ضبط إعدادات IPSec

بروتوكول أمان الإنترنت (IPSec أو IPsec) هو عبارة عن مجموعة بروتوكولات لتشفير البيانات المنقولة عبر الشبكة، بما في ذلك شبكات الإنترنت. بينما تقتصر الوظيفة SSL على تشفير البيانات المستخدمة على تطبيق معين، مثل متصفح الإنترنت أو تطبيق رسائل الإيميل، يقوم IPSec بتشفير جميع حزم IP أو حمولات حزم IP، مما يوفر نظام أمان أكثر تنوعًا. يعمل البروتوكول IPSec للجهاز في وضع النقل، الذي يتم فيه تشفير حزم IP. بهذه الخاصية، يمكن للجهاز التوصيل مباشرة بالكمبيوتر بنفس طريقة الشبكة الخاصة الافتراضية (VPN). تحقق من متطلبات النظام واضبط الإعدادات الضرورية على الكمبيوتر قبل ضبط الجهاز.
متطلبات النظام
القيود الوظيفية لبروتوكول IPSec
يدعم IPSec اتصال عنوان البث المنفرد (أو جهاز منفرد).
لا يمكن توصيل الجهاز بكل من IPSec و DHCPv6 في الوقت نفسه.
لا يكون IPSec متوفرًا في الشبكات التي تكون فيها NAT أو IP متخفية أو مطبقة.
استعمال IPSec مع مرشّح (فلتر) عنوان IP
يتم تطبيق إعدادات مرشّح (فلتر) عنوان IP قبل سياسات IPSec.تحديد عناوين IP لقواعد جدار الحماية

ضبط إعدادات IPSec

قبل استعمال IPSec للاتصال المشفّر، يجب عليك تسجيل السياسات الأمنية (SP). تتكون سياسة أمنية من مجموعة الإعدادات الموصوفة أدناه. يمكن تسجيل ما يصل إلى ١٠ سياسات. بعد تسجيل السياسات، حدد الأمر الذي ينطبق عليها.
مفتاح الاختيار
يقوم مفتاح الاختيار بتحديد الظروف الخاصة بحزم IP لاستخدام اتصال IPSec. تتضمن الظروف القابلة للاختيار عناوين IP وأرقام منافذ الجهاز والأجهزة التي سيتم الاتصال معها.
IKE
يقوم IKE بضبط IKEv1 المُستخدم لبروتوكول تبادل المفاتيح. لاحظ أن التعليمات تختلف تبعًا لطريقة المصادقة المختارة.
[Pre-Shared Key Method]
يمكن تقاسم مفتاح يتكون من ٢٤ حرفًا أبجديًا أو رقميًا مع الأجهزة الأخرى. قم بتمكين SSL لواجهة المستخدم عن بعد Remote UI قبل تحديد طريقة المصادقة (تمكين اتصال SSL المشفّر لواجهة المستخدم عن بعد Remote UI).
[Digital Signature Method]
يقوم الجهاز والأجهزة الأخرى بمصادقة بعضها البعض عن طريق التحقق المتبادل لتوقيعاتها الرقمية. قم بتوليد أو تركيب زوج المفاتيح مسبقًا (إعدادات تكوين أزواج المفاتيح والشهادات الرقمية).
AH/ESP
قم بتحديد الإعدادات AH/ESP، والتي تتم إضافتها للحزم أثناء اتصال IPSec. يمكن استخدام AH و ESP في نفس الوقت. يمكنك أيضًا اختيار ما إذا كنت تريد تفعيل PFS لتشديد الأمان.
1
ابدأ واجهة المستخدم عن بعد Remote UI وقم بتسجيل الدخول في وضع مدير النظام System Manager Mode. بدء تشغيل واجهة المستخدم عن بعد Remote UI
2
انقر فوق [Settings/Registration].
3
انقر فوق [Security Settings]  [IPSec Settings].
4
انقر فوق [Edit].
5
حدد مربع الاختيار [Use IPSec] وانقر على [OK].
إذا كنت تريد أن يقوم الجهاز فقط باستقبال الحزم التي تنطبق على أحد السياسات الأمنية التي قمت بتحديدها في الخطوة أدناه، قم بإلغاء تحديد مربع الاختيار [Receive Non-Policy Packets].
6
انقر فوق [Register New Policy].
7
قم بتحديد إعدادات السياسة.
1
في مربع النص [Policy Name]، قم بإدخال ما يصل إلى ٢٤ حرفًا أبجديًا ورقميًا للاسم الذي تريد استخدامه لتعريف السياسة.
2
حدد مربع الاختيار [Enable Policy].
8
قم بتحديد إعدادات مفتاح الاختيار.
[Local Address]
انقر على زر الراديو لنوع عنوان IP الخاص بالجهاز لتطبيقه على السياسة.
[All IP Addresses]
قم باختياره لاستعمال IPSec لجميع حزم IP.
[IPv4 Address]
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عنوان IPv4 الخاص بالجهاز.
[IPv6 Address]
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من أحد عناوين IPv6 الخاصة بالجهاز.
[Remote Address]
انقر على زر الراديو لنوع عنوان IP الخاص بالأجهزة الأخرى لتطبيقه على السياسة.
[All IP Addresses]
قم باختياره لاستعمال IPSec لجميع حزم IP.
[All IPv4 Addresses]
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv4 الخاصة بالأجهزة الأخرى.
[All IPv6 Addresses]
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv6 الخاصة بالأجهزة الأخرى.
[IPv4 Manual Settings]
قم باختياره لتحديد عنوان IPv4 مفرد أو مجموعة عناوين IPv4 لتطبيق IPSec. قم بإدخال العنوان IPv4 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
[IPv6 Manual Settings]
قم باختياره لتحديد عنوان IPv6 مفرد أو مجموعة عناوين IPv6 لتطبيق IPSec. قم بإدخال العنوان IPv6 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
[Addresses to Set Manually]
إذا تم اختيار [IPv4 Manual Settings] أو [IPv6 Manual Settings] للإعداد [Remote Address]، قم بإدخال عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إدخال عناوين IP
الوصف
مثال
إدخال عنوان فردي
IPv4:
تحديد الأرقام بفترات.
192.168.0.10
IPv6:
تحديد حروف أبجدية أو رقمية بعلامة النقطتين.
fe80::10
تحديد مجموعة من العناوين
أدرج واصلة بين العناوين.
192.168.0.10-192.168.0.20
[Subnet Settings]
عند تحديد عنوان IPv4 يدويًا، يمكنك التعبير عن المدى باستخدام قناع الشبكة الفرعية. قم بإدخال قناع الشبكة الفرعية باستخدام الفترات الفاصلة بين الأرقام (مثال: "255.255.255.240").
[Prefix Length]
تحديد مجموعة عناوين IPv6 يدويًا يمكنك أيضًا من تحديد المجموعة باستخدام البادئة. قم بإدخال مجموعة بين صفر و ١٢٨ كطول للبادئة.
[Local Port]/[Remote Port]
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو SMTP، قم بإدخال رقم المنفذ الملائم للبروتوكول لتحديد ما إذا كنت تريد استخدام IPSec.
لا يتم تطبيق IPSec للحزم التالية
الاسترجاع والبث المتعدد وحزم البث
حزم IKE (استخدام UDP على المنفذ ٥٠٠)
حزم استمالة الجار وإعلان الجار ICMPv6
9
قم بتحديد إعدادات IKE.
[IKE Mode]
يتم عرض الوضع المُستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المتطاول.
[Authentication Method]
يقوم باختيار [Pre-Shared Key Method] أو [Digital Signature Method] للطريقة المستخدم عند مصادقة (اعتماد) الجهاز. يجب عليك تمكين SSL لواجهة المستخدم عن بعد Remote UI قبل اختيار [Pre-Shared Key Method] (تمكين اتصال SSL المشفّر لواجهة المستخدم عن بعد Remote UI). يجب عليك توليد أو تركيب زوج مفاتيح قبل اختيار [Digital Signature Method] (إعدادات تكوين أزواج المفاتيح والشهادات الرقمية).
[Valid for]
حدد مدى طول الدورة لـ IKE SA (ISAKMP SA). قم بإدخال الزمن بالدقائق.
[Authentication]/[Encryption]/[DH Group]
قم باختيار لوغاريتم من القائمة المنسدلة. يتم استخدام كل لوغاريتم في تبادل المفاتيح.
[Authentication]
يختار دالة اللوغاريتم.
[Encryption]
يختار لوغاريتم التشفير.
[DH Group]
يختار المجموعة Diffie-Hellman، التي تقوم بتحديد طول المفتاح.
 استخدام مفتاح مشترك مسبق للمصادقة
1
انقر على زر الراديو [Pre-Shared Key Method] الخاص بـ [Authentication Method] ثم انقر على [Shared Key Settings].
2
قم بإدخال ما يصل إلى ٢٤ حرفًا أبجديًا ورقميًا للمفتاح المشترك المسبق وانقر على [OK].
3
قم بتحديد الإعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
 استعمال زوج مفاتيح وشهادات CA مسبقة التركيب للمصادقة
1
انقر على زر الراديو [Digital Signature Method] الخاص بـ [Authentication Method] ثم انقر على [Key and Certificate].
2
انقر على [Register Default Key] على الجانب الأيمن من زوج المفاتيح الذي تريد استخدامه.
عرض تفاصيل زوج مفاتيح أو شهادة
يمكنك التحقق من تفاصيل الشهادة أو التحقق من الشهادة بالنقر فوق رابط النص المطابق الموجود ضمن [Key Name]، أو رمز الشهادة. التحقق من أزواج المفاتيح والشهادات الرقمية
3
قم بتحديد الإعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
10
قم بتحديد الإعدادات IPSec Network.
[Use PFS]
قم بتحديد مربع الاختيار لتمكين Perfect Forward Secrecy (PFS) لمفاتيح دورة IPSec. تمكين PFS يحسّن المستوى الأمني أثناء زيادة الحمولة على الاتصال. تأكد من تمكين PFS أيضًا للأجهزة الأخرى.
[Specify by Time]/[Specify by Size]
اضبط الظروف الخاصة بإنهاء الدورة لـ IPSec SA. يتم استخدام IPSec SA كنفق اتصال. قم باختيار أحد أو كلا مربعي الاختيار حسب الضرورة. إذا تم تحديد كلا مربعي الاختيار، يتم إنهاء دورة IPSec SA عند استيفاء أحد الشروط.
[Specify by Time]
أدخل زمنًا بالدقائق لتحديد مدى طول دورة.
[Specify by Size]
أدخل حجمًا بوحدة الميغابايت لتحديد حجم البيانات التي تريد نقلها في دورة واحدة.
[Select Algorithm]
قم بتحديد مربع (مربعات) الاختيار [ESP] أو [ESP (AES-GCM)] أو [AH (SHA1)] اعتمادًا على ترويسة IPSec واللوغاريتم المُستخدم. AES-GCM هو لوغاريتم يُستخدم لكل من المصادقة والتشفير. إذا تم اختيار [ESP]، قم أيضًا باختيار لوغاريتمات للمصادقة والتشفير من القائمتين المنبثقتين للأسفل [ESP Authentication] و [ESP Encryption].
[ESP Authentication]
لتمكين مصادقة ESP، قم بتحديد [SHA1] لدالة اللوغاريتم. قم بتحديد [Do Not Use] إذا كنت تريد إبطال مصادقة ESP.
[ESP Encryption]
قم بتحديد اللوغاريتم المشفّر الخاص بـ ESP. يمكنك تحديد [NULL] إذا كنت لا تريد تحديد اللوغاريتم، أو تحديد [Do Not Use] إذا كنت تريد إبطال تشفير ESP.
[Connection Mode]
يتم عرض وضع التوصيل الخاص بـ IPSec. يدعم الجهاز وضع النقل، والذي يتم فيه تشفير حمولات حزم IP. وضع النفق، الذي يتم فيه تغليف حزم IP (الترويسات والحمولات) بأكملها، غير متوفر.
11
انقر فوق [OK].
إذا كنت تريد تسجيل سياسة أمنية إضافية، قم بالرجوع إلى الخطوة ٦.
12
قم بترتيب ترتيب السياسات المدرجة أسفل [Registered IPSec Policies].
يتم تطبيق السياسات من السياسة الموجودة في أعلى موضع إلى السياسة الأدنى. انقر على [Up] أو [Down] لتحرير سياسة لأعلى أو أسفل الترتيب.
تحرير (تعديل) سياسة
انقر رابط النص المطابق أسفل [Policy Name] لشاشة التعديل.
حذف سياسة
انقر على [Delete] على الجانب الأيمن من اسم السياسة الذي تريد حذفه  انقر على [OK].
 
13
قم بإعادة تشغيل الجهاز.
قم بإيقاف تشغيل الجهاز، وانتظر لمدة ١٠ ثوانٍ على الأقل، ثم قم بتشغيل الجهاز مرة أخرى.
استخدام لوحة التشغيل
يمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <قائمة> في الشاشة <الرئيسية>. استخدام IPSec
0W15-09S