bonjour à vous . j'ai un routeur cisco 881 (situé à la direction générale) sur lequel j'ai déployé un VPN pour qu'il communique avec les routeurs des différentes agences de manière sécurisée. ce qui se fait sans problème. maintenant j'aimerai que seules les adresses publiques de mes différentes agences puissent communiquer avec le routeur cisco. je n'aimerai meme pas qu'une adresse publique étrangère puisse faire un ping à l'adresse publique de mon routeur cisco. comment puis-je procéder pour réaliser cette stratégie de sécurité

Bah access-list qui empêche le ping des adresses autres que celle de ton siège

Tu vas devoir créer des règles sur les pare-feux.

pas seulement les ping mais tout accès
 
j'ai créé une acl étendue dont la syntaxe générale est la suivante:
 
IP ACCESS-LIST EXTENDED SECURITY
    PERMIT IP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco
    PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO
    PERMIT ICMP HOST @publik_routeur_agence_distante HOST @publik_routeur_cisco ECHO-REPLY
    DENY IP ANY ANY
EXIT
 
INTERFACE F4
   IP ADDRESS @IP_PUBLIK SUBNET_MASK
   IP NAT OUTSIDE
  IP VIRTUAL-REASSEMBLY
  IP-ACCESS GROUP SECURITY IN  
 
  le problème est que lorsque je l'applique comme présenté ci-haut ça stoppe carrément la connexion internet. je ne sais pas où j'ai commis une erreur,éclairez moi s'il vous?
 
   
   

Début de réponse surement : http://www.cisco.com/en/US/docs/io [...] eflex.html
 
Sinon corrigez-moi si je me trompe, mais tes 2 permit ICMP ne servent à rien si tu as un permit IP au-dessus.

je suis d'accord avec toi !! ce que je ne comprend pas c'est pourquoi est-ce que la connexion à internet est stoppée immédiatement.  

Bah simple, tout ce qui ne vient pas de ton adresse publique distante est droppé, y compris donc les connexions "internet" vers ton LAN.

si j'autorise les connexions internet, ça ne remplirai pas ma stratégie de sécurité( autrui pourrait accéder,  meme en faisant un simple ping à mon adresse ce que je ne veux pas).  seules mes @ ip distantes et les sessions établies depuis mon LAN peuvent accéder au routeur. comment faire?

Reflexive access lists allow IP packets to be filtered based on upper-layer session information. You can use reflexive access lists to permit IP traffic for sessions originating from within your network but to deny IP traffic for sessions originating from outside your network. This is accomplished by reflexive filtering, a kind of session filtering.  
 
Mais :
Reflexive access lists do not work with some applications that use port numbers that change during a session. For example, if the port numbers for a return packet are different from the originating packet, the return packet will be denied, even if the packet is actually part of the same session.
 
The TCP application of FTP is an example of an application with changing port numbers. With reflexive access lists, if you start an FTP request from within your network, the request will not complete. Instead, you must use Passive FTP when originating requests from within your network.

j'ai pensé à utiliser le parefeu intégré de CISCO ( le CBAC par exemple). j'aimerai savoir si c'est une solution pour résoudre mon problème? s'il y'en a d'autres proposez les moi

Oui aussi, c'est plus évolué que les reflexive access list et ça inspecte de manière plus évoluée les paquets.