Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Configurez un serveur public avec Cisco ASDM

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document montre comment configurer un serveur public au moyen de Cisco Adaptive Security Device Manager (ASDM). Les serveurs publics sont des serveurs d'applications utilisés pour les ressources d'utilisateurs externes. Une nouvelle fonctionnalité appelée Serveur public a été introduite dans la version 6.2 de Cisco ASDM.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 exécutant la version de logiciel 8.2 et plus tard

  • Version de logiciel 6.2 de Cisco Adaptive Security Device Manager et plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Un web server avec l'adresse IP interne, 172.16.10.10 est dans le réseau DMZ et devrait être accédé à du monde extérieur. Vous avez besoin de ces éléments afin d'accomplir ceci :.

  • Créez une particularité d'entrée de traduction à ce web server.

  • Créez un rubrique de liste ACL pour permettre cette connexion.

Mais, de la version de logiciel de Cisco ASDM 6.2 et plus tard, un nouveau magicien pour le serveur public est présenté. Dès maintenant, vous n'avez pas besoin de configurer séparément les traductions NAT et les autorisations d'ACL. Au lieu de cela, vous devez spécifier les détails simples tels que l'interface publique, l'interface privée, l'adresse IP publique, l'adresse privée et le service.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-01.gif

Configuration ASDM

Terminez-vous ces étapes afin de configurer un serveur public avec l'assistant.

  1. Choisissez la configuration > le Pare-feu > les serveurs publics.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-02.gif

  2. Cliquez sur Add. Alors la fenêtre publique de serveur d'ajouter apparaît.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-03.gif

  3. Spécifiez maintenant ces paramètres :

    • Interface privée — L'interface à laquelle le vrai serveur est connecté.

    • Adresse IP privée — La vraie adresse IP du serveur.

    • Service privé — Le service réel qui s'exécute sur le vrai serveur.

    • Interface publique — L'interface par laquelle les utilisateurs externes peuvent accéder au vrai serveur.

    • Annonce publique — L'adresse IP qui est vue par des utilisateurs externes.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-04.gif

  4. Cliquez sur OK.

  5. Vous pouvez visualiser l'entrée relative de configuration dans le volet public de serveurs.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-05.gif

  6. La configuration équivalente CLI est affichée ici pour votre référence :

    Cisco ASA
    access-list inside_access_in extended permit tcp any host 209.165.201.10 eq www 
    access-group inside_access_in in interface outside
    static (dmz,outside) 209.165.201.10 172.16.10.10 netmask 255.255.255.255 

Soutien de PAT statique

Quand vous utilisez la version 6.2 de Cisco ASDM, vous pouvez configurer le serveur public pour un NAT statique seulement, mais pas avec un PAT statique. Il signifie que le serveur public est accessible au même service qu'il est exposé réellement au monde extérieur. De la version de logiciel 6.3 et ultérieures de Cisco ASDM, le soutien de NAT statique avec la traduction d'adresses de port est disponible, ainsi il signifie que vous pouvez accéder au serveur public à un service différent à ce qu'il est exposé réellement.

C'est un tir d'écran témoin ASDM de la fenêtre publique de serveur d'ajouter pour la version de logiciel 6.3 ASDM.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-06.gif

Dans ce cas, le service public peut être différent du service privé. Référez-vous à NAT statique avec le pour en savoir plus de translation d'adresses d'adresse du port.

De plus amples explications au sujet de CLI

Cette caractéristique est exclusivement introduite du point de vue ASDM de la facilité de l'administrateur pour configurer les serveurs publics. De nouvelles commandes pas équivalentes CLI sont introduites. Quand vous configurez un serveur public utilisant l'ASDM, l'ensemble équivalent de commandes pour la charge statique et la liste d'accès sont créés automatiquement et peuvent être visualisés dans les volets correspondants ASDM. Une modification à ces entrées ont également comme conséquence la modification dans l'entrée publique de serveur.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113425