تكوين إعدادات IPSec
إن أمان بروتوكول الإنترنت (IPSec أو IPsec) عبارة عن مجموعة بروتوكولات مخصصة لتشفير البيانات المنقولة عبر أية شبكة بما في ذلك شبكات الإنترنت. إذا كان بروتوكول TLS لا يقوم بتشفير سوى البيانات المستخدمة في تطبيق معين، مثل متصفح ويب أو تطبيق بريد إلكتروني، فإن اتصال IPSec يقوم بتشفير جميع (أو كل حمولات) حزم IP، مما يوفر نظام أمان أكثر تنوعًا في الاستخدامات. تعمل مجموعة IPSec للجهاز في وضع النقل، الذي يتم تشفير حمولة حزم IP به. وبفضل هذه الميزة، يمكن للجهاز الاتصال مباشرة بأي جهاز كمبيوتر متصل بنفس الشبكة الخاصة الظاهرية (VPN). تحقق من متطلبات النظام (وظائف الإدارة) واضبط التكوين الضروري على الكمبيوتر قبل تكوين الجهاز.
|
|
استخدام IPSec مع عامل تصفية عناوين IPيتم تطبيق إعدادات عامل تصفية عناوين IP قبل تطبيق سياسات IPSec. تحديد عناوين IP لإعدادات جدار الحماية
|
تكوين إعدادات IPSec
قبل استخدام IPSec في الاتصال المشفر، فإنه يتعين عليك تسجيل سياسات الأمان (SP). تتكون أي سياسة أمان من مجموعة من الإعدادات الموضحة أدناه. بعد تسجيل السياسات، حدد الترتيب الذي سيتم تطبيقها على أساسه.
المحدد
يعرّف المحدد شروط حزم IP لتطبيق اتصال IPSec. وتشمل الشروط القابلة للتحديد عناوين IP وأرقام المنافذ بالجهاز والأجهزة المراد الاتصال بها.
IKE
يقوم IKE بضبط IKEv1 المُستخدم لبروتوكول تبادل المفاتيح. لاحظ أن الإرشادات تختلف وفقًا لطريقة المصادقة المحددة.
[Pre-Shared Key Method]
تستخدم طريقة المصادقة هذه كلمة مفتاحية شائعة، تُسمى المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى. قم بتمكين TLS لـ Remote UI (واجهة المستخدم البعيدة) قبل تحديد طريقة المصادقة هذه (تكوين المفتاح والشهادة لبروتوكول TLS).
تستخدم طريقة المصادقة هذه كلمة مفتاحية شائعة، تُسمى المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى. قم بتمكين TLS لـ Remote UI (واجهة المستخدم البعيدة) قبل تحديد طريقة المصادقة هذه (تكوين المفتاح والشهادة لبروتوكول TLS).
[Digital Signature Method]
يقوم كل من الجهاز والأجهزة الأخرى بمصادقة بعضها البعض من خلال التحقق المتبادل من توقيعاتها الرقمية. قم بإنشاء أو تثبيت المفتاح والشهادة مسبقًا (تسجيل المفتاح والشهادة لاتصال الشبكة).
يقوم كل من الجهاز والأجهزة الأخرى بمصادقة بعضها البعض من خلال التحقق المتبادل من توقيعاتها الرقمية. قم بإنشاء أو تثبيت المفتاح والشهادة مسبقًا (تسجيل المفتاح والشهادة لاتصال الشبكة).
AH/ESP
حدد الإعدادات الخاصة ببروتوكول AH/ESP, الذي يُضاف إلى الحزم أثناء اتصال IPSec. ويمكن استخدام البروتوكول AH وESP في نفس الوقت. كما يمكنك أيضًا تحديد ما إذا كنت ستقوم بتمكين ميزة PFS لتحقيق أمان أكثر إحكامًا.
|
|
|
لمزيد من المعلومات حول العمليات الأساسية اللازم إجراؤها عند إعداد الجهاز باستخدام Remote UI (واجهة المستخدم البعيدة)، انظر تعيين خيارات القائمة من Remote UI (واجهة المستخدم البعيدة).
|
1
ابدأ Remote UI (واجهة المستخدم البعيدة) وقم بتسجيل الدخول في وضع مدير النظام. بدء تشغيل Remote UI (واجهة المستخدم البعيدة)
2
انقر فوق [Settings/Registration] في صفحة المدخل. شاشة Remote UI (واجهة المستخدم البعيدة)
3
حدد [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
انقر فوق [Edit].
5
حدد مربع الاختيار [Use IPSec] ثم انقر فوق [OK].
إذا كنت تريد ألا يستقبل الجهاز سوى الحزم التي تتطابق مع واحدة من سياسات الأمان التي قمت بتعريفها في الخطوات الموضحة أدناه، فقم بإلغاء تحديد خانة الاختيار [Receive Non-Policy Packets].
6
انقر فوق [Register New Policy].
7
حدد إعدادات السياسة.
|
1
|
في مربع النص [Policy Name]، أدخل حروفًا أبجدية ورقمية للاسم الذي تريد استخدامه لتعريف السياسة.
|
|
2
|
حدد مربع الاختيار [Enable Policy].
|
8
حدد إعدادات المحدد.
[Local Address]
انقر فوق زر الاختيار لنوع عنوان IP للجهاز لتطبيق السياسة.
انقر فوق زر الاختيار لنوع عنوان IP للجهاز لتطبيق السياسة.
|
[All IP Addresses]
|
حدد هذا الخيار لاستخدام IPSec لجميع الحزم.
|
|
[IPv4 Address]
|
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عنوان IPv4 الخاص بالجهاز.
|
|
[IPv6 Address]
|
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من أحد عناوين IPv6 الخاصة بالجهاز.
|
[Remote Address]
انقر فوق زر الاختيار لنوع عنوان IP للأجهزة الأخرى لتطبيق السياسة.
انقر فوق زر الاختيار لنوع عنوان IP للأجهزة الأخرى لتطبيق السياسة.
|
[All IP Addresses]
|
حدد هذا الخيار لاستخدام IPSec لجميع الحزم.
|
|
[All IPv4 Addresses]
|
قم باختياره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv4 الخاصة بالأجهزة الأخرى.
|
|
[All IPv6 Addresses]
|
حدد هذا الخيار لاستخدام IPSec لجميع حزم IP التي يتم إرسالها إلى عنوان IPv6 للأجهزة الأخرى أو منها.
|
|
[IPv4 Manual Settings]
|
حدد هذا الخيار لتحديد عنوان IPv4 واحد أو مجموعة من عناوين IPv4 لتطبيق IPSec. أدخل عنوان IPv4 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
حدد هذا الخيار لتحديد عنوان IPv6 واحد أو مجموعة من عناوين IPv6 لتطبيق IPSec. أدخل عنوان IPv6 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
|
[Addresses to Set Manually]
إذا تم تحديد [IPv4 Manual Settings] أو [IPv6 Manual Settings] من أجل [Remote Address], فأدخل عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إذا تم تحديد [IPv4 Manual Settings] أو [IPv6 Manual Settings] من أجل [Remote Address], فأدخل عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إدخال عناوين IP
|
الوصف
|
مثال
|
|
|
إدخال عنوان فردي
|
IPv4:
حدد الأرقام بنقاط توقف. |
192.168.0.10
|
|
IPv6:
تحديد حروف أبجدية أو رقمية بعلامة النقطتين. |
fe80::10
|
|
|
تحديد مجموعة من العناوين
|
أدرج واصلة بين العناوين.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
عند تحديد عنوان IPv4 يدويًا, يمكنك إظهار المجموعة باستخدام قناع الشبكة الفرعية. أدخل قناع الشبكة الفرعية باستخدام نقاط التوقف لتحديد الأرقام (مثال:"255.255.255.240").
عند تحديد عنوان IPv4 يدويًا, يمكنك إظهار المجموعة باستخدام قناع الشبكة الفرعية. أدخل قناع الشبكة الفرعية باستخدام نقاط التوقف لتحديد الأرقام (مثال:"255.255.255.240").
[Prefix Length]
يتيح لك تحديد مجموعة عناوين IPv6 يدويًا إمكانية تحديد المجموعة باستخدام البادئات. قم بإدخال مجموعة بين صفر و ١٢٨ كطول للبادئة.
يتيح لك تحديد مجموعة عناوين IPv6 يدويًا إمكانية تحديد المجموعة باستخدام البادئات. قم بإدخال مجموعة بين صفر و ١٢٨ كطول للبادئة.
[Local Port]/[Remote Port]
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو WSD، فأدخل رقم المنفذ المناسب للبروتوكول لتحديد ما إذا كنت ستستخدم IPSec أم لا.
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو WSD، فأدخل رقم المنفذ المناسب للبروتوكول لتحديد ما إذا كنت ستستخدم IPSec أم لا.
لا يتم تطبيق IPSec للحزم التالية
حزم الاسترجاع والبث المتعدد والإرسال
حزم IKE (استخدام بروتوكول UDP على المنفذ ٥٠٠)
حزم استمالة الجار وإعلان الجار ICMPv6
9
حدد إعدادات IKE.
[IKE Mode]
يتم عرض الوضع المستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المعاكس.
يتم عرض الوضع المستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المعاكس.
[Authentication Method]
حدد [Pre-Shared Key Method] أو [Digital Signature Method] للطريقة المستخدَمة عند مصادقة الجهاز. يتعين عليك تمكين TLS لـ Remote UI (واجهة المستخدم البعيدة) قبل تحديد [Pre-Shared Key Method]. ويتعين عليك إنشاء مفتاح وشهادة أو تثبيتهما قبل تحديد [Digital Signature Method]. تكوين المفتاح والشهادة لبروتوكول TLS
حدد [Pre-Shared Key Method] أو [Digital Signature Method] للطريقة المستخدَمة عند مصادقة الجهاز. يتعين عليك تمكين TLS لـ Remote UI (واجهة المستخدم البعيدة) قبل تحديد [Pre-Shared Key Method]. ويتعين عليك إنشاء مفتاح وشهادة أو تثبيتهما قبل تحديد [Digital Signature Method]. تكوين المفتاح والشهادة لبروتوكول TLS
[Valid for]
حدد مدة استمرار الجلسة الخاصة بـ IKE SA (ISAKMP SA). أدخل الوقت بالدقائق.
حدد مدة استمرار الجلسة الخاصة بـ IKE SA (ISAKMP SA). أدخل الوقت بالدقائق.
[Authentication]/[Encryption]/[DH Group]
حدد خوارزمية من القائمة المنسدلة. تُستخدم كل خوارزمية في تبادل المفاتيح.
حدد خوارزمية من القائمة المنسدلة. تُستخدم كل خوارزمية في تبادل المفاتيح.
|
[Authentication]
|
حدد خوارزمية التجزئة.
|
|
[Encryption]
|
حدد خوارزمية التشفير.
|
|
[DH Group]
|
حدد مجموعة Diffie-Hellman, التي تحدد طول المفتاح.
|
مصادقة جهاز باستخدام مفتاح مشترك مسبقًا
|
1
|
انقر فوق زر الاختيار [Pre-Shared Key Method] من أجل [Authentication Method] ثم انقر فوق [Shared Key Settings].
|
|
2
|
أدخل حروفًا أبجدية ورقمية للمفتاح المشترك مسبقًا وانقر فوق [OK].
|
|
3
|
حدد إعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
|
مصادقة جهاز باستخدام طريقة التوقيع الرقمي
|
1
|
انقر فوق زر الاختيار [Digital Signature Method] من أجل [Authentication Method] ثم انقر فوق [Key and Certificate].
|
|
2
|
انقر فوق [Register Default Key] على الجانب الأيمن من المفتاح والشهادة اللذين تريد استخدامهما.
عرض تفاصيل الشهادة
يمكنك التحقق من تفاصيل الشهادة أو التحقق من الشهادة بالنقر فوق رابط النص المطابق الموجود أسفل، أو رمز الشهادة. [Key Name].
|
|
3
|
حدد إعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
|
10
حدد إعدادات شبكة IPSec.
[Use PFS]
حدد خانة الاختيار هذه لتمكين السرية التامة لإعادة التوجيه (PFS) بالنسبة لمفاتيح جلسة IPSec. ويؤدي تمكين PFS إلى تحسين الأمان بينما يزيد الحمل على الاتصال. تأكد من تمكين PFS أيضًا بالنسبة للأجهزة الأخرى.
حدد خانة الاختيار هذه لتمكين السرية التامة لإعادة التوجيه (PFS) بالنسبة لمفاتيح جلسة IPSec. ويؤدي تمكين PFS إلى تحسين الأمان بينما يزيد الحمل على الاتصال. تأكد من تمكين PFS أيضًا بالنسبة للأجهزة الأخرى.
[Specify by Time]/[Specify by Size]
قم بتعيين شروط إنهاء أي جلسة خاصة بـIPSec SA. تُستخدم IPSec SA كنفق اتصال. حدد أي من خانتي الاختيار أو كلتيهما حسب الضرورة. إذا تم تحديد كلتا خانتي الاختيار، فسيتم إنهاء جلسة IPSec SA بعد تلبية أي الشروط.
قم بتعيين شروط إنهاء أي جلسة خاصة بـIPSec SA. تُستخدم IPSec SA كنفق اتصال. حدد أي من خانتي الاختيار أو كلتيهما حسب الضرورة. إذا تم تحديد كلتا خانتي الاختيار، فسيتم إنهاء جلسة IPSec SA بعد تلبية أي الشروط.
|
[Specify by Time]
|
أدخل وقتًا بالدقائق لتحديد طول الجلسة.
|
|
[Specify by Size]
|
أدخل حجمًا بوحدة قياس الميجابايت لتحديد كمية البيانات التي يمكن نقلها في الجلسة.
|
[Select Algorithm]
حدد مربعات الاختيار [ESP], [ESP (AES-GCM)], أو [AH (SHA1)] وفقًا لرأس IPSec والخوارزمية المستخدمة. ويُعد AES-GCM خوارزمية تُستخدم للمصادقة والتشفير على حد سواء. إذا تم تحديد [ESP] فحدد أيضًا الخوارزميات المستخدمة للمصادقة والتشفير من [ESP Authentication] و القوائم المنسدلة [ESP Encryption].
حدد مربعات الاختيار [ESP], [ESP (AES-GCM)], أو [AH (SHA1)] وفقًا لرأس IPSec والخوارزمية المستخدمة. ويُعد AES-GCM خوارزمية تُستخدم للمصادقة والتشفير على حد سواء. إذا تم تحديد [ESP] فحدد أيضًا الخوارزميات المستخدمة للمصادقة والتشفير من [ESP Authentication] و القوائم المنسدلة [ESP Encryption].
|
[ESP Authentication]
|
لتمكين مصادقة ESP، حدد [SHA1] لخوارزمية التجزئة. حدد [Do Not Use] إذا كنت ترغب في تعطيل مصادقة ESP.
|
|
[ESP Encryption]
|
حدد خوارزمية التشفير الخاصة بـ ESP. يمكنك تحديد [NULL] إذا كنت ترغب في تحديد الخوارزمية أو حدد [Do Not Use] إذا كنت ترغب في تعطيل تشفير.ESP.
|
[Connection Mode]
يتم عرض وضع توصيل IPSec. يدعم الجهاز وضع النقل، الذي يتم فيه تشفير حمولات حزم IP. ويكون وضع النفق, الذي يتم فيه تغليف جميع حزم IP (الرؤوس والحمولات)، غير متوفر.
يتم عرض وضع توصيل IPSec. يدعم الجهاز وضع النقل، الذي يتم فيه تشفير حمولات حزم IP. ويكون وضع النفق, الذي يتم فيه تغليف جميع حزم IP (الرؤوس والحمولات)، غير متوفر.
11
انقر فوق [OK].
إذا كنت بحاجة إلى تسجيل سياسة أمان إضافية، فارجع إلى الخطوة رقم 6.
12
قم بتنظيم ترتيب السياسات المدرجة ضمن [Registered IPSec Policies].
يتم تطبيق السياسات بدءًا من السياسة التي تحتل أعلى موضع إلى السياسة التي تحتل أدنى موضع. انقر فوق [Up] أو [Down] لنقل سياسة لأعلى أو لأسفل الترتيب.
تحرير سياسة
انقر رابط النص المطابق أسفل [Policy Name] لشاشة التحرير.
حذف سياسة
انقر فوق [Delete] يمين اسم السياسة التي ترغب في حذفها انقر فوق [OK].
انقر فوق [OK].13
قم بإعادة تشغيل الجهاز.
قم بإيقاف تشغيل الجهاز، وانتظر لمدة ١٠ ثوانٍ على الأقل، ثم قم بتشغيل الجهاز مرة أخرى.
|
|
استخدام لوحة التشغيليمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <القائمة> في الشاشةالرئيسية. <استخدام IPSec>
|