简单的可以将其理解成一个检查站,从外到内的需要执行检查
配置上呢前面 name +一个ip +一个字符串 +一些描述的含义是给前面的IP定义一个名字,然后再加上一个注释,类似于dns的功能似的
后面object或者object-group就是将一系列的IP或者端口定义成一个对象或者一个对象组。相当收工分类,然后起一个有辨识程度的名称。
再后面就是acl了,也就是定义了检查的规则,这些规则的一些条件是调用了前面定义了的object或者object-group,来规定从谁或者那些可以访问什么地址。
然后acl是应用到了 outside接口上面(access-group outside_access_in in interface outside),也就是说这些规则在你防火墙的外部接口的进方向应用。相当于在这个位置应用了检查规则,先查你是谁,再看你要访问谁,查一下规则是否允许你通过,规则允许就放行,不允许就拦截掉。inside接口的策略也类似的方式去理解就行了
总的来说就这么点东西