我想使用 ASDM 6.4 阻止我的 Cisco ASA 5520 (8.2) 上的一系列 IP 地址。
在帮助文件/思科文档中,它说,只需创建一个具有“范围”类型的网络对象,然后在阻止访问规则中使用它......
当我使用 ASDM 6.4 访问 ASA(8.2)时,我转到配置>防火墙>对象>网络对象和组,然后单击“添加”将 IP 范围添加为“网络对象”,我得到以下 4 个字段需要填写:
名称: IP 地址: 网络掩码: 描述:
就这些...在上下文相关的帮助文件中,它说应该有一个类型下拉菜单可供选择,其中“范围”是其中一个选项,但没有“类型”下拉列表......
如果我尝试创建一个“网络对象组”而不是仅仅“网络对象”,那么我会得到一个“类型”下拉列表,但它只包含两个选项:网络和主机(这里也没有“范围”选项)
有人能帮我弄清楚如何使用 ASA 上当前的 8.2 版本来阻止一系列 IP 吗?
谢谢您的任何指点或建议!
答案1
ASA 直到 8.3 版才开始支持该object
命令(因此也支持地址范围)。ASDM 6.4 支持 8.2 版以上的 ASA,在线帮助(甚至可能是 GUI)可能反映了比您的版本更新的版本中可用的功能。假设它完全有效,我猜 ASDM 是使用object-group
不支持 IP 范围(仅支持主机和子网)的替代方法来实现此功能的。
参考:
- ASA 8.3 发行说明(向下滚动到“防火墙功能”部分)
object network
命令参考(向下滚动到“命令历史记录”部分)