交换机．路由器．防火墙-技术提升【7.4】

18.5 配置对象和访问列表

对象是配置中可以重复使用的要素，可以在 ASA 配置中包含 IP 地址的部分定义和使用。借助对象，可以让配置变得更加简单，因为只需在一处修改对象，即可在引用它的所有位置都反映出来。如果没有对象，那么，就需要逐一修改这些参数功能，而不能一次搞定。例如，一个网络对象定义了一个 IP 地址和子网掩码，如果想改变 IP 地址，只需简单地在对象定义中修改它即可，而不必在引用它的每个功能中逐一进行修改。

18.5.1    配置对象和组

ASA 支持对象和对象组。根据需要，可以将对象添加至一个或多个对象组，或者将对象从对象组移除。

1. 对象和对象组简介

对象在包含有 IP 地址的配置中创建和使用。可以使用 IP 地址和子网掩码对或协议定义对象，并将其用于各自的配置中。无论何时，当需要修改 IP 地址或协议时，将不必再修改运行配置中的所有规则，只是简单地修改对象，就能够将修改自动应用于所有使用该对象的规则。在 Cisco ASA 中可以配置两种类型的对象，即网络对象和服务对象，都能应用于 NAT（ Network Address Translation，网络地址转换），访问列表（ Access List）和对象组。

对象组与对象类似，可以在 ACE 中使用对象组，而不必再分别输入每个对象。可以创建下列类型的对象组：

 协议

 网络

 服务

 ICMP 类型

例如，可以考虑创建 3 个对象组：

 MyService——包含允许访问内部网络服务请求的 TCP 和 UDP 端口号。

 TrustedHosts——包含允许访问重要的服务和服务器的主机和网络地址。

 PublicServers——包含提供重要访问的服务器的主机地址。

在创建这些组之后，就可以仅用一个 ACE（ Access Control Entry，访问控制项）来允许信任主机向组或公共服务器发出指定的服务请求。

2. 配置策略和限制

在配置对象和对象组时，应当遵循以下配置策略和限制：

 对象和对象组支持单一和多模式环境模式。

 对象和对象组支持路由和透明防火墙模式。

 对象和对象组共享同一名称空间。

 对象组必须有唯一的名称。

 如果对象组正在命令中使用，那么，不能移除该对象组，或者使该对象组为空。

3. 配置网络对象
网络对象包含一个 IP 地址/子网掩码对。网络对象可以是三种类型，即主机、子网或范围。
① 创建一个新的网络对象。 obj_name 是一个最长 64 个字符的文本字符串，可以包括字
母、数字、下画线“ _”、连字符“ -”或句号“ .”。提示符将切换到网络对象配置模式。
hostname(config)# object-network obj_name
② 将 IP 地址指定至该对象。可以配置主机地址、子网或地址范围。
hostname(config-network-object)# {host ip_addr | subnet net_addr net_mask |
range ip_addr_1 ip_addr_2}
③ 添加对该对象的描述。
hostname(config-network-object)# description text
4. 配置服务对象
服务对象包含协议、源和/或目的端口。
① 创建一个新的服务对象。 obj_name 是一个最长 64 个字符的文本字符串，可以包括字
母、数字、下画线“ _”、连字符“ -”或句号“ .”。提示符将切换到服务对象配置模式。
hostname(config)# object-network obj_name
② 为源映射地址创建一个服务对象。 Protocol 用于指定 IP 协议名称或数值。 ICMP、 TCP
或 UDP 关键字指定该服务对象是 ICMP、 TCP 或 UDP 协议中的哪一个。 Icmp-type 用于命名
ICMP 类型。 Source 用于指定源端口。 Destination 用于指定目的端口。 Operator port 用于指定
支持配置端口协议的端口/代码值。当以 TCP 或 UDP 配置端口时，可以指定“ eq,”（等于）、
“ neq,”（不等于）、“ lt,”（小于）、“gt,”（大于）和“ range”（范围）。
hostname(config-service-object)# service {protocol | icmp icmp-type | {tcp |
udp} [sour