简单的可以将其理解成一个检查站，从外到内的需要执行检查

配置上呢前面 name +一个ip +一个字符串 +一些描述的含义是给前面的IP定义一个名字，然后再加上一个注释，类似于dns的功能似的

后面object或者object-group就是将一系列的IP或者端口定义成一个对象或者一个对象组。相当收工分类，然后起一个有辨识程度的名称。

再后面就是acl了，也就是定义了检查的规则，这些规则的一些条件是调用了前面定义了的object或者object-group，来规定从谁或者那些可以访问什么地址。

然后acl是应用到了 outside接口上面（access-group outside_access_in in interface outside），也就是说这些规则在你防火墙的外部接口的进方向应用。相当于在这个位置应用了检查规则，先查你是谁，再看你要访问谁，查一下规则是否允许你通过，规则允许就放行，不允许就拦截掉。inside接口的策略也类似的方式去理解就行了

总的来说就这么点东西