安全 : Cisco PIX 500 系列安全设备

使用和配置PIX/ASA/FWSM对象组

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文描述对象组,在PIX编码版本6.2介绍的功能。对象分组可以将多种对象,例如 IP 主机或网络、协议、端口和互联网控制消息协议 (ICMP) 类型集合到对象组。一旦配置完毕,便可以对对象组使用标准的 conduitaccess-list PIX 命令,以引用组内的所有对象。这样就简化了配置。

注意: 不能重命名对象组。若要进行更改,您需要将对象组删除,然后重新应用对象组。

注意: 通过对象组创建访问列表后,必须使用 access-group 命令将访问列表应用到接口。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco PIX 软件版本 6.2(2) 及更新版本

  • Cisco 515 PIX 防火墙(支持这些配置的任何 PIX 型号)

  • 软件版本为 7.0 或更新版本的 Cisco ASA

  • 运行软件版本 1.1 或更新版本的 Cisco 防火墙服务模块 (FWSM)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

本文档中的信息也适用于运行软件版本 7.0 或更新版本的 Cisco 5500 系列自适应安全设备 (ASA)。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

使用对象组

在命令中使用对象组时,必须在组名前使用关键字 object-group,如下例所示。

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

在本示例中,protocols、remotes、locals 和 services 都是先前定义的对象组名。对象组还可以进行嵌套,您可以将一个对象组作为另一个对象组的子集包括在内。

命令集如以下输出所示。

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service

配置对象组

ICMP 类型配置

ICMP 类型对象组被用来指定特定的 ICMP 类型,这些 ICMP 类型仅供 ICMP 访问控制列表 (ACL) 和输送管道使用。ICMP 类型的完整列表位于 object-group 命令的 PIX 命令参考中。

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed

网络配置

使用网络对象组指定要在 ACL 或输送管道中定义的主机 IP 地址或子网范围。主机 IP 地址用关键字 host 作前缀,可以是 IP 地址或用 name 命令定义的主机名。在相关的 ACL/输送管道中,您可以使用此对象组作为源或目标。

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

如果该列表仅包含 FTP 服务器,则以下示例适用。

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp

协议配置

使用协议对象组指定要在 ACL 或输送管道中定义的协议。只有在相关的 ACL 或输送管道中,才可使用此对象组作为协议类型。请注意,此对象组允许的协议都是 access-listconduit 命令中所允许的标准 PIX 协议名称,例如传输控制协议 (TCP)、用户数据报协议 (UDP)、通用路由封装 (GRE)、增强型内部网关路由协议 (EIGRP)、封装安全有效载荷 (ESP)、认证报头 (AH) 等等。设置在 TCP 或 UDP 顶部的协议不能用协议对象组指定。这些协议使用了对象组,如下例所示。

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any

服务配置

使用服务对象组指定要在 ACL 或输送管道中定义的特定 TCP 和/或 UDP 端口或端口范围。可以将此对象组用作相关 ACL/输送管道中的源端口或目标端口,如下例所示。

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

注意: 软件版本 8.0 发布时引入了增强型服务对象组。增强型服务对象组使 ASA/PIX 能够将 IP 协议在同一服务组内结合起来,从而不再需要协议和 ICMP 类型的特定对象组。要配置增强型服务对象组,不能指定协议类型。

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 

对象组嵌套配置

仅同一类型的对象组可互相嵌套。例如,不能将协议类型对象组嵌入到网络类型对象组中。

要将一组嵌入到另一组中,请发出 group-object 子命令。在本示例中,您可以在 ACL 或输送管道中使用 all_hosts 组指定全部四台主机。或者可以使用 host_grp_1 或 host_grp_2 仅在每组内指定二台主机。

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit

验证

本部分提供了可用于确认您的配置是否正常运行的信息。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show running-config object-group — 显示当前定义的 ACL。

  • show access-list <acl> — 显示 ACL 和每条线路的相关命中计数器。此命令显示每个定义的对象组的扩展 ACL 条目。

  • clear object-group [grp_type] — 如果输入时不带参数,clear object-group 命令将清除命令中未使用的所有定义的对象组。使用 grp_type 参数可清除命令中未使用的所有定义的对象组(仅限该组类型)。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 25700