ASA 8.X et versions ultérieures : exemple de configuration d'ajout ou de modification d'une liste d'accès via l'interface utilisateur graphique ASDM

Options de téléchargement

  • PDF     (1.1 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 avril 2011
ID du document:112925

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document explique comment utiliser Cisco Adaptive Security Device Manager (ASDM) afin de travailler avec des listes de contrôle d'accès. Cela inclut la création d'une nouvelle liste d'accès, la modification d'une liste d'accès existante et d'autres fonctionnalités avec les listes d'accès.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appareil de sécurité adaptatif Cisco (ASA) avec version 8.2.X

  • Cisco Adaptive Security Device Manager (ASDM) avec version 6.3.X

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Informations générales

Les listes d'accès sont principalement utilisées pour contrôler le flux de trafic à travers le pare-feu. Vous pouvez autoriser ou refuser des types de trafic spécifiques à l’aide de listes d’accès. Chaque liste d'accès contient un certain nombre d'entrées de liste d'accès (ACE) qui contrôlent le flux de trafic d'une source spécifique vers une destination spécifique. Normalement, cette liste d'accès est liée à une interface pour notifier la direction du flux dans lequel elle doit regarder. Les listes d'accès sont principalement classées en deux grands types.

  1. Listes d'accès entrantes

  2. Listes d'accès sortantes

Les listes d’accès entrantes s’appliquent au trafic qui entre dans cette interface et les listes d’accès sortantes au trafic qui sort de l’interface. La notation entrante/sortante fait référence à la direction du trafic par rapport à cette interface, mais pas au mouvement du trafic entre les interfaces de sécurité supérieure et inférieure.

Pour les connexions TCP et UDP, vous n'avez pas besoin d'une liste d'accès pour autoriser le trafic de retour, car l'appliance de sécurité autorise tout le trafic de retour pour les connexions bidirectionnelles établies. Pour les protocoles non orientés connexion tels qu'ICMP, l'appliance de sécurité établit des sessions unidirectionnelles. Par conséquent, vous avez besoin de listes d'accès pour appliquer des listes d'accès aux interfaces source et de destination afin d'autoriser ICMP dans les deux directions, ou vous devez activer le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des connexions bidirectionnelles.

À partir de la version 6.3.X d'ASDM, vous pouvez configurer deux types de listes de contrôle d'accès.

  1. Règles d'accès aux interfaces

  2. Règles d'accès globales

Remarque : la règle d'accès fait référence à une entrée de liste d'accès individuelle (ACE).

Les règles d'accès aux interfaces sont liées à n'importe quelle interface au moment de leur création. Sans les lier à une interface, vous ne pouvez pas les créer. Ceci diffère de l'exemple de ligne de commande. Avec CLI, vous créez d'abord la liste d'accès avec la commande access list, puis vous liez cette liste d'accès à une interface avec la commande access-group. ASDM 6.3 et versions ultérieures, la liste d'accès est créée et liée à une interface en tant que tâche unique. Cela s'applique uniquement au trafic passant par cette interface spécifique.

Les règles d'accès globales ne sont liées à aucune interface. Elles peuvent être configurées via l'onglet ACL Manager dans l'ASDM et sont appliquées au trafic d'entrée global. Ils sont implémentés lorsqu'il existe une correspondance basée sur la source, la destination et le type de protocole. Ces règles ne sont pas répliquées sur chaque interface, donc elles économisent de l'espace mémoire.

Lorsque ces deux règles doivent être implémentées, les règles d'accès à l'interface sont généralement prioritaires sur les règles d'accès globales.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

acl-asdm-01.gif

Ajouter une nouvelle liste d'accès

Complétez ces étapes afin de créer une nouvelle liste d'accès avec ASDM :

  1. Choisissez Configuration > Firewall > Access Rules, puis cliquez sur le bouton Add Access Rule.

    acl-asdm-02.gif

  2. Sélectionnez l'interface à laquelle cette liste d'accès doit être liée, ainsi que l'action à effectuer sur le trafic, c'est-à-dire autoriser/refuser. Cliquez ensuite sur le bouton Details afin de sélectionner le réseau source.

    acl-asdm-03.gif

    Remarque : voici une brève explication des différents champs affichés dans cette fenêtre :

    • Interface : détermine l'interface à laquelle cette liste d'accès est liée.

    • Action : détermine le type d'action de la nouvelle règle. Deux options sont disponibles. Autoriser autorise tout trafic correspondant et Refuser bloque tout trafic correspondant.

    • Source : ce champ indique la source du trafic. Il peut s'agir d'une adresse IP unique, d'un réseau, d'une adresse IP d'interface du pare-feu ou d'un groupe d'objets réseau. Vous pouvez les sélectionner à l'aide du bouton Détails.

    • Destination : ce champ indique la source du trafic. Il peut s'agir d'une adresse IP unique, d'un réseau, d'une adresse IP d'interface du pare-feu ou d'un groupe d'objets réseau. Vous pouvez les sélectionner à l'aide du bouton Détails.

    • Service : ce champ détermine le protocole ou le service du trafic auquel cette liste d'accès est appliquée. Vous pouvez également définir un groupe de services qui contient un ensemble de protocoles différents.

  3. Une fois que vous avez cliqué sur le bouton Détails, une nouvelle fenêtre contenant les objets réseau existants s'affiche. Sélectionnez le réseau interne, puis cliquez sur OK.

    acl-asdm-04.gif

  4. Vous revenez à la fenêtre Ajouter une règle d'accès. Tapez any dans le champ Destination. et cliquez sur OK afin de terminer la configuration de la règle d'accès.

    acl-asdm-05.gif

Ajoutez une règle d'accès avant une règle existante :

Complétez ces étapes afin d'ajouter une règle d'accès juste avant une règle d'accès existante :

  1. Sélectionnez l'entrée de la liste d'accès existante, puis cliquez sur Insert dans le menu déroulant Add

    acl-asdm-06.gif

  2. Choisissez la source et la destination, puis cliquez sur le bouton Détails du champ Service pour choisir le protocole.

    acl-asdm-07.gif

  3. Choisissez HTTP comme protocole, puis cliquez sur OK.

    acl-asdm-08.gif

  4. Vous revenez à la fenêtre Insérer une règle d'accès. Le champ Service est rempli avec tcp/http comme protocole sélectionné. Cliquez sur OK afin de terminer la configuration de la nouvelle entrée de la liste d'accès.

    acl-asdm-09.gif

Vous pouvez maintenant observer la nouvelle règle d'accès affichée juste avant l'entrée déjà existante pour le réseau interne.

acl-asdm-10.gif

Remarque : l'ordre des règles d'accès est très important. Lors du traitement de chaque paquet à filtrer, l'ASA examine si le paquet correspond à l'un des critères de la règle d'accès dans un ordre séquentiel et si une correspondance se produit, il implémente l'action de cette règle d'accès. Lorsqu'une règle d'accès est mise en correspondance, elle ne passe pas à d'autres règles d'accès et les vérifie à nouveau.

Ajouter une règle d'accès après une règle existante :

Complétez ces étapes afin de créer une règle d'accès juste après une règle d'accès déjà existante.

  1. Sélectionnez la règle d'accès après laquelle vous devez avoir une nouvelle règle d'accès, et choisissez Insert After dans le menu déroulant Add.

    acl-asdm-11.gif

  2. Spécifiez les champs Interface, Action, Source, Destination et Service, et cliquez sur OK pour terminer la configuration de cette règle d'accès.

    acl-asdm-12.gif

Vous pouvez voir que la règle d'accès nouvellement configurée se trouve juste après celle déjà configurée.

acl-asdm-13.gif

Créer une liste d'accès standard

Complétez ces étapes afin de créer une liste d'accès standard avec l'interface utilisateur graphique ASDM.

  1. Choisissez Configuration > Firewall > Advanced > Standard ACL > Add, puis cliquez sur Add ACL.

    acl-asdm-14.gif

  2. Donnez un numéro dans la plage autorisée pour la liste d'accès standard, et cliquez sur OK.

    acl-asdm-15.gif

  3. Cliquez avec le bouton droit sur la liste d'accès et choisissez Add ACE afin d'ajouter une règle d'accès à cette liste d'accès.

    acl-asdm-16.gif

  4. Sélectionnez l'action et spécifiez l'adresse source. Si nécessaire, spécifiez également la description. Cliquez sur OK afin de terminer la configuration de la règle d'accès.

    acl-asdm-17.gif

Créer une règle d'accès globale

Complétez ces étapes afin de créer une liste d'accès étendue qui contient des règles d'accès globales.

  1. Choisissez Configuration > Firewall > Advanced > ACL Manager > Add, puis cliquez sur le bouton Add ACL.

    acl-asdm-18.gif

  2. Spécifiez un nom pour la liste d'accès, puis cliquez sur OK.

    acl-asdm-19.gif

  3. Cliquez avec le bouton droit sur la liste d'accès et choisissez Add ACE afin d'ajouter une règle d'accès à cette liste d'accès.

    acl-asdm-20.gif

  4. Renseignez les champs Action, Source, Destination et Service, puis cliquez sur OK afin de terminer la configuration de la règle d'accès globale.

    acl-asdm-21.gif

Vous pouvez maintenant afficher la règle d'accès globale, comme illustré.

acl-asdm-22.gif

Modifier une liste d'accès existante

Cette section explique comment modifier un accès existant.

Modifiez le champ Protocole pour créer un groupe de services :

Complétez ces étapes afin de créer un nouveau groupe de services.

  1. Cliquez avec le bouton droit sur la règle d'accès qui doit être modifiée, et choisissez Edit afin de modifier cette règle d'accès spécifique.

    acl-asdm-23.gif

  2. Cliquez sur le bouton Details afin de modifier le protocole associé à cette règle d'accès.

    acl-asdm-24.gif

  3. Vous pouvez sélectionner un protocole autre que HTTP si nécessaire. S'il n'y a qu'un seul protocole à sélectionner, il n'est pas nécessaire de créer le groupe de services. Il est utile de créer un groupe de services lorsqu'il est nécessaire d'identifier de nombreux protocoles non adjacents auxquels cette règle d'accès doit correspondre.

    Choisissez Add > TCP service group afin de créer un nouveau groupe de services TCP.

    Remarque : de la même manière, vous pouvez également créer un nouveau groupe de services UDP ou un groupe ICMP, etc.

    acl-asdm-25.gif

  4. Spécifiez un nom pour ce groupe de services, sélectionnez le protocole dans le menu de gauche, et cliquez sur Add afin de les déplacer vers le menu Members in Group sur le côté droit. De nombreux protocoles peuvent être ajoutés en tant que membres d'un groupe de services en fonction des besoins. Les protocoles sont ajoutés un par un. Une fois tous les membres ajoutés, cliquez sur OK.

    acl-asdm-26.gif

  5. Le groupe de services nouvellement créé peut être affiché sous l'onglet Groupes de services TCP. Cliquez sur OK pour revenir à la fenêtre Modifier la règle d'accès.

    acl-asdm-27.gif

  6. Vous pouvez voir que le champ Service est renseigné avec le groupe de services nouvellement créé. Cliquez sur OK afin de terminer la modification.

    acl-asdm-28.gif

  7. Passez votre souris sur ce groupe de services spécifique afin d'afficher tous les protocoles associés.

    acl-asdm-29.gif

Modifiez les champs Source/Destination pour créer un groupe d'objets Réseau :

Les groupes d'objets sont utilisés pour simplifier la création et la maintenance des listes d'accès. Lorsque vous regroupez des objets similaires, vous pouvez utiliser le groupe d'objets dans une seule ACE au lieu d'avoir à entrer une ACE pour chaque objet séparément. Avant de créer le groupe d'objets, vous devez créer les objets. Dans la terminologie ASDM, l'objet est appelé objet réseau et le groupe d'objets est appelé groupe d'objets réseau.

Procédez comme suit :

  1. Choisissez Configuration > Firewall > Objects > Network Objects/Groups > Add, et cliquez sur Network Object afin de créer un nouvel objet réseau.

    acl-asdm-30.gif

  2. Remplissez les champs Name, IP Address et Netmask, et cliquez sur OK.

    acl-asdm-31.gif

  3. L'objet réseau nouvellement créé apparaît dans la liste des objets. Click OK.

    acl-asdm-32.gif

  4. Choisissez Configuration > Firewall > Objects > Network Objects/Groups > Add, et cliquez sur Network Object Group afin de créer un nouveau groupe d'objets réseau.

    acl-asdm-33.gif

  5. La liste disponible de tous les objets réseau se trouve dans le volet gauche de la fenêtre. Sélectionnez des objets réseau individuels et cliquez sur le bouton Add afin de les rendre membres du groupe d'objets réseau nouvellement créé. Le nom du groupe doit être spécifié dans le champ qui lui est attribué.

    acl-asdm-34.gif

  6. Cliquez sur OK après avoir ajouté tous les membres dans le groupe.

    acl-asdm-35.gif

    Vous pouvez maintenant afficher le groupe d'objets réseau.

    acl-asdm-36.gif

  7. Afin de modifier n'importe quel champ source/destination d'une liste d'accès existante avec un objet groupe réseau, cliquez avec le bouton droit sur la règle d'accès spécifique, et choisissez Modifier.

    acl-asdm-37.gif

  8. La fenêtre Modifier la règle d'accès s'affiche. Cliquez sur le bouton Détails du champ Source afin de le modifier.

    acl-asdm-38.gif

  9. Sélectionnez le groupe d'objets réseau All-Internal-Hosts, puis cliquez sur le bouton OK.

    acl-asdm-39.gif

  10. Click OK.

    acl-asdm-40.gif

  11. Passez votre souris sur le champ Source de la règle d'accès afin d'afficher les membres du groupe.

    acl-asdm-41.gif

Modifiez le port source :

Complétez ces étapes afin de modifier le port source d'une règle d'accès.

  1. Afin de modifier le port source d'une règle d'accès existante, cliquez dessus avec le bouton droit et choisissez Edit.

    La fenêtre Modifier la règle d'accès s'affiche.

    acl-asdm-42.gif

  2. Cliquez sur le bouton déroulant More Options afin de modifier le champ Source Service, et cliquez sur OK.

    Vous pouvez afficher la règle d'accès modifiée, comme indiqué.

    acl-asdm-43.gif

Supprimer une liste d'accès

Complétez ces étapes afin de supprimer une liste d'accès :

  1. Avant de supprimer une liste d'accès existante, vous devez supprimer les entrées de la liste d'accès (les règles d'accès). Il n'est pas possible de supprimer la liste d'accès à moins que vous ne supprimiez d'abord toutes les règles d'accès.

    Cliquez avec le bouton droit sur la règle d'accès à supprimer, puis sélectionnez Supprimer.

    acl-asdm-44.gif

  2. Effectuez la même opération de suppression sur toutes les règles d'accès existantes, puis sélectionnez la liste d'accès et choisissez Delete afin de la supprimer.

Exporter la règle d'accès

Les règles d'accès ASDM lient la liste d'accès à l'interface correspondante, tandis que le gestionnaire ACL suit toutes les listes d'accès étendues. Les règles d'accès créées avec le gestionnaire de liste de contrôle d'accès ne se lient à aucune interface. Ces listes d'accès sont généralement utilisées dans le cadre de NAT-Exempt, VPN-Filter et d'autres fonctions similaires lorsqu'il n'y a aucune association avec l'interface. Le Gestionnaire de liste de contrôle d’accès contient toutes les entrées de la section Configuration > Firewall > Access Rules. En outre, ACL Manager contient également les règles d'accès globales qui ne sont associées à aucune interface. L'ASDM est organisé de telle sorte que vous pouvez exporter une règle d'accès de n'importe quelle liste d'accès vers une autre en toute simplicité.

Par exemple, si vous avez besoin qu'une règle d'accès qui fait déjà partie d'une règle d'accès globale soit associée à une interface, vous n'avez pas besoin de la configurer à nouveau. Pour ce faire, vous pouvez effectuer une opération Couper et Coller.

  1. Cliquez avec le bouton droit sur la règle d'accès spécifiée, puis choisissez Couper.

    acl-asdm-45.gif

  2. Sélectionnez la liste d'accès requise dans laquelle vous devez insérer cette règle d'accès. Vous pouvez utiliser Coller dans la barre d'outils pour insérer la règle d'accès.

Exporter les informations de la liste d'accès

Vous pouvez exporter les informations de la liste de contrôle d’accès vers un autre fichier. Deux formats sont pris en charge pour exporter ces informations.

  1. Format CSV (Comma Separated Value)

  2. format HTML

Cliquez avec le bouton droit sur l'une des règles d'accès, puis choisissez Export afin d'envoyer les informations de la liste d'accès à un fichier.

acl-asdm-46.gif

Voici les informations de la liste de contrôle d’accès affichées au format HTML.

acl-asdm-47.gif

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
24-Mar-2011
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits