2. 程式人生 > >6-思科防火墻:ASA中Object-group在ACL中的應用

6-思科防火墻:ASA中Object-group在ACL中的應用

阿新 發佈:2018-07-07
sha 在一起 access 5.0 實驗 服務組 alt inter color

一、實驗拓撲:
技術分享圖片
二、實驗要求:
先定義幾個小的,然後用大的包在一起;打包在一起,這就是所謂的嵌套,嵌套在編程裏是很長用的東西,叫做Object-group;
Object-group比較強大,可以調用普通的object;還可以在組裏調用單獨的網段、主機。
1、放行Outside(202.100.1.0/24)網絡去往內部Inside服務器群:FTP/ESP/DNS/ICMP的流量;
2、比如Outside有4個源主機:202.100.1.1~202.100.1.4,3個目的地;
3、如果正常寫ACL,需要一條一條的寫,作用:節省很多命令;
4、定義源、目的、服務組;
5、對比show run access-list和show access-list的區別
三、命令部署:
1、定義源object network
ASA(config)# object network yuan1 //network這裏其實就是主機的意思
ASA(config-network-object)# host 202.100.1.1

ASA(config-network-object)# object network yuan2
ASA(config-network-object)# subnet 202.100.1.0 255.255.255.0

ASA(config-network-object)# object network yuan3
ASA(config-network-object)# range 202.100.2.10 202.100.2.20

2、定義object-group,將上述打包在一起,還可以單獨增加網段、主機:
打包:
ASA(config)# object-group network yuan
ASA(config-network-object-group)# network-object object yuan1
ASA(config-network-object-group)# network-object object yuan2
ASA(config-network-object-group)# network-object object yuan3
單獨增加主機、網段:
ASA(config-network-object-group)# network-object 202.10.20.0 255.255.255.0 //單獨增加網段

ASA(config-network-object-group)# network-object host 202.10.20.1 //單獨增加主機

3、定義object-group network目的
ASA(config)# object-group network mude
ASA(config-network-object-group)# network-object host 10.1.1.1

4、定義object-group service ser:
ASA(config)# object-group service ser
ASA(config-service-object-group)# service-object esp
ASA(config-service-object-group)# service-object icmp
ASA(config-service-object-group)# service-object tcp destination eq ftp
ASA(config-service-object-group)# service-object udp destination eq domain

5、全局調用:
ASA(config)# access-list aa extended permit object-group ser object-group yuan object-group mude
四、驗證:
ASA# show run object
object network yuan1
host 202.100.1.1
object network yuan2
subnet 202.100.1.0 255.255.255.0
object network yuan3
range 202.100.2.10 202.100.2.20

ASA# show run object-group
object-group network yuan
network-object object yuan1
network-object object yuan2
network-object object yuan3
network-object 202.10.20.0 255.255.255.0
network-object host 202.10.20.1

ASA# show run access-list //下邊就1條
access-list aa extended permit object-group ser object-group yuan object-group mude

ASA# show access-list //下邊一堆
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list aa; 32 elements; name hash: 0xdd1304fa
access-list aa line 1 extended permit object-group ser object-group yuan object-group mude 0x2c352a70
access-list aa line 1 extended permit esp host 202.100.1.1 host 10.1.1.1 (hitcnt=0) 0x77cb04ed
access-list aa line 1 extended permit esp 202.100.1.0 255.255.255.0 host 10.1.1.1 (hitcnt=0) 0x260a81b4
access-list aa line 1 extended permit esp 202.100.2.10 255.255.255.254 host 10.1.1.1 (hitcnt=0) 0xaddc4366
access-list aa line 1 extended permit esp 202.100.2.12 255.255.255.252 host 10.1.1.1 (hitcnt=0) 0xaf630f92
access-list aa line 1 extended permit esp 202.100.2.16 255.255.255.252 host 10.1.1.1 (hitcnt=0) 0xd0d3bdd7
access-list aa line 1 extended permit esp host 202.100.2.20 host 10.1.1.1 (hitcnt=0) 0xa8245911
access-list aa line 1 extended permit esp 202.10.20.0 255.255.255.0 host 10.1.1.1 (hitcnt=0) 0x67408de6

6-思科防火墻:ASA中Object-group在ACL中的應用

相關推薦

6-防火ASAObject-group在ACL應用

sha 在一起 access 5.0 實驗 服務組 alt inter color 一、實驗拓撲:二、實驗要求:先定義幾個小的,然後用大的包在一起;打包在一起,這就是所謂的嵌套,嵌套在編程裏是很長用的東西,叫做Object-group;Object-group比較強大,可以

23-防火ASA Twice NAT

not ica hab -m esp log bject password nag 一、實驗拓撲:Twice NAT好處:可以節省主機或者路由器的配置,R1可以不需要有默認路由,R2(PC)可以不寫網關;二、實驗要求:1、當Inside網絡10.1.1.0/24,去往Out

7-防火ASA配置:Global ACL(CLI)

color vpd ima dac fig net shadow out pro 一、實驗拓撲:二、實驗要求:1、ACL抓取Telnet、ICMP流量並放行,在全局下應用:2、做完以後,R1去telnetR2、R3看是否可行?3、ACL抓取Telnet流量並拒絕;在接口Ou

19-防火ASA靜態NAT

思科防火墻 net 51cto flag 遠程管理 extend show user roc face 一、實驗拓撲:二、實驗要求:前提:R1、R2、R3分別有默認路由指向ASA對應的接口地址1、R1直接Telnet R3轉化後的地址,就可以成功進入R3界面;2、這時候流量

24-防火ASA透明防火實驗

分享 防火墻 sin out 三層 router cisco gns 會有 一、實驗拓撲:二、實驗要求:1、show mode:單模式;show firewall:路由模式——>firewall transparent;ASA清除所有配置;切換透明模式是不需要重啟的;

18-防火ASA動態NAT實驗二

config acc 臺電腦 water outside 登錄 存在 sub password 一、實驗拓撲:二、實驗要求:1、配置動態PAT,轉換Inside網段到DMZ地址10.1.2.1002、配置動態NAT,轉換Inside網絡到Outside地址池202.100.

14-防火ASA對IP分片的處理

方式 acc trying sha 遠程 bcf 分片 images 通過 一、實驗拓撲:二、實驗要求:1、R2開啟80的流量;2、R1采用http方式遠程登錄R2;R1#telnet 10.1.1.2 80:本來應該是Telnet流量,然後變成了80流量;3、抓包驗證:是

21-防火ASA端口PAT

-o mark tin http static 遠程 cati password 技術 一、實驗拓撲:二、實驗要求:1、外網去訪問內網,只需要訪問相應的NAT帶上端口號,就可以訪問相應的主機。2、將InsideR2主機轉換為Outside地址202.100.1.101並攜帶

8-防火Cisco ASA uRPF運用

path 屬於 -o log 防火墻 51cto shadow ima ext 一、實驗拓撲:二、實驗要求:1、面試:怎樣有效的去防止地址欺騙技術?配URPF三、命令部署:ASA(config)# ip verify reverse-path interface outsi

9-防火Cut ThroughTelnet穿越認證

cat img seconds 服務 tcp term second .com toc 一、實驗拓撲:二、實驗要求:ASA聯動外部產品ACS做一個認證,通過這種方式控制內部用戶的流量;其實還可以做授權、審計。有時候單單抓流量控制是不方便的,因為可能該網絡有很多用戶連接,比如

11-防火MPF基本狀態監控特性

net oba 路由 cmp sid clas eset escape ffffff 一、實驗拓撲:二、實驗要求:ICMP默認是沒有監控的,所以R2 Ping R1不通(註意:R1、R2分別有默認路由下一跳為對應的ASA接口地址);原因:有很多原因,R1開啟Debug,查看

27-防火A/S實驗

firewall 同步 拓撲 sco process 鏈路 信息 proc wall 一、實驗拓撲:二、實驗要求:1、2個ASA模式都為單模式、路由模式; 三、命令部署:1、基本配置:路由器基本配置:R1(config)#int f0/0R1(config-if)#no s

28-防火狀態化AA

1.3 mod host lena pro 思科防火墻 link ip地址 let 一、實驗拓撲:二、實驗要求:1、2個ASA都為多模式、路由模式;2、ASA1、ASA2打開5個接口:no shutdown;因為都要做子防火墻;3、2個ASA的子防火墻的配置其實是一摸一樣的

16-防火MPF運用層策略

ive 圖片 show www cisc 技術 http out 技術分享 一、實驗拓撲:二、實驗要求:1、R1開啟http服務;2、W7輸入R1的IP地址,更改文件地址就可以;3、文件地址在:C-Windows-System32-drivers-etc-host;屬性可以

22-防火Dynamic Identity NAT、Static Identity NAT

size com ... ear http in use password term sed 一、實驗拓撲:二、實驗要求:實驗一:Dinamic Identity NATR1、R2都有默認路由,下一跳為ASA對應的接口地址。實驗二:Static Identity NAT三、

26-防火多模式防火實驗

glob seq 是否 cte echo cati disk 我們 percent 一、實驗拓撲: 二、實驗要求:1、切換到多模式、路由模式,ASA多模式在接口下沒法配IP地址(同理透明模式也一樣),只能在子防火墻下配置;2、ASA接口no shutdown,然後創建子防火

防火基本配置思路及命令

3.0 主機 11.2 shu 註意事項 tcp 登陸 開啟 使用 修改防火墻名稱 config# hostname xxxx 配置特權密碼 config# enable password xxxx 遠程登陸密碼 config# password xxxx 配置接口名稱

6-華為防火配置基於源IP地址的NAT

外部 icm sha authent images 分享 -o 實驗 isp 一、實驗一:配置No-Pat1、基本配置略:2、R1開啟Telnet功能:[R1]user-interface vty 0 4[R1-ui-vty0-4]authentication-mode p

防火ASA)的基本配置與遠程管理

ssh asa asdm 楊書凡 狀態化防火墻 在目前大多數安全解決方案中,防火墻的實施是最為重要的需求,它是每個網絡基礎設施必要且不可分割的組成部分。這篇博客主要介紹防火墻安全算法的原理與基本配置以及遠程管理防火墻的幾種方式硬件與軟件防火墻1.軟件防火墻 軟件防火墻單獨使用軟

防火ASA)上配置四種類型的NAT

豁免 nat 楊書凡 前面已經介紹了網絡地址轉換(NAT)的原理和基於路由器的配置,ASA上的NAT配置相對於路由器來說要復制一些,ASA上的NAT有動態NAT、動態PAT、靜態NAT、靜態PAT。下面的鏈接是我以前寫的NAT原理,在路由器上配置NAT的命令http://yangshufa