network 192.168.20.0-Internet
subnet 192.168.20.0 255.255.255.0
定义单个IP地址对象
object network 192.168.10.100-WWW
host 192.168.10.100
定义域名服务
object network ntp-server1
fqdn ntp.ubuntu.com
object network ntp-server2
fqdn ntp.ubuntu.com
定义服务端口
object service SNMP-1
service udp destination 161
object service SNMP-2
service udp destination 162
定义Object对象组的network定义
object network ntp-server
network-object object ntp-server1
network-object object ntp-server2
定义Object对象组的service定义
object service SNMP
service-object SNMP-1
service-object SNMP-2
本文出自 “默默地等你” 博客,谢绝转载!
ASA防火墙Object对象/Object-group对象组的定义
标签:思科asa
原文地址:http://1839wo.blog.51cto.com/378615/1979333