ASA的Object Group可以将具有相同特性的对象组织起来,这样可以减少ACE的配置的条目,进而减少配置,便于管理。
Object Grou的类型有:
Protocol
Network
Service
ICMP type
在创建Object Group以后,可以在一个ACE中调用,这样可以将ACE的条目缩小为1个;同时,你也可以将一个Object Group嵌套到另外一个Object Group中
语法:
|
|
object-group ——定义一个对象组
protocol —— 指定IP协议(协议类型1到254),或名称标识,比如TCP、UDP、ICMP、GRP和IGMP;如果想包含所有的IP协议,可以使用关键字IP
network —— 指定host,subnet或网络地址;
icmp-type —— 指定ICMP类型,比如echo、echo-reply已经traceroute;
grp_id —— 自动4层TCP和UDP协议的端口号;
tcp —— 指定一组TCP服务,比如HTTP,FTP,Telnet和SMTP等
udp —— 指定一组UDP服务,比如DNS,TFTP和ISAKMP等
tcp-udp —— 指定一组即使用TCP又使用UDP的服务,比如DNS和Kerberos等