防火墙和VPN技术与实践
上QQ阅读APP看书,第一时间看更新
上一章目录下一章

1.3.1 地址对象和地址组

IP地址是最常用的安全策略匹配条件,地址对象和地址组是最广泛使用的对象。通常,在创建对象时,要将具有相同特征、需要相同访问权限的对象加入同一个集合。例如,所有的数据库服务器部署在同一个安全区域、占用一个连续的IP地址段,则可以将这个IP地址段加入一个地址对象,并在安全策略中引用此地址对象。

1. 地址对象

地址对象是地址的集合,可以包含一个或多个IPv4地址、IPv6地址、MAC(Medium Access Control,介质访问控制)地址。地址对象可以被各种业务策略直接引用,也可以加入一个或多个地址组中。

# 创建一个名为“Research_Dept”的地址对象,并指定起止范围。

ip address-set Research_Dept type object   //object表示地址对象
 address 10 range 192.168.1.1 192.168.1.120      //指定IPv4地址段的起止地址

使用起止地址指定地址对象范围是最常用的做法。用户也可以使用通配符或掩码、掩码长度来指定地址范围。

# 使用通配符指定地址范围。通配符为点分十进制,其二进制形式中的“0”位是匹配值,“1”位表示不需要关注。例如,192.168.1.1/0.0.0.255表示所有“192.168.1.*”形式的地址。

ip address-set Research_Dept type object
 address 11 192.168.1.1 0.0.0.255 //使用通配符指定地址范围

# 使用掩码指定地址范围。掩码为点分十进制,其二进制形式中的“1”位是匹配值,“0”位表示不需要关注。例如,192.168.1.1/255.255.255.0表示所有“192.168.1.*”形式的地址。

ip address-set Research_Dept type object
 address 11 192.168.1.1 mask 255.255.255.0       //使用掩码指定地址范围

# 使用掩码长度指定地址范围。

ip address-set Research_Dept type object
 address 11 192.168.1.1 mask 24     //使用掩码长度指定地址范围

在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。

ip address-set Research_Dept type object
 address 12 68-05-CA-90-A1-C9
2. 地址组

地址组也是地址的集合。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。这样,就可以更加方便地管理各种地址对象和地址组。

向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。下面重点介绍如何向地址组中添加地址对象和地址组。

ip address-set R&D_Dept type group  //group表示地址组
  address address-set Research_Dept    //将地址对象Research_Dept加入地址组R&D_Dept
  address address-set Test_Dept
ip address-set Product type group
  address address-set R&D_Dept     //将地址组R&D_Dept加入地址组Product
3. 在安全策略中应用地址组

下面以禁止研发部R&D_Dept访问DMZ的财务服务为例,展示地址组的应用方法。

security-policy
  rule name “Deny R&D_Dept to Finance”
    source-zone trust
    destination-zone dmz
    source-address address-set R&D_Dept //以地址组方式指定源地址
        service FinanceService              //自定义的财务服务
    action deny
4. 地址排除

在安全策略中应用地址组的时候,还可以根据业务需要,排除该地址组中的某些特殊IP地址。以禁止研发部访问DMZ的财务服务为例,地址组R&D_Dept(192.168.1.1/24)中的192.168.1.66不受此安全策略控制,则可以在前述配置中排除该IP地址。

security-policy
  rule name “Deny R&D_Dept to Finance”
   source-zone trust
   destination-zone dmz
   source-address address-set R&D_Dept
                                  //以地址集方式指定源地址(192.168.1.1/24)
   source-address-exclude 192.168.1.66 32       //排除此地址
   service FinanceService                       //自定义财务服务
   action deny
上一章目录下一章