Сегодня я остановлюсь на работе с Cisco ASA, а именно на таких понятиях как объекты и группы объектов (object и object-group соответственно).
Недавно я писал уже о Cisco ASA URL фильтрации, сегодня продолжу серию статей о Cisco ASA.
Итак представим себе ситуацию, когда есть некоторые группы пользователей, которые разделены по уровню доступа к внешней сети (в моем случае это просто сеть интернет). Например, для одной группы мы разрешаем http трафик, для других mail,icq,http.
Доступ может даваться этим пользователем очень просто, через списки доступа (ACL), но не совсем удобно описывать для каждого пользователя (хоста) правила доступа. Намного проще было бы сформировать некий набор (группу) правил, который можно было бы применять в ACL.
Попробуем рассмотреть на примере.
Для начала рассмотрим пример разрешения «хождения» icmp трафика (echo, echo reply, time exceeded) для всех пользователей. Описание нужного трафика мы опишем с помощью object-group следующим образом:
object-group icmp-type icmp-allowed
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
Таким образом мы создали объектную группу, у которой тип icmp-type , с именем icmp-allowed.
В этой группе мы указываем объекты, такие как echo, echo-reply и time-exceeded.
После этого, нам необходимо создать ACL в котором и применим созданную объектную группу.
access-list 100 permit icmp any any object-group icmp-allowed
Таким образом мы одним правилом в ACL указали какие типы icmp пакетов разрешены.
Далее как обычно привязываем правило к интерфейсу и все должно работать.
Этот простой пример показывает как просто работать с группами объектов.
Ну и рассмотрим еще один пример, который будет выполнять то, что я определил в начале статьи, разный доступ, для разных групп пользователей.
group1: разрешить только www трафик (80 порт TCP)
group2: разрешить только www (80/tcp), mail (25/110/TCP), ICQ (5190/TCP)
object-group service group1 tcp
port-object eq www
object-group service group2 tcp
port-object eq www
port-object eq pop3
port-object eq smtp
port-object eq aol
После того, как группы созданы, можно применять их в ACL как и в предыдущем примере.
Статья носит ознакомительный характер, которая говорит начинающему администратору, который работает с Cisco ASA, что такая функциия существует и ее очень даже полезно иногда использовать.
На самом деле с помощью object, object-group можно создавать достаточно гибкие правила. Можно описать сети, хосты, порты, типы трафика и многое другое.
После того, как вкратце ознакомились с синтаксисом, проблем при разборке дальше возникнуть не должно.
Object и object-group работает на:
- Cisco PIX Software Release 6.2(2) и новее
- Cisco ASA with Software release 7.0 и новее
- Cisco Firewall Service Module (FWSM) версия 1.1 и новее.
