防火墙配置
为了监测和实施防火墙出口过滤,我们要建立防火墙规则需要使用的一个网络对象和三个服务对象。对象组可以包含许多IP主机、网络、协议,网络对象组里面的每一个Ip地址都是该组的一个成员。
让我们来看看下面的例子:
object-group network egress_allow_networks description Allowed egress networks network-object host 10.10.10.100 object-group service egress_allow_ports description Allowed egress ports service-object tcp eq http service-object tcp eq https object-group service egress_block_ports description Blocked egress ports service-object tcp-udp range 65534 65535 object-group service egress_monitor_ports description Monitor egress ports service-object tcp-udp range 50000 65533 |
创建对象组的时候,必须添加一个成员。在这个例子中,添加了从65534到65535的TCP / UDP端口到阻止外出端口组。默认情况下阻止这些端口与外界通信是比较安全的。另外,上面将10.10.10.100添加到允许外出通信到达的目的网络中。