На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
На интерфейсах задать security-level:
!
interface gig0/0
description --to_ISP--
security-level 0
nameif untrust
!
int gig0/1
des --to_server--
security-level 100
nameif trust
!
конфиг NAT:
object network server_local
host 192.168.1.2
object network ISP_peering
host 111.111.111.111
!
object network out_nat
nat (trust,untrust) dynamic ISP_peering #либо через static режим
!
Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
access-list outside_access extended permit tcp any object server_local eq www
access-group outside_access in interface untrust
Естественно, это минимальный конфиг и для полного счастья его не хватит