前言:主要是想搞定清除type object和group的区别,经过查找获得以下资料,分享如下
地址集
ip address-set address-set-name type [object | group]
address 0 192.168.5.2 0
address 1 192.168.5.3 0
address 2 192.168.5.6 0
服务集
ip service-set service-set-name type [object | group]
service prorocol tcp destination-port 80
service protocol tcp destination-port 8080
service protocol tcp destination-port 8443
地址对象
地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。地址对象可以被各种业务策略直接引用,也可以被加入到一个或多个地址组中。
# 创建一个名为“Research_Dept”的地址对象,并指定起止范围。
ip address-set Research_Dept type object //object表示地址对象 address 10 range 192.168.1.1 192.168.1.120 //指定IPv4地址段的起止地址
使用起止地址指定地址对象范围是最常用的做法。你也可以使用通配符或掩码、掩码长度来指定地址范围。
# 使用通配符指定地址范围。通配符为点分十进制,其二进制形式中的“0”位是匹配值,“1”位表示不需要关注。例如,192.168.1.1/0.0.0.255表示所有“192.168.1.*”形式的地址。
ip address-set Research_Dept type object address 11 192.168.1.1 0.0.0.255 //使用通配符指定地址范围
# 使用掩码指定地址范围。掩码为点分十进制,其二进制形式中的“1”位是匹配值,“0”位表示不需要关注。例如,192.168.1.1/255.255.255.0表示所有“192.168.1.*”形式的地址。
ip address-set Research_Dept type object address 11 192.168.1.1 mask 255.255.255.0 //使用掩码指定地址范围
# 使用掩码长度指定地址范围。
ip address-set Research_Dept type object address 11 192.168.1.1 mask 24 //使用掩码长度指定地址范围
在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。
ip address-set Research_Dept type object address 12 68-05-CA-90-A1-C9
地址组
地址组也是地址的集合。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。这样,就可以更加方便地管理各种地址对象和地址组。
向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。下面重点介绍如何向地址组中添加地址对象和地址组。
ip address-set R&D_Dept type group //group表示地址组 address address-set Research_Dept //将地址对象Research_Dept加入地址组R&D_Dept address address-set Test_Dept ip address-set Product type group address address-set R&D_Dept //将地址组R&D_Dept加入地址组Product
在安全策略中引用地址组
下面以禁止研发部R&D_Dept访问DMZ区域的HR服务为例,展示地址组的应用方法。
security-policy rule name "Deny R&D_Dept to HR" source-zone trust destination-zone dmz source-address address-set R&D_Dept //以地址组方式指定源地址 service HRService //自定义的HR服务 action deny
地址排除
在安全策略中引用地址组的时候,还可以根据业务需要,排除该地址组中的某些特殊IP地址。以禁止研发部访问DMZ区域的HR服务为例,地址组R&D_Dept (192.168.1.1/24)中的192.168.1.66不受此安全策略控制,则可以在前述配置中排除该IP地址。
security-policy rule name "Deny R&D_Dept to HR" source-zone trust destination-zone dmz source-address address-set R&D_Dept //以地址集方式指定源地址(192.168.1.1/24) source-address-exclude 192.168.1.66 32 //排除此地址 service HRService //自定义的HR服务 action deny
评论(0)