Cisco ASA:如何在访问列表规则中使用增强的服务列表？

Question

在Cisco ASA 5505软件版本8.0.4上，如何在访问规则中使用增强的服务列表？

object-group service MY-SERVICES 
 description ports to allow through firewall for sitecore
 service-object tcp www
 service-object tcp https
 service-object tcp ssh
 service-object icmp echo
 service-object icmp echo-reply
exit

当我尝试使用它时，我得到以下信息：

access-list inside_access_in extended permit ip object-group NETWORK1 object-group  NETWORK2   object-group MY_SERVICES
                                                                                               ^
ERROR: % Invalid Hostname

在访问列表规则中使用扩展服务列表(在本例中包括多个协议、TCP和ICMP )所需的语法是什么？思科示例只显示它在基本访问列表中使用。

Answer 1

您的对象组混合了icmp和tcp，因此您不能将其放在通常放置端口号的访问列表的末尾。尝试将您的对象组放在放置“ip”的位置。

像这样：

access-list inside_access_in extended permit object-group MY_SERVICES object-group NETWORK1 object-group NETWORK2