文档编号:172
浏览:7924 评分:34
最后更新于:2008-08-20
在进入防火墙—>访问控制策略页面使用“高级视图”配置访问控制策略之前,必须进入本页面配置访问控制策略所要引用的地址组。访问控制策略使用地址组来匹配设备接收数据包的源地址和目的地址,在服务和时间均匹配的情况下,如果设备接收数据包的源地址和目的地址在某条访问控制策略的源地址组和目的地址组范围内,就对该数据包执行此访问控制策略。
用户在创建一个地址组时,可以自定义此地址组包含的IP地址段,也可把已有地址组添加到此地址组中。地址组可以只包含IP地址段或只包含其他地址组,也可以既包含IP地址段又包含其他地址组,但最多只能包含10个IP地址段或地址组。
在访问控制策略中使用地址组,省掉了手工建立多条相同访问控制策略的麻烦。例如,内网中有多个不连续的IP地址段,而这些IP地址段访问外网的权限又相同,可以配置这些地址段属于同一地址组,然后做一条使用此地址组的访问控制策略即可同时对它们的数据包进行控制。
创建地址组
地址组名:自定义地址组的名称,不能重复,取值范围:1~11位字符;
所属区域:选择新建地址组所属的区域:
新地址:输入欲添加到地址组中的IP地址段;
已有地址:显示已存在的地址组,可把已有地址组添加到“地址范围列表”中;
地址范围列表:显示地址组包含的IP地址段或地址组;
“=〉”:用于将自定义的IP地址段或已有地址组添加到“地址范围列表”中;
“<=”:用于将“地址范围列表”中的IP地址段或地址组导入到“新地址”或“已有地址”框中;
删除:用于删除“地址范围列表”中的IP地址段或地址组;
保存:单击“保存”按钮,地址组配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 地址组名称不区分大小写,即地址组“A”和“a”指的是同一个地址组,在配置时一定要注意。
2. 在配置地址组包含其它地址组时,一定要注意,如果某个地址组已经包含了其它地址组,则这个地址组不能再配置属于其它地址组。
配置地址组:首先输入自定义的地址组名并选择所属区域,然后在“新地址”配置框中输入IP地址段,再单击“=>”将此IP地址段添加到“地址范围列表”中,可连续添加多个IP地址段;也可在“已有地址”框中选中一个或多个地址组名,单击“=>”将已有地址组添加到“地址范围列表”中,最后单击“保存”按钮即可。
编辑地址组:如果想修改某个地址组的信息,在“地址组信息列表”中单击此地址组的“地址组名”或“编辑”超链接,其配置信息即填充到地址组配置框中,如果想修改地址组包含的IP 地址段,在“地址范围列表”中选中此IP地址段,单击“<=”按钮将此IP地址段导入到 “新地址”配置框中,修改此地址段,保存后修改成功;如果想删除某个IP地址段或地址组,在“地址范围列表”中选中它,单击“删除”按钮并保存后即可将其从该地址组中删除。
可在“地址组信息列表”中查看已配置的地址组信息。如下表所示。
地址组信息列表
编辑:如果想修改某个地址组,只需在“地址组信息列表”中单击“地址组名”或“编辑”超链接,其信息即会填充到地址组配置框内,修改并单击“保存”按钮即可;
删除:选中欲删除的一个或多个地址组,单击右下角的“删除”按钮,即可删除。注意:您无法删除已经在访问控制策略中引用的地址组,必须先修改或删除所有引用它的访问控制策略,才能删除此地址组。