华为防火墙地址对象地址组、服务对象服务组

数通

前言:主要是想搞定清除type object和group的区别,经过查找获得以下资料,分享如下

地址集
ip address-set address-set-name type [object | group]
address 0 192.168.5.2 0
address 1 192.168.5.3 0
address 2 192.168.5.6 0

服务集
ip service-set service-set-name type [object | group]
service prorocol tcp destination-port 80
service protocol tcp destination-port 8080
service protocol tcp destination-port 8443

地址对象

地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。地址对象可以被各种业务策略直接引用,也可以被加入到一个或多个地址组中。

# 创建一个名为“Research_Dept”的地址对象,并指定起止范围。

ip address-set Research_Dept type object     //object表示地址对象
 address 10 range 192.168.1.1 192.168.1.120  //指定IPv4地址段的起止地址

使用起止地址指定地址对象范围是最常用的做法。你也可以使用通配符或掩码、掩码长度来指定地址范围。

# 使用通配符指定地址范围。通配符为点分十进制,其二进制形式中的“0”位是匹配值,“1”位表示不需要关注。例如,192.168.1.1/0.0.0.255表示所有“192.168.1.*”形式的地址。

ip address-set Research_Dept type object 
 address 11 192.168.1.1 0.0.0.255  //使用通配符指定地址范围

# 使用掩码指定地址范围。掩码为点分十进制,其二进制形式中的“1”位是匹配值,“0”位表示不需要关注。例如,192.168.1.1/255.255.255.0表示所有“192.168.1.*”形式的地址。

ip address-set Research_Dept type object 
 address 11 192.168.1.1 mask 255.255.255.0  //使用掩码指定地址范围

# 使用掩码长度指定地址范围。

ip address-set Research_Dept type object 
 address 11 192.168.1.1 mask 24  //使用掩码长度指定地址范围

在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。

ip address-set Research_Dept type object 
 address 12 68-05-CA-90-A1-C9

地址组

地址组也是地址的集合。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。这样,就可以更加方便地管理各种地址对象和地址组。

向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。下面重点介绍如何向地址组中添加地址对象和地址组。

ip address-set R&D_Dept type group   //group表示地址组
 address address-set Research_Dept  //将地址对象Research_Dept加入地址组R&D_Dept
 address address-set Test_Dept

ip address-set Product type group
 address address-set R&D_Dept      //将地址组R&D_Dept加入地址组Product

在安全策略中引用地址组

下面以禁止研发部R&D_Dept访问DMZ区域的HR服务为例,展示地址组的应用方法。

security-policy   
  rule name "Deny R&D_Dept to HR"  
    source-zone trust
    destination-zone dmz 
    source-address address-set R&D_Dept   //以地址组方式指定源地址
    service HRService                     //自定义的HR服务
    action deny 

地址排除

在安全策略中引用地址组的时候,还可以根据业务需要,排除该地址组中的某些特殊IP地址。以禁止研发部访问DMZ区域的HR服务为例,地址组R&D_Dept (192.168.1.1/24)中的192.168.1.66不受此安全策略控制,则可以在前述配置中排除该IP地址。

security-policy   
  rule name "Deny R&D_Dept to HR"  
    source-zone trust
    destination-zone dmz 
    source-address address-set R&D_Dept   //以地址集方式指定源地址(192.168.1.1/24)
    source-address-exclude 192.168.1.66 32   //排除此地址
    service HRService                     //自定义的HR服务
    action deny