Ce document explique comment utiliser Cisco Adaptive Security Device Manager (ASDM) afin de travailler avec des listes de contrôle d'accès. Cela inclut la création d'une nouvelle liste d'accès, la modification d'une liste d'accès existante et d'autres fonctionnalités avec les listes d'accès.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appareil de sécurité adaptatif Cisco (ASA) avec version 8.2.X
Cisco Adaptive Security Device Manager (ASDM) avec version 6.3.X
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Les listes d'accès sont principalement utilisées pour contrôler le flux de trafic à travers le pare-feu. Vous pouvez autoriser ou refuser des types de trafic spécifiques à l’aide de listes d’accès. Chaque liste d'accès contient un certain nombre d'entrées de liste d'accès (ACE) qui contrôlent le flux de trafic d'une source spécifique vers une destination spécifique. Normalement, cette liste d'accès est liée à une interface pour notifier la direction du flux dans lequel elle doit regarder. Les listes d'accès sont principalement classées en deux grands types.
Listes d'accès entrantes
Listes d'accès sortantes
Les listes d’accès entrantes s’appliquent au trafic qui entre dans cette interface et les listes d’accès sortantes au trafic qui sort de l’interface. La notation entrante/sortante fait référence à la direction du trafic par rapport à cette interface, mais pas au mouvement du trafic entre les interfaces de sécurité supérieure et inférieure.
Pour les connexions TCP et UDP, vous n'avez pas besoin d'une liste d'accès pour autoriser le trafic de retour, car l'appliance de sécurité autorise tout le trafic de retour pour les connexions bidirectionnelles établies. Pour les protocoles non orientés connexion tels qu'ICMP, l'appliance de sécurité établit des sessions unidirectionnelles. Par conséquent, vous avez besoin de listes d'accès pour appliquer des listes d'accès aux interfaces source et de destination afin d'autoriser ICMP dans les deux directions, ou vous devez activer le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des connexions bidirectionnelles.
À partir de la version 6.3.X d'ASDM, vous pouvez configurer deux types de listes de contrôle d'accès.
Règles d'accès aux interfaces
Règles d'accès globales
Remarque : la règle d'accès fait référence à une entrée de liste d'accès individuelle (ACE).
Les règles d'accès aux interfaces sont liées à n'importe quelle interface au moment de leur création. Sans les lier à une interface, vous ne pouvez pas les créer. Ceci diffère de l'exemple de ligne de commande. Avec CLI, vous créez d'abord la liste d'accès avec la commande access list, puis vous liez cette liste d'accès à une interface avec la commande access-group. ASDM 6.3 et versions ultérieures, la liste d'accès est créée et liée à une interface en tant que tâche unique. Cela s'applique uniquement au trafic passant par cette interface spécifique.
Les règles d'accès globales ne sont liées à aucune interface. Elles peuvent être configurées via l'onglet ACL Manager dans l'ASDM et sont appliquées au trafic d'entrée global. Ils sont implémentés lorsqu'il existe une correspondance basée sur la source, la destination et le type de protocole. Ces règles ne sont pas répliquées sur chaque interface, donc elles économisent de l'espace mémoire.
Lorsque ces deux règles doivent être implémentées, les règles d'accès à l'interface sont généralement prioritaires sur les règles d'accès globales.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Ce document utilise la configuration réseau suivante :
Complétez ces étapes afin de créer une nouvelle liste d'accès avec ASDM :
Choisissez Configuration > Firewall > Access Rules, puis cliquez sur le bouton Add Access Rule.
Sélectionnez l'interface à laquelle cette liste d'accès doit être liée, ainsi que l'action à effectuer sur le trafic, c'est-à-dire autoriser/refuser. Cliquez ensuite sur le bouton Details afin de sélectionner le réseau source.
Remarque : voici une brève explication des différents champs affichés dans cette fenêtre :
Interface : détermine l'interface à laquelle cette liste d'accès est liée.
Action : détermine le type d'action de la nouvelle règle. Deux options sont disponibles. Autoriser autorise tout trafic correspondant et Refuser bloque tout trafic correspondant.
Source : ce champ indique la source du trafic. Il peut s'agir d'une adresse IP unique, d'un réseau, d'une adresse IP d'interface du pare-feu ou d'un groupe d'objets réseau. Vous pouvez les sélectionner à l'aide du bouton Détails.
Destination : ce champ indique la source du trafic. Il peut s'agir d'une adresse IP unique, d'un réseau, d'une adresse IP d'interface du pare-feu ou d'un groupe d'objets réseau. Vous pouvez les sélectionner à l'aide du bouton Détails.
Service : ce champ détermine le protocole ou le service du trafic auquel cette liste d'accès est appliquée. Vous pouvez également définir un groupe de services qui contient un ensemble de protocoles différents.
Une fois que vous avez cliqué sur le bouton Détails, une nouvelle fenêtre contenant les objets réseau existants s'affiche. Sélectionnez le réseau interne, puis cliquez sur OK.
Vous revenez à la fenêtre Ajouter une règle d'accès. Tapez any dans le champ Destination. et cliquez sur OK afin de terminer la configuration de la règle d'accès.
Ajoutez une règle d'accès avant une règle existante :
Complétez ces étapes afin d'ajouter une règle d'accès juste avant une règle d'accès existante :
Sélectionnez l'entrée de la liste d'accès existante, puis cliquez sur Insert dans le menu déroulant Add
Choisissez la source et la destination, puis cliquez sur le bouton Détails du champ Service pour choisir le protocole.
Choisissez HTTP comme protocole, puis cliquez sur OK.
Vous revenez à la fenêtre Insérer une règle d'accès. Le champ Service est rempli avec tcp/http comme protocole sélectionné. Cliquez sur OK afin de terminer la configuration de la nouvelle entrée de la liste d'accès.
Vous pouvez maintenant observer la nouvelle règle d'accès affichée juste avant l'entrée déjà existante pour le réseau interne.
Remarque : l'ordre des règles d'accès est très important. Lors du traitement de chaque paquet à filtrer, l'ASA examine si le paquet correspond à l'un des critères de la règle d'accès dans un ordre séquentiel et si une correspondance se produit, il implémente l'action de cette règle d'accès. Lorsqu'une règle d'accès est mise en correspondance, elle ne passe pas à d'autres règles d'accès et les vérifie à nouveau.
Ajouter une règle d'accès après une règle existante :
Complétez ces étapes afin de créer une règle d'accès juste après une règle d'accès déjà existante.
Sélectionnez la règle d'accès après laquelle vous devez avoir une nouvelle règle d'accès, et choisissez Insert After dans le menu déroulant Add.
Spécifiez les champs Interface, Action, Source, Destination et Service, et cliquez sur OK pour terminer la configuration de cette règle d'accès.
Vous pouvez voir que la règle d'accès nouvellement configurée se trouve juste après celle déjà configurée.
Complétez ces étapes afin de créer une liste d'accès standard avec l'interface utilisateur graphique ASDM.
Choisissez Configuration > Firewall > Advanced > Standard ACL > Add, puis cliquez sur Add ACL.
Donnez un numéro dans la plage autorisée pour la liste d'accès standard, et cliquez sur OK.
Cliquez avec le bouton droit sur la liste d'accès et choisissez Add ACE afin d'ajouter une règle d'accès à cette liste d'accès.
Sélectionnez l'action et spécifiez l'adresse source. Si nécessaire, spécifiez également la description. Cliquez sur OK afin de terminer la configuration de la règle d'accès.
Complétez ces étapes afin de créer une liste d'accès étendue qui contient des règles d'accès globales.
Choisissez Configuration > Firewall > Advanced > ACL Manager > Add, puis cliquez sur le bouton Add ACL.
Spécifiez un nom pour la liste d'accès, puis cliquez sur OK.
Cliquez avec le bouton droit sur la liste d'accès et choisissez Add ACE afin d'ajouter une règle d'accès à cette liste d'accès.
Renseignez les champs Action, Source, Destination et Service, puis cliquez sur OK afin de terminer la configuration de la règle d'accès globale.
Vous pouvez maintenant afficher la règle d'accès globale, comme illustré.
Cette section explique comment modifier un accès existant.
Modifiez le champ Protocole pour créer un groupe de services :
Complétez ces étapes afin de créer un nouveau groupe de services.
Cliquez avec le bouton droit sur la règle d'accès qui doit être modifiée, et choisissez Edit afin de modifier cette règle d'accès spécifique.
Cliquez sur le bouton Details afin de modifier le protocole associé à cette règle d'accès.
Vous pouvez sélectionner un protocole autre que HTTP si nécessaire. S'il n'y a qu'un seul protocole à sélectionner, il n'est pas nécessaire de créer le groupe de services. Il est utile de créer un groupe de services lorsqu'il est nécessaire d'identifier de nombreux protocoles non adjacents auxquels cette règle d'accès doit correspondre.
Choisissez Add > TCP service group afin de créer un nouveau groupe de services TCP.
Remarque : de la même manière, vous pouvez également créer un nouveau groupe de services UDP ou un groupe ICMP, etc.
Spécifiez un nom pour ce groupe de services, sélectionnez le protocole dans le menu de gauche, et cliquez sur Add afin de les déplacer vers le menu Members in Group sur le côté droit. De nombreux protocoles peuvent être ajoutés en tant que membres d'un groupe de services en fonction des besoins. Les protocoles sont ajoutés un par un. Une fois tous les membres ajoutés, cliquez sur OK.
Le groupe de services nouvellement créé peut être affiché sous l'onglet Groupes de services TCP. Cliquez sur OK pour revenir à la fenêtre Modifier la règle d'accès.
Vous pouvez voir que le champ Service est renseigné avec le groupe de services nouvellement créé. Cliquez sur OK afin de terminer la modification.
Passez votre souris sur ce groupe de services spécifique afin d'afficher tous les protocoles associés.
Modifiez les champs Source/Destination pour créer un groupe d'objets Réseau :
Les groupes d'objets sont utilisés pour simplifier la création et la maintenance des listes d'accès. Lorsque vous regroupez des objets similaires, vous pouvez utiliser le groupe d'objets dans une seule ACE au lieu d'avoir à entrer une ACE pour chaque objet séparément. Avant de créer le groupe d'objets, vous devez créer les objets. Dans la terminologie ASDM, l'objet est appelé objet réseau et le groupe d'objets est appelé groupe d'objets réseau.
Procédez comme suit :
Choisissez Configuration > Firewall > Objects > Network Objects/Groups > Add, et cliquez sur Network Object afin de créer un nouvel objet réseau.
Remplissez les champs Name, IP Address et Netmask, et cliquez sur OK.
L'objet réseau nouvellement créé apparaît dans la liste des objets. Click OK.
Choisissez Configuration > Firewall > Objects > Network Objects/Groups > Add, et cliquez sur Network Object Group afin de créer un nouveau groupe d'objets réseau.
La liste disponible de tous les objets réseau se trouve dans le volet gauche de la fenêtre. Sélectionnez des objets réseau individuels et cliquez sur le bouton Add afin de les rendre membres du groupe d'objets réseau nouvellement créé. Le nom du groupe doit être spécifié dans le champ qui lui est attribué.
Cliquez sur OK après avoir ajouté tous les membres dans le groupe.
Vous pouvez maintenant afficher le groupe d'objets réseau.
Afin de modifier n'importe quel champ source/destination d'une liste d'accès existante avec un objet groupe réseau, cliquez avec le bouton droit sur la règle d'accès spécifique, et choisissez Modifier.
La fenêtre Modifier la règle d'accès s'affiche. Cliquez sur le bouton Détails du champ Source afin de le modifier.
Sélectionnez le groupe d'objets réseau All-Internal-Hosts, puis cliquez sur le bouton OK.
Click OK.
Passez votre souris sur le champ Source de la règle d'accès afin d'afficher les membres du groupe.
Modifiez le port source :
Complétez ces étapes afin de modifier le port source d'une règle d'accès.
Afin de modifier le port source d'une règle d'accès existante, cliquez dessus avec le bouton droit et choisissez Edit.
La fenêtre Modifier la règle d'accès s'affiche.
Cliquez sur le bouton déroulant More Options afin de modifier le champ Source Service, et cliquez sur OK.
Vous pouvez afficher la règle d'accès modifiée, comme indiqué.
Complétez ces étapes afin de supprimer une liste d'accès :
Avant de supprimer une liste d'accès existante, vous devez supprimer les entrées de la liste d'accès (les règles d'accès). Il n'est pas possible de supprimer la liste d'accès à moins que vous ne supprimiez d'abord toutes les règles d'accès.
Cliquez avec le bouton droit sur la règle d'accès à supprimer, puis sélectionnez Supprimer.
Effectuez la même opération de suppression sur toutes les règles d'accès existantes, puis sélectionnez la liste d'accès et choisissez Delete afin de la supprimer.
Les règles d'accès ASDM lient la liste d'accès à l'interface correspondante, tandis que le gestionnaire ACL suit toutes les listes d'accès étendues. Les règles d'accès créées avec le gestionnaire de liste de contrôle d'accès ne se lient à aucune interface. Ces listes d'accès sont généralement utilisées dans le cadre de NAT-Exempt, VPN-Filter et d'autres fonctions similaires lorsqu'il n'y a aucune association avec l'interface. Le Gestionnaire de liste de contrôle d’accès contient toutes les entrées de la section Configuration > Firewall > Access Rules. En outre, ACL Manager contient également les règles d'accès globales qui ne sont associées à aucune interface. L'ASDM est organisé de telle sorte que vous pouvez exporter une règle d'accès de n'importe quelle liste d'accès vers une autre en toute simplicité.
Par exemple, si vous avez besoin qu'une règle d'accès qui fait déjà partie d'une règle d'accès globale soit associée à une interface, vous n'avez pas besoin de la configurer à nouveau. Pour ce faire, vous pouvez effectuer une opération Couper et Coller.
Cliquez avec le bouton droit sur la règle d'accès spécifiée, puis choisissez Couper.
Sélectionnez la liste d'accès requise dans laquelle vous devez insérer cette règle d'accès. Vous pouvez utiliser Coller dans la barre d'outils pour insérer la règle d'accès.
Vous pouvez exporter les informations de la liste de contrôle d’accès vers un autre fichier. Deux formats sont pris en charge pour exporter ces informations.
Format CSV (Comma Separated Value)
format HTML
Cliquez avec le bouton droit sur l'une des règles d'accès, puis choisissez Export afin d'envoyer les informations de la liste d'accès à un fichier.
Voici les informations de la liste de contrôle d’accès affichées au format HTML.
Aucune procédure de vérification n'est disponible pour cette configuration.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
24-Mar-2011 |
Première publication |