Module 21 : Configuration

du pare-feu ASA

Sécurité réseau v1.0

(NETSEC)
Objectifs du module
Titre du module : Configuration du pare-feu ASA

Objectif du module : Implémenter une configuration de pare-feu ASA.

Titre du sujet Objectif du sujet

Configuration de base du pare-feu
Expliquez comment configurer un ASA-5506-X avec les services FirePOWER.
ASA
Configurer les paramètres de gestion
Configurez les paramètres de gestion et les services sur un pare-feu ASA 5506-X.
et les services
Groupes d'objets Expliquez comment configurer des groupes d’objets sur un ASA.
Utilisez les commandes correctes pour configurer les listes d’accès avec des
ACL ASA
groupes d’objets sur un ASA.
Utilisez les commandes correctes pour configurer un ASA afin de fournir des
Services NAT sur un ASA
services NAT.
Utilisez les commandes correctes pour configurer le contrôle d'accès à l'aide de la
AAA
base de données locale et du serveur AAA.
Politiques de service sur un ASA Configurer les politiques de service sur un ASA
Introduction à l'ASDM (facultatif) Remarque : il s’agit d’un sujet facultatif qui n’est pas évalué.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
21.1 Configuration de base du
pare-feu ASA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Configuration de base du pare-feu ASA
Paramètres ASA de base

L'interface de ligne de commande ASA (CLI) est un système d'exploitation

propriétaire, qui a une apparence et une convivialité similaires à celles du routeur
IOS.

Par exemple, l'interface de ligne de commande ASA contient des invites de

commande similaires à celles d'un routeur Cisco IOS.

• Abréviation de commandes et de mots-clés

• Utilisation de la touche Tab pour terminer une commande partielle
• Utilisation de la touche d'aide ( ? ) après une commande pour afficher une
syntaxe supplémentaire

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Configuration de base du pare-feu ASA
Paramètres ASA de base (suite)

Le tableau compare les commandes courantes du routeur IOS et ASA.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Configuration de base du pare-feu ASA
Paramètres ASA de base (suite)

Les commandes ASA CLI peuvent être exécutées quelle que soit l'invite
du mode de configuration actuel.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Configuration de base du pare-feu ASA
Configuration par défaut de l'ASA
L'ASA 5506-X avec services FirePOWER est livré avec
une configuration par défaut qui, dans la plupart des
cas, est suffisante pour un déploiement SOHO de base.
Utilisez la commande de mode de configuration globale
configure factory-default pour restaurer la
configuration par défaut d'usine.

Le nom d'hôte par défaut est ciscoasa . Par défaut, les

mots de passe de la ligne EXEC et de la console
privilégiée ne sont pas configurés.

Ces paramètres peuvent être modifiés par :

• Manuellement à l'aide de la CLI
• Utilisation interactive de l'assistant d'initialisation de
la configuration CLI
• Utilisation de l'assistant de démarrage ASDM
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Configuration de base du pare-feu ASA
Assistant d'initialisation de configuration interactive ASA

L'assistant s'affiche lorsqu'il n'existe

aucune configuration de démarrage et
demande « Préconfigurer le pare-feu
maintenant via des invites interactives
[oui] ? ». Pour annuler et afficher l'invite
du mode EXEC utilisateur par défaut ASA,
saisissez no . Sinon, saisissez yes ou
appuyez simplement sur Entrée pour
accepter la valeur par défaut [yes]. Cela
lance l'assistant et l'ASA guide de manière
interactive un administrateur pour
configurer les paramètres par défaut.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
21.2 Configurer les paramètres
de gestion et les services

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Configurer les paramètres de gestion et les services
Entrer en mode de configuration globale

L'invite utilisateur ASA par défaut de ciscoasa> s'affiche lorsqu'une configuration ASA est
effacée, que le périphérique est redémarré et que l'utilisateur n'utilise pas l'assistant de
configuration interactif.

Pour accéder au mode EXEC privilégié, utilisez la commande enable user EXEC mode. Au
départ, aucun mot de passe n'est configuré pour un ASA. Par conséquent, lorsque vous y êtes
invité, laissez l'invite d'activation du mot de passe vide et appuyez sur Entrée .

La date et l'heure ASA doivent être définies manuellement ou à l'aide du protocole NTP (Network
Time Protocol). Pour définir la date et l'heure, utilisez la commande EXEC privilégiée clock set .

Entrez en mode de configuration globale à l'aide de la commande EXEC privilégiée configure

terminal .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Configurer les paramètres de gestion et les services
Configurer les paramètres de base
Un ASA doit être configuré avec des paramètres de gestion de base. Le tableau affiche les
commandes permettant d'accomplir cette tâche.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Configurer les paramètres de gestion et les services
Configurer les paramètres de base (suite)
Pour configurer une bannière avec plusieurs lignes,
le motd de la bannière doit être saisi plusieurs fois.

Le mot de passe EXEC privilégié est

automatiquement chiffré à l'aide de MD5.
Cependant, un chiffrement plus fort utilisant AES
doit être activé. Pour ce faire, une phrase de passe
principale doit être configurée et le chiffrement AES
doit être activé.

Pour modifier la phrase secrète principale, utilisez la

clé config-key password-encryption commande
password . Pour déterminer si le cryptage du mot de
passe est activé, utilisez la commande show
password encryption .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Configurer les paramètres de gestion et les services
Configurer les interfaces
L'ASA-5506-X dispose de huit interfaces Gigabit Ethernet qui peuvent être configurées pour
acheminer le trafic provenant de différents réseaux. L'interface G1/1 est utilisée par convention
comme interface externe et est configurée pour recevoir son adresse IP via DHCP par défaut.

Les interfaces restantes, G1/2-G1/8, peuvent être affectées à des réseaux internes ou à des
DMZ. De plus, un port Gigabit Ethernet est dédié à la gestion en bande. Il est désigné comme
Management1/1. Il existe également des connexions de console RJ45 et USB pour la gestion
hors bande.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Configurer les paramètres de gestion et les services
Configurer les interfaces (suite)
L'adresse IP d'une interface peut être configurée à l'aide de l'une des options suivantes :

• Manuellement - Généralement utilisé pour attribuer une adresse IP et un masque à l'interface.

• DHCP - Utilisé lorsqu'une interface se connecte à un périphérique en amont fournissant des services DHCP.
• PPPoE - Utilisé lorsqu'une interface se connecte à un périphérique DSL en amont fournissant une connectivité point à
point via des services Ethernet

Le tableau répertorie les commandes permettant de configurer une adresse IP sur une interface.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Configurer les paramètres de gestion et les services
Configurer les interfaces (suite)
Chaque interface doit avoir un niveau de sécurité compris entre 0 (le plus bas) et 100 (le plus élevé).

Les commandes ci-dessous sont utilisées pour configurer les paramètres d'interface de base.

Vérifiez l'adressage et l'état de l'interface avec la commande show interface ip brief comme indiqué ci-
dessous. Notez que la commande show n'a pas besoin d'être saisie en mode EXEC utilisateur.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Configurer les paramètres de gestion et les services
Configurer les interfaces (suite)
Exemple de configuration d'interface

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Configurer les paramètres de gestion et les services
Configurer une route statique par défaut

Utiliser l' itinéraire nom-interface 0.0.0.0 0.0.0.0 commande next-hop-ip-address pour configurer
une route par défaut.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Configurer les paramètres de gestion et les services
Configurer les services d’accès à distance
Telnet ou SSH est requis pour gérer l'ASA 5506-X à distance, à l'aide de l'interface de ligne de commande. Pour
activer le service Telnet, utilisez les commandes répertoriées dans le tableau.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Configurer les paramètres de gestion et les services
Configurer les services d’accès à distance (suite)
Pour activer SSH, utilisez les commandes répertoriées dans le tableau . Un exemple de
configuration se trouve sur la diapositive suivante.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Configurer les paramètres de gestion et les services
Configurer les services d’accès à distance (suite)

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Configurer les paramètres de gestion et les services
Configurer les services du protocole de temps réseau
Les services NTP (Network Time Protocol) peuvent être activés sur un ASA pour obtenir la date
et l'heure à partir d'un serveur NTP. Pour activer NTP, utilisez les commandes du mode de
configuration globale répertoriées dans le tableau. Pour vérifier la configuration et l'état NTP,
utilisez les commandes show ntp status et show ntp associations

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Configurer les paramètres de gestion et les services
Configurer les services DHCP
Un ASA peut être configuré pour être un serveur DHCP afin de fournir des adresses IP et des informations
relatives au DHCP aux hôtes. Pour activer un ASA en tant que serveur DHCP et fournir des services DHCP aux
hôtes, utilisez les commandes répertoriées dans le tableau. Exemple sur la diapositive suivante

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Configurer les paramètres de gestion et les services
Configurer les services DHCP (suite)

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
21.3 Groupes d'objets

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Groupes d'objets
Introduction aux objets et aux groupes d'objets

Les objets sont des composants

réutilisables destinés à être
utilisés dans les configurations.
Les objets peuvent être définis et
utilisés dans les configurations
Cisco ASA à la place des
adresses IP, des services, des
noms, etc. en ligne.

L'ASA prend en charge les objets

et les groupes d'objets, comme
indiqué dans la sortie suivante de
la fonction d'aide :

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Groupes d'objets
Configurer les objets réseau
Pour créer un objet réseau, utilisez l' objet réseau Commande de mode de configuration
globale object-name . L'invite passe en mode de configuration d'objet réseau.

Les objets réseau peuvent être constitués des éléments suivants :

• hôte - une adresse d'hôte
• fqdn - un nom de domaine complet
• plage - une plage d'adresses IP
• sous-réseau - un réseau IP ou un sous-réseau entier

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Groupes d'objets
Configurer les objets réseau (suite)
Les commandes disponibles en mode de configuration d'objet réseau sont affichées
dans le tableau.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Groupes d'objets
Configurer les objets réseau (suite)
L'exemple montre un exemple de configuration d'objet réseau. Notez que la
configuration de range remplace la configuration précédente de host .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Groupes d'objets
Configurer les objets de service
Le tableau fournit un aperçu des options de service courantes disponibles. Des mots clés facultatifs sont
utilisés pour identifier le port source ou le port de destination, ou les deux. Les opérateurs tels que eq
(égal), neq (différent de), lt (inférieur à), gt (supérieur à) et range prennent en charge la configuration d'un
port pour un protocole donné. Si aucun opérateur n'est spécifié, l'opérateur par défaut est eq .

Utilisez la forme no de la commande pour supprimer un objet de service. Pour effacer tous les objets de
service, utilisez la commande clear config object service .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Groupes d'objets
Configurer les objets de service (suite)
Un nom d'objet de service ne peut être associé qu'à un seul protocole et à un seul port (ou
ports), comme indiqué dans la sortie show run object service de cet exemple.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Groupes d'objets
Groupes d'objets

Les objets peuvent être regroupés pour créer un groupe d'objets. En regroupant des
objets similaires, un groupe d'objets peut être utilisé dans une entrée de contrôle d'accès
(ACE) au lieu de devoir saisir une ACE pour chaque objet séparément.

Les directives et limitations suivantes s'appliquent aux groupes d'objets :

• Les objets et les groupes d’objets partagent le même espace de noms.
• Les groupes d’objets doivent avoir des noms uniques.
• Un groupe d'objets ne peut pas être supprimé ou vidé s'il est utilisé dans une
commande.
• L'ASA ne prend pas en charge les groupes d'objets imbriqués IPv6.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Groupes d'objets
Groupes d'objets (suite)
Il existe cinq types de groupes d’objets.

• Réseau - Un groupe d'objets basé sur le réseau spécifie une liste d'adresses IP d'hôtes, de sous-réseaux ou de réseaux.

• Utilisateur - Les groupes d'utilisateurs Active Directory créés localement ou importés peuvent être définis pour être
utilisés dans les fonctionnalités qui prennent en charge le pare-feu d'identité.

• Service - Un groupe d'objets basé sur un service est utilisé pour regrouper les ports TCP, UDP ou TCP et UDP dans un
objet. L'ASA permet la création d'un groupe d'objets de service qui peut contenir un mélange de services TCP, de
services UDP, de services de type ICMP et de tout protocole, tel que ESP, GRE et TCP.

• Type ICMP - Le protocole ICMP utilise des types uniques pour envoyer des messages de contrôle (RFC 792). Le groupe
d'objets de type ICMP peut regrouper les types nécessaires pour répondre aux besoins de sécurité d'une organisation,
par exemple pour créer un groupe d'objets appelé ECHO pour regrouper les échos et les réponses d'écho.

• Sécurité - Un groupe d'objets de groupe de sécurité peut être utilisé dans les fonctionnalités qui prennent en charge
Cisco TrustSec en incluant le groupe dans une ACL étendue, qui à son tour peut être utilisée dans une règle d'accès.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Groupes d'objets
Configurer les groupes d’objets communs
Pour configurer un groupe d'objets réseau, utilisez
le réseau de groupe d'objets Commande de
mode de configuration globale grp-name . Après
avoir entré la commande, ajoutez des objets
réseau au groupe réseau à l'aide des commandes
network-object et group-object .

Pour configurer un groupe d'objets ICMP, utilisez

le groupe d'objets icmp-type Commande du
mode de configuration globale grp-name . Après
avoir entré la commande, ajoutez des objets ICMP
au groupe d'objets ICMP à l'aide des commandes
icmp-object et group-object .

L'exemple affiche un exemple de configuration de

groupe d'objets réseau.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
21.4 ACL ASA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
ACL ASA
ACL ASA
Voici les similitudes entre les ACL ASA et les ACL IOS :
• Les ACL sont constituées d'une ou de plusieurs ACE. Les ACE sont appliquées à un protocole, à
une adresse IP source et de destination, à un réseau ou aux ports source et de destination.
• Les ACL sont traitées séquentiellement de haut en bas.
• Une correspondance de critères entraînera la sortie de l'ACL.
• Il y a un refus implicite en bas.
• Des remarques peuvent être ajoutées par ACE ou ACL.
• Une seule liste d'accès peut être appliquée par interface, par protocole, par direction.
• Les ACL peuvent être activées/désactivées en fonction de plages horaires.

Voici les différences entre les ACL ASA et les ACL IOS :
• L'ASA utilise un masque réseau (par exemple, 255.255.255.0) et non un masque générique (par
exemple, 0.0.0.255).
• Les ACL sont toujours nommées au lieu d’être numérotées.
• Par défaut, les niveaux de sécurité de l'interface appliquent le contrôle d'accès sans ACL
configurée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
ACL ASA
Types de filtrage ASA ACL

Les ACL sur un dispositif de sécurité peuvent être utilisées non seulement pour filtrer les
paquets qui transitent par le dispositif, mais également pour filtrer les paquets destinés au
dispositif.

• Filtrage du trafic de transit - Trafic passant par l'ASA d'une interface vers une autre
interface. La configuration s'effectue en deux étapes : configurer l'ACL, puis appliquer
l'ACL à une interface.

• Filtrage du trafic vers la boîte - règle d'accès de gestion qui s'applique au trafic qui se
termine à l'ASA.

Les périphériques ASA diffèrent de leurs homologues routeurs en raison des niveaux de
sécurité de l'interface. Par défaut, les niveaux de sécurité appliquent le contrôle d'accès sans
qu'une liste de contrôle d'accès ne soit configurée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
ACL ASA
Types de filtrage ASA ACL (suite)

Les périphériques ASA diffèrent de leurs homologues routeurs en raison des niveaux de
sécurité de l'interface. Par défaut, les niveaux de sécurité appliquent le contrôle d'accès sans
qu'une liste de contrôle d'accès ne soit configurée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
ACL ASA
Types de filtrage ASA ACL (suite)

Cependant, un hôte d'une interface externe avec un niveau de sécurité 0 ne peut pas
accéder à l'interface interne de niveau supérieur, comme indiqué ci-dessous.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
ACL ASA
Types de filtrage ASA ACL (suite)

Une interface externe avec un niveau de

sécurité 0 ne peut pas accéder à
l'interface interne de niveau supérieur,
comme illustré dans la figure.
Utilisez la commande inter-interface
same-security-traffic permit pour
autoriser le trafic entre les interfaces
ayant le même niveau de sécurité.
Utilisez la commande intra-interface
same-security-traffic permit pour
autoriser le trafic à entrer et à sortir de la
même interface

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
ACL ASA
Types de listes de contrôle d'accès ASA
L'ASA prend en charge cinq types de listes d'accès :
• Liste d'accès étendue - Le type d'ACL le plus courant.
• Liste d'accès standard - Contrairement à IOS où une liste de contrôle d'accès standard
identifie l'hôte/réseau source, les listes de contrôle d'accès standard ASA sont utilisées
pour identifier les adresses IP de destination. Les listes d'accès standard ne peuvent pas
être appliquées aux interfaces pour contrôler le trafic.
• Liste d'accès EtherType - Une ACL EtherType ne peut être configurée que si le dispositif
de sécurité fonctionne en mode transparent.
• Liste d'accès Webtype - Utilisée pour filtrer le trafic VPN SSL sans client. Ces listes de
contrôle d'accès peuvent refuser l'accès en fonction des URL ou des adresses de
destination.
• Liste d'accès IPv6 - Utilisée pour déterminer quel trafic IPv6 bloquer et quel trafic
transférer aux interfaces du routeur.

Utilisez la commande EXEC privilégiée help access-list pour afficher la syntaxe de toutes les ACL
prises en charge sur une plate-forme ASA.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
ACL ASA
Types d'ACL ASA (suite)
Le tableau fournit des exemples d’utilisation des ACL étendues.

Utilisation du LCA Description

Contrôler l'accès au réseau pour le trafic IP L'ASA n'autorise aucun trafic d'une interface de sécurité inférieure vers une interface de
sécurité supérieure, sauf si cela est explicitement autorisé par une liste d'accès étendue.
Identifier le trafic pour les règles AAA Les règles AAA utilisent des listes d'accès pour identifier le trafic.
Identifier les adresses pour NAT Policy NAT vous permet d'identifier le trafic local pour la traduction d'adresses en
spécifiant les adresses source et de destination dans une liste d'accès étendue.
Établir un accès VPN La liste d'accès étendue peut être utilisée dans les commandes VPN.
Identifier le trafic pour le cadre de politique • Les listes d'accès peuvent être utilisées pour identifier le trafic dans une carte de
modulaire (MPF) classe, qui est utilisée pour les fonctionnalités prenant en charge MPF.
• Les fonctionnalités prenant en charge MPF incluent TCP, les paramètres de connexion
généraux et l'inspection.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
ACL ASA
Types d'ACL ASA (suite)

Le tableau fournit des exemples d’utilisation des ACL standard.

Utilisation du LCA Description
Identifier le réseau de destination OSPF dans les cartes de routage Les listes d’accès standard incluent uniquement l’adresse de
destination.
Il peut être utilisé pour contrôler la redistribution des routes OSPF.

Filtres VPN Filtrez le trafic pour le trafic LAN-to-LAN (L2L), le client VPN Cisco et le
trafic client Cisco AnyConnect Secure Mobility.

Le tableau fournit des exemples d’utilisation des ACL IPv6 .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
ACL ASA
Syntaxe de configuration d'une ACL ASA

Les ACL IOS et ASA ont

des éléments similaires,
mais certaines options
varient selon l'ASA.

Il existe de nombreuses
options pouvant être
utilisées avec les ACL.
Cependant, pour la
plupart des besoins, une
version plus utile et
condensée de la syntaxe
est présentée dans la
figure.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
ACL ASA
Syntaxe de configuration d'une ACL ASA (suite)
Le tableau décrit les éléments d’une ACL ASA.
Element Description
ACL id The name of the ACL.
Action Can be permit or deny.
Protocol number - Source Can be IP for all traffic, or the name / IP protocol number (0-250) including icmp ( 1), tcp ( 6), udp ( 17), or a protocol
object-group.
Source • Identifies the source and can be any, a host, a network, or a network object group.
• For to-the-box-traffic filtering, the interface keyword is used to specify the source interface of the ASA.
Source port operator • (Optional) Operand is used in conjunction with the source port.
• Valid operands include lt (less than), gt (greater than), eq (equal), neq (not equal), and range for an inclusive range.
Source port (Optional) Can be the actual TCP or UDP port number, select port names, or service object group.
Destination • Identifies the destination and like the source, it can be any, a host, a network, or a network object group.
• For to-the-box-traffic filtering, the interface keyword is used to specify the destination interface of the ASA.
Destination port operator • (Optional) Operand is used in conjunction with the destination port.
• Valid operands are the same as the source port operands.
Destination port (Optional) Can be the actual TCP or UDP port number, select port names, or service object group.
Log Can set elements for syslog including severity level and log interval.
Time range (Optional) Specify a time range for the ACE.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
ACL ASA
Syntaxe pour l'application d'une ACL ASA
L'exemple affiche la syntaxe de commande et la description des paramètres pour l'application de l'ACL à une
interface à l'aide de la syntaxe de commande access-group . Pour vérifier les ACL, utilisez les commandes show
access-list et show running-config access-list . Pour effacer une ACL configurée, utilisez la commande clear
configure access-list commande id .

Syntax Description
access-group Keyword used to apply an ACL to an interface.
id The name of the actual ACL to be applied to an interface.
in The ACL will filter inbound packets.
out The ACL will filter outbound packets.
interface Keyword to specify the interface to which to apply the ACL.
if_name The name of the interface to which to apply an ACL.
per-user-override Option that allows downloadable ACLs to override the entries on the interface ACL.
control-plane Keyword to specify whether the applied ACL analyzes traffic destined to ASA for management purposes.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
ACL ASA
Exemples d'ACL ASA
Exemple 1
•L'ACL permet à tous les hôtes du réseau interne de passer par l'ASA.
•Par défaut, tout autre trafic est refusé, sauf autorisation explicite.

Exemple 2
•ACL empêche les hôtes sur 192.168.1.0/24 d'accéder au réseau 209.165.201.0/27.
•Les hôtes internes sont autorisés à accéder à toutes les autres adresses.
•Tout autre trafic est implicitement refusé.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
ACL ASA
ACL et groupes d'objets

Considérez l'exemple de topologie de la figure dans laquelle

l'accès à partir de deux hôtes distants approuvés, PC1 et
PC2, doit être autorisé aux deux serveurs internes pour le
Web et la messagerie. Tout autre trafic tentant de passer par
l'ASA doit être abandonné et enregistré.

L'ACL nécessiterait deux ACE pour chaque PC pour

accomplir la tâche. Le refus implicite supprime et enregistre
tous les paquets qui ne correspondent pas aux services de
messagerie ou Web. Comme le montre l'exemple, les ACL
doivent toujours être soigneusement documentées à l'aide
de la commande remark .

Pour vérifier la syntaxe ACL, utilisez les commandes show running-config access-list et show access-list ,
comme indiqué dans l'exemple.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
ACL ASA
Exemples d'utilisation de groupes d'objets ACL

Le regroupement d'objets est un moyen de regrouper des éléments similaires afin de réduire le
nombre d'ACE.

Le regroupement d'objets peut regrouper les objets réseau dans un groupe et les hôtes
externes dans un autre, comme illustré dans la syntaxe suivante. Le dispositif de sécurité peut
également combiner les deux services TCP dans un groupe d'objets de service.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
ACL ASA
Exemples d'utilisation de groupes d'objets ACL (suite)

Cet exemple montre comment

configurer les trois groupes
d’objets suivants :
• NET-HOSTS - Identifie deux
hôtes externes.
• SERVEURS - Identifie les
serveurs fournissant des
services de messagerie
électronique et Web.
• HTTP-SMTP - Identifie les
protocoles SMTP et HTTP.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
21.5 Services NAT sur un ASA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
Services NAT sur un ASA
Présentation de l'ASA NAT
NAT peut être déployé à l'aide de l'une des méthodes suivantes :
• À l'intérieur de NAT
• En dehors du NAT
• NAT bidirectionnel

Plus précisément, Cisco ASA prend en charge les types courants de NAT suivants :
• PAT dynamique : il s'agit d'une traduction plusieurs vers un. On l'appelle également NAT avec
surcharge. Il s'agit généralement d'un pool interne d'adresses privées qui surchargent une interface ou
une adresse externe.
• NAT statique : il s'agit d'une traduction un à un. Il s'agit généralement d'une adresse externe mappée
vers un serveur interne.
• NAT basé sur des politiques - Le NAT basé sur des politiques est basé sur un ensemble de règles.
• Identité NAT - Une adresse réelle est traduite statiquement vers elle-même, contournant
essentiellement NAT.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
Services NAT sur un ASA
Configurer le NAT dynamique
Pour configurer la NAT dynamique d'un objet réseau, deux objets réseau sont requis :
• Identifiez le pool d’adresses IP publiques avec les commandes d’objet réseau de
plage ou de sous-réseau .
• Identifiez les adresses internes à traduire avec les commandes d'objet réseau de
plage ou de sous-réseau .

Les deux objets réseau sont ensuite liés ensemble à l'aide de nat [( real_if_name ,
mapped_if_name )] dynamic Commande d'objet réseau mapped_obj [ interface [ ipv6 ]] [ dns
]. Le real_if_name est l'interface prénat. Le mapped_if_name est l'interface postnat. Notez qu'il
n'y a pas d'espace après la virgule dans la syntaxe de la commande.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
Services NAT sur un ASA
Configurer NAT dynamique (suite)
Dans cet exemple de NAT dynamique, les hôtes internes du réseau 192.168.1.0/27 se
verront attribuer dynamiquement une plage d'adresses IP publiques allant de
209.165.200.240 à 209.165.200.248 .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Services NAT sur un ASA
Configurer NAT dynamique (suite)
L'exemple présente un exemple de configuration NAT
dynamique pour accomplir cette tâche. L' objet réseau
PUBLIC identifie les adresses IP publiques à traduire
tandis que l' objet DYNAMIC-NAT identifie les
adresses internes à traduire et est lié à l' objet réseau
PUBLIC avec la commande nat .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
Services NAT sur un ASA
Configurer NAT dynamique (suite)
L'exemple suivant montre comment autoriser les hôtes internes à envoyer des pings
aux hôtes externes .

Pour vérifier la traduction de l'adresse réseau, utilisez les commandes show

xlate , show nat et show nat detail .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
Services NAT sur un ASA
Configurer le PAT dynamique
Pour permettre aux hôtes internes de surcharger l'adresse externe, utilisez la commande d'interface
dynamique nat [( real_if_name , mapped_if_name )] , comme indiqué dans l'exemple.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
Services NAT sur un ASA
Configurer NAT statique
La NAT statique est configurée lorsqu'une adresse interne est mappée vers une adresse
externe. Par exemple, la NAT statique peut être utilisée lorsqu'un serveur doit être accessible
depuis l'extérieur.

Pour configurer la NAT statique, utilisez la commande nat [( real_if_name ,

mapped_if_name )] static mapped -inline-host-ip network object. L'exemple de configuration
se trouve sur la diapositive suivante.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
Services NAT sur un ASA
Configurer NAT statique (suite)

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
21,6 AAA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
AAA
Avis AAA
L'authentification, l'autorisation et la comptabilité (AAA) offrent un niveau supplémentaire de
protection et de contrôle utilisateur. En utilisant AAA uniquement, les utilisateurs authentifiés et
autorisés peuvent être autorisés à se connecter via l'ASA.

L'autorisation contrôle l'accès, par utilisateur, une fois les utilisateurs authentifiés. L'autorisation
contrôle les services et les commandes disponibles pour chaque utilisateur authentifié.

La comptabilité suit le trafic qui passe par l'ASA, permettant aux administrateurs d'avoir un
enregistrement de l'activité des utilisateurs.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
AAA
Base de données et serveurs locaux
Utiliser le nom d'utilisateur nom mot de passe mot de passe [ privilège [priv-level ] pour créer des comptes d'utilisateurs locaux.
Pour effacer un utilisateur de la base de données locale, utilisez la commande clear config username [ name ]. Pour afficher tous
les comptes d'utilisateurs, utilisez la commande show running-config username .

Pour configurer un serveur TACACS+ ou RADIUS, utilisez les commandes répertoriées dans le tableau.
ASA Command Description
aaa-server server-tag protocol protocol Creates a TACACS+ or RADIUS AAA server group.
aaa-server server-tag [(-interface name )] Configures a AAA server as part of a AAA server group.
host {server-ip | name } [ key ] Also configures AAA server parameters that are host-specific.

L'exemple montre la configuration d'un serveur AAA TACACS+ sur un ASA 5506-X.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
AAA
Configuration AAA

Pour authentifier les utilisateurs qui accèdent à l'interface de ligne de commande ASA via
une connexion console ( série ), SSH, HTTPS (ASDM) ou Telnet, ou pour authentifier les
utilisateurs qui accèdent au mode EXEC privilégié à l'aide de la commande enable ,
utilisez la commande aaa authentication enable console en mode de configuration
globale.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
AAA
Configuration AAA (suite)
L'exemple fournit un exemple de configuration AAA qui est ensuite vérifié et testé.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
21.7 Politiques de service sur
un ASA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64
Politiques de service sur un ASA
Présentation du MPF
Une configuration MPF (Modular Policy Framework) définit un ensemble de règles pour l'application de
fonctionnalités de pare-feu, telles que l'inspection du trafic et la qualité de service, au trafic qui traverse l'ASA.
MPF permet une classification granulaire des flux de trafic, ce qui permet l'application de différentes politiques
avancées à différents flux.
Cisco MPF utilise trois objets de configuration pour définir des politiques modulaires, orientées objet et
hiérarchiques :
• Cartes de classe – Que recherchons-nous ?

• Cartes politiques – Que devons-nous en faire ?

• Politique de service – Où le faisons-nous?

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Politiques de service sur un ASA
Présentation du MPF (suite)
Il y a quatre étapes pour configurer MPF sur un ASA :

Étape 1. (Facultatif) Configurez les ACL étendues pour identifier le trafic granulaire qui peut être
spécifiquement référencé dans la carte de classes.

Étape 2. Configurez la carte de classe pour identifier le trafic.

Étape 3. Configurez une carte de stratégie pour appliquer des actions à ces cartes de classe.

Étape 4. Configurez une stratégie de service pour attacher la carte de stratégie à une interface.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66
Politiques de service sur un ASA
Configurer les cartes de classes

Pour créer une carte de classe et entrer

en mode de configuration de la carte de
classe, utilisez la commande class-
map commande de mode de
configuration globale class-map-name .

Ensuite, le trafic à faire correspondre

doit être identifié à l'aide de la fonction
« match any » (correspond à tout le
trafic) ou « match access-list »
commandes access-list-name pour faire
correspondre le trafic spécifié par une
liste d'accès étendue.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67
Politiques de service sur un ASA
Définir et activer une politique

Utiliser la carte des politiques commande de mode de configuration globale policy-map-name , pour appliquer des actions
au trafic de couche 3 et 4.

En mode de configuration de la carte de stratégie, config-pmap, utilisez les commandes suivantes :

• description - Ajouter un texte de description.
• classe class-map-name - Identifiez une carte de classe spécifique sur laquelle effectuer des actions.

Voici les trois commandes les plus courantes disponibles dans le mode de configuration de la carte de stratégie :
• définir la connexion - Définit les valeurs de connexion.
• inspect - Fournit des serveurs d'inspection de protocole.
• police - Définit les limites de débit pour le trafic dans cette classe.

Pour activer une carte de stratégie globalement sur toutes les interfaces ou sur une interface ciblée, utilisez la stratégie de
service policy -map-name [ global | interface [ intf ] commande de mode de configuration globale pour activer un ensemble
de politiques sur une interface.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68
Politiques de service sur un ASA
Définir et activer une politique (suite)

L'exemple configure la carte de stratégie. La stratégie de service associée est appliquée

globalement.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69
21.8 Résumé de la
configuration du pare-feu ASA

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
Résumé de la configuration du pare-feu ASA
Qu'ai-je appris dans ce module ?
• L'ASA CLI contient des invites de commande similaires à celles d'un routeur Cisco IOS.
• De nombreuses commandes sont similaires à celles des autres versions d'IOS, mais de nombreuses différences existent également.
• L'ASA 5506-X avec services FirePOWER est livré avec une configuration par défaut qui, dans la plupart des cas, est suffisante pour un
déploiement SOHO de base.
• L'ASA 5506-X dispose de huit interfaces Gigabit Ethernet qui peuvent être configurées pour transporter le trafic sur différents réseaux de
couche 3. L'interface G1/1 est fréquemment configurée comme interface externe au FAI.
• La configuration de base des interfaces comprend l'adressage IP, la dénomination et la définition du niveau de sécurité.
• Si l'interface est configurée avec DHCP, une route par défaut à partir d'un périphérique en amont peut être configurée automatiquement
sur l'ASA. Dans le cas contraire, une route par défaut doit être configurée manuellement.
• Les objets facilitent la maintenance des configurations car un objet peut être modifié à un endroit et la modification sera répercutée dans
tous les autres endroits qui y font référence.
• Les objets réseau peuvent inclure des adresses d’hôte, des sous-réseaux, des plages d’adresses et des noms de domaine complets.
• Les objets de service peuvent faire référence à différents services et protocoles réseau.
• Les groupes d’objets sont des collections d’objets liés.
• Les groupes d’objets réseau peuvent également être utilisés dans des configurations incluant des ACL et NAT.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
Résumé de la configuration du pare-feu ASA
Qu'ai-je appris dans ce module? (Suite)
• Les ACL ASA diffèrent des ACL IOS dans la mesure où elles utilisent un masque réseau (par exemple, 255.255.255.0) au lieu
d'un masque générique (par exemple, 0.0.0.255).
• Les ACL ASA doivent être regroupées avec une interface pour être prises en compte. Les groupes d'objets peuvent être
utilisés avec les ACL ASA pour limiter le nombre d'ACE requis dans une liste.
• Il existe trois méthodes de déploiement NAT pour l'ASA : NAT interne, NAT externe et NAT bidirectionnel.
• L'ASA prend en charge quatre types de NAT : NAT dynamique avec surcharge, NAT statique, NAT de stratégie et NAT
d'identité.
• Les ASA Cisco peuvent être configurés pour authentifier l'accès à l'aide d'une base de données utilisateur locale ou d'un
serveur externe pour l'authentification ou les deux.
• Une configuration de cadre de politique modulaire (MPF) définit un ensemble de règles pour l'application de fonctionnalités de
pare-feu, telles que l'inspection du trafic et la qualité de service, au trafic qui traverse l'ASA.
• Les cartes de classes sont utilisées pour identifier le trafic qui sera traité par MPF.
• Les cartes de politique définissent ce qui sera fait au trafic identifié.
• Les politiques de service identifient les interfaces auxquelles la carte des politiques doit être appliquée.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
Résumé de la configuration du pare-feu ASA
Nouveaux termes et commandes
• configurer les paramètres d'usine par défaut • telnet { masque d'adresse ipv4 | adresse ipv6 / préfixe }
• nom de domaine nom if_name
• clé de configuration-clé mot de passe-cryptage • minutes de délai d'expiration de Telnet
[ nouveau-passe [ ancien-passe ]] • authentification aaa console telnet LOCAL
• cryptage de mot de passe aes • effacer configurer telnet
• afficher le cryptage du mot de passe • ssh { adresse_ip masque | adresse_ipv6 / préfixe }
• adresse IP DHCP setroute if_name
• adresse IP pppoe • version ssh numéro_de_version
• adresse IP pppoe setroute • minutes de délai d'expiration ssh
• nomsi si_nom • effacer configurer ssh
• valeur du niveau de sécurité • Protocole de temps réseau (NTP)
• nom-interface- route 0.0.0.0 0.0.0.0 adresse-IP- • authentification ntp
du-saut-suivant • clé de confiance ntp key_id
• { passwd | mot de passe } mot de passe • clé d'authentification ntp key_id clé md5
• adresse IP du serveur NTP [ clé [ clé_id ]

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
Résumé de la configuration du pare-feu ASA
Nouveaux termes et commandes
• adresse dhcpd adresse_IP1 [ -adresse_IP2 ] • même-sécurité-trafic-permis-inter-interface
nom_if • même-autorisation-de-trafic-de-sécurité-intra-
• dhcpd dns dns1 [ dns2 ] interface
• bail dhcpd durée_du_bail • ID du groupe d'accès { in | out } interface if_name
• domaine dhcpd nom_de_domaine [ remplacement par utilisateur | plan de contrôle ]
• activer dhcpd si_nom • id de liste d'accès étendu { refuser | autoriser }
protocole groupe d'objets source_net-obj-grp_id groupe
• groupes d'objets d'objets dest_net-obj-grp_id groupe d'objets service-
• réseau d'objets nom-de-l'objet obj-grp_id
• service d'objet nom-objet • nat [( nom_si_réel , nom_si_mappé )] dynamique
• afficher le service d'objet d'exécution mapped_obj [ interface [ ipv6 ]] [ dns ]
• groupe d'objets réseau nom-grp • afficher xlate
• groupe d'objets type icmp nom-grp • montrer nat
• Filtrage du trafic de transit • afficher les détails de Nat
• Filtrage du trafic vers la boîte • nat [( real_if_name , mapped_if_name )] statique
mappé-en-ligne-hôte-ip
• aaa-server protocole de balise de serveur destiné

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
Résumé de la configuration du pare-feu ASA
Nouveaux termes et commandes
• aaa-server tag-serveur [ ( if_name ) ] hôte { IP-serveur | nom }
[ clé ]
• nom d'utilisateur nom mot de passe mot de passe [ privilège
[niveau privé ]
• effacer la configuration du nom d'utilisateur [ nom ]
• Cadre politique modulaire (MPF)
• carte-de-classe nom-de-classe
• carte-politique nom-politique
• politique de service nom du service [ global | interface si-nom ]

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75