Безопасность : Устройства защиты Cisco PIX серии 500

Использование и конфигурирование PIX/ASA/FWSM Object Groups

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает групповые объекты, функция, представленная в версии 6.2 кода PIX. Группирование объектов позволяет собирать в группы такие объекты как IP-хосты и сети, протоколы, порты и типы ICMP (Internet Control Message Protocol). Группа объектов может использоваться в стандартных командах PIX conduit и access-list для ссылки на все объекты группы. Таким способом уменьшается размер конфигурации.

Примечание: Вы не можете переименовать групповые объекты. Но можно удалить группу объектов, а затем создать новую группу с нужным именем.

Примечание: Как только access-list создан с групповыми объектами, это должно быть, применился к интерфейсу с командой access-group.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО Cisco PIX , версия 6.2(2) и более поздние версии

  • Cisco 515 PIX Firewall (с этими конфигурациями работает любая модель PIX)

  • ПО Cisco ASA версии 7.0 и более поздние версии

  • Модуль служб межсетевого экрана Cisco (FWSM, Firewall Service Module) с ПО 1.1 или более поздней версии

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Приведенные в этом документе сведения также применимы к устройству адаптивной защиты Cisco 5500 Adaptive Security Appliance (ASA), на котором выполняется программное обеспечение версии 7.0 или более поздней.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Использование групп объектов

Если в команде используется группа объектов, перед именем группы необходимо указать ключевое слово object-group, как в следующем примере.

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

В данном примере протоколы, удаленные и локальные объекты, а также службы являются заранее определенными именами групп объектов. Группы объектов могут быть вложенными, то есть одна группа объектов может быть подмножеством другой группы объектов.

Ниже показан набор команд.

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service

Конфигурирование групп объектов

Конфигурация типов ICMP

Группа объектов типа ICMP используется для указания определенных типов протокола ICMP, которые будут использоваться только со списками управления доступом (ACL) и каналами передачи данных. Полный список типов ICMP содержится в справочнике по командам PIX, в описании команды object-group.

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed

Конфигурация сети

Группа сетевых объектов используется для указания IP-адресов хостов или диапазонов подсетей, которые нужно определить в канале или списке управления доступом. IP-адрес хоста имеет в качестве префикса ключевое слово host и может быть либо IP-адресом, либо именем хоста, которое уже было задано с помощью команды name. Эта группа объектов может использоваться в качестве как источника, так и пункта назначения в связанном канале или списке управления доступом.

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

Если этот список состоит только из FTP-серверов, то к нему применим следующий конкретный пример.

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp

Конфигурация протокола

Группа протокольных объектов используется для указания протоколов, которые нужно определить в канале или списке управления доступом. Эта группа объектов может использоваться в качестве типа протокола только в связанном канале или списке управления доступом. Обратите внимание, что для этой группы объектов разрешены только стандартные протоколы PIX, допустимые в команде access-list или conduit, такие как Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Generic Routing Encapsulation (GRE), Enhanced Interior Gateway Routing Protocol (EIGRP), Encapsulating Security Payload (ESP), Authentication Header (AH) и другие подобные протоколы. Протоколы, которые работают поверх протокола TCP или UDP, нельзя указывать в протокольной группе объектов. Такие протоколы используют группу объектов, как показано в следующем примере.

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any

Конфигурация службы

Группа объектов службы используется для указания конкретных портов TCP и UDP или их диапазонов, которые следует определить в списке управления доступом или канале передачи данных. Эта группа объектов может использоваться как порт (порты) источника или приемный порт (порты) в связанном канале или списке управления доступом, как показано в следующем примере.

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

Примечание: Object-group улучшенного сервиса были начаты с выпуска версии программного обеспечения 8.0. Группы служебных объектов с расширенными функциями позволяют устройствам ASA и PIX объединять IP-протоколы в одну служебную группу, что устраняет необходимость протокольных групп объектов и групп типов ICMP. Тип протокола не нужно указывать, чтобы настроить расширенную группу служебных объектов.

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 

Конфигурация вложенности групп объектов

Только группы объектов одного типа могут быть вложены в другую группу. Например, нельзя вложить группу объектов типа протокола в группу объектов типа сети.

Чтобы вложить группу в другую группу, выполните подкоманду group-object. В данном примере можно использовать группу all_hosts в списке управления доступом или канале, чтобы указать все четыре хоста. Можно также использовать host_grp_1 или host_grp_2, чтобы указать только два хоста в каждой группе.

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit

Проверка.

В данном разделе содержатся сведения для проверки правильности конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show running-config object-group. Показывает определенные на данный момент списки управления доступом.

  • show access-list <acl>. Показывает список управления доступом и связанный с ним счетчик каждой линии. Эта команда показывает развернутые записи списка управления доступом для каждой определенной группы объектов.

  • clear object-group [grp_type]. Если нет параметра, команда clear object-group удаляет все определенные группы объектов, которые не используются в команде. Если есть параметр grp_type, команда удаляет все определенные группы объектов, которые не используются в команде только для данного типа группы.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 25700