您当前位置: 首页 » 网络安全 »

IOS安全

分类目录归档: IOS安全

使用对象组简化访问控制列表

 

对象组可以简化建立和维护访问列表工作:

以下为4种类型的对象组:

  • 协议:协议类型的对象组可以定义协议(如ICMP、TCP、和UDP)。使用object-group protocol grp_id 命令,并在对象组子模式下使用protocaol-object {protocol }命令来定义协议。其中,protocol是特定IP协议的数字标识(1~254)或关键字标识(如TCP、UDP)。要想包含所有的IP协议,关键字要使用IP;

 

  • 网络:要添加网络组,可以使用命令object_group network grp_id实现,并在对像组子模式下面使用命令network-object {host host_addr|net_addr mask }来定义主机或网络。
  • 服务:要添加服务组,可以使用命令object-group service grp_id {tcp | udp |tcp-udp }现实。要添加指定的服务(端口协议)可以使用关键字tcp、udp或tcp-udp

如果用到某个协议同时使用了相同的端口号的TCP和UDP协议,就要输入关键字tcp-udp,比如DNS协议(53端口)。在对象组子模式下使用关键字port-object可以定义端口号或者端口范围;

  • ICMP类型:要添加一个ICMP类型组,可以使用命令object-group icmp-type grp_id,在对象组子模式下使用命令icmp-object icmp_type(echo或echo-reply)可以定义ICMP类型;

要在访问列表中使用对象组,可以用object-group grp-id参数替换正常的协议(protocol)、网络(source_address mask等)、服务(operator port )或ICMP类型(icmp_type)参数;

并不是必须在访问列表中用对象组指定所有的参数,比如,可以用对象组代替源地址参数,来指定所有需要调用的主机/网络,也可以用服务对象组代替服务字段的参数等。对象组可以简化配置,让管理员能够在日后更加方便地添加,更新和删除配置;

实例:

该访问控制列表为了过滤从特定主机去往

Access-list 101 deny tcp host 10.1.1.52 host 209.165.201.1 eq www

Access-list 101 deny tcp host 10.1.1.52 host 209.165.201.2 eq www

Access-list 101 deny tcp host 10.1.1.13 host 209.165.201.1 eq www

Access-list 101 deny tcp host 10.1.1.13 host 209.165.201.2 eq www

Access-list 101 deny tcp host 10.1.1.15 host 209.165.201.1 eq www

Access-list 101 deny tcp host 10.1.1.15 host 209.165.201.2 eq www

Access-list 101 deny tcp 10.1.2.0 255.255.255.0 host 209.165.201.1 eq www

Access-list 101 deny tcp 10.1.2.0 255.255.255.0 host 209.165.201.2 eq www

Access-list 101 deny tcp 10.1.5.0 255.255.255.0 host 209.165.201.1 eq www

Access-list 101 deny tcp 10.1.5.0 255.255.255.0 host 209.165.201.2 eq www

Access-list 101 permit ip any any

 

配置对象组:

object-group network denyhosts

descripition Deny Addresses

network-object host 10.1.1.13

network-object host 10.1.1.15

network-object host 10.1.1.52

netwrok-object host 10.1.2.0 255.255.255.0

netwrok-object host 10.1.5.0 255.255.255.0

object-group network webserver

description Web Servers

network-object host 209.165.201.1

network-object host 209.165.201.2

在ACL中使用对象组:

access-list 101 deny tcp object-group denyhosts object-group webserver eq www

access-list 101 permit ip any any