ضبط إعدادات IPSec

أمان بروتوكول الإنترنت (IPSec أو IPsec) هو عبارة عن مجموعة بروتوكولات لتشفير البيانات المنقولة عبر الشبكة، بما في ذلك شبكات الإنترنت. بينما تقتصر الوظيفة TLS على تشفير البيانات المستخدمة على تطبيق معين، مثل متصفح الإنترنت أو تطبيق البريد الإلكتروني، يقوم IPSec بتشفير جميع حزم IP أو حمولات حزم IP، مما يوفر نظام أمان أكثر تنوعًا. يعمل البروتوكول IPSec للجهاز في وضع النقل، الذي يتم فيه تشفير حمولات حزم IP. بهذه الخاصية، يمكن للجهاز التوصيل مباشرة بالكمبيوتر الموجود بنفس الشبكة الخاصة الافتراضية (VPN). تحقق من متطلبات النظام (وظائف الإدارة) واضبط الإعدادات الضرورية على الكمبيوتر قبل ضبط الجهاز.
استعمال IPSec مع مرشّح (فلتر) عنوان IP
يتم تطبيق إعدادات عامل تصفية عنوان IP قبل سياسات IPSec. تحديد عناوين IP لإعدادات جدار الحماية

ضبط إعدادات IPSec

قبل استعمال IPSec للاتصال المشفّر، يجب عليك تسجيل السياسات الأمنية (SP). تتكون سياسة أمنية من مجموعة الإعدادات الموصوفة أدناه. بعد تسجيل السياسات، حدد الأمر الذي ينطبق عليها.
مفتاح الاختيار
يقوم مفتاح الاختيار بتحديد الظروف الخاصة بحزم IP لاستخدام اتصال IPSec. تتضمن الظروف القابلة للاختيار عناوين IP وأرقام منافذ الجهاز والأجهزة التي سيتم الاتصال بها.
IKE
يقوم IKE بضبط IKEv1 المُستخدم لبروتوكول تبادل المفاتيح. لاحظ أن التعليمات تختلف تبعًا لطريقة المصادقة المختارة.
[Pre-Shared Key Method] (طريقة المفتاح المشترك مسبقاً)
تستخدم طريقة المصادقة هذه كلمة مفتاحية شائعة، تُسمى المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى. قم بتمكين TLS لواجهة المستخدم عن بُعد قبل تحديد طريقة المصادقة هذه (تكوين المفتاح والشهادة لبروتوكول TLS).
[Digital Signature Method] (طريقة التوقيع الرقمي)
يقوم الجهاز والأجهزة الأخرى بمصادقة بعضها عن طريق التحقق المتبادل لتوقيعاتها الرقمية. قم بإنشاء أو تثبيت المفتاح والشهادة مسبقًا (تسجيل المفتاح والشهادة لاتصال الشبكة).
AH/ESP
حدِّد الإعدادات AH/ESP، والتي تتم إضافتها إلى الحزم أثناء اتصال IPSec. يمكن استخدام AH و ESP في نفس الوقت. يمكنك أيضًا اختيار ما إذا كنت تريد تفعيل PFS لتشديد الأمان.
لمزيد من المعلومات حول العمليات الأساسية اللازم إجراؤها عند إعداد الجهاز باستخدام واجهة المستخدم عن بعد، راجع تعيين خيارات القائمة من واجهة المستخدم البعيدة.
1
ابدأ واجهة المستخدم عن بعد وقم بتسجيل الدخول في وضع مدير النظام بدء تشغيل واجهة المستخدم عن بعد.
2
انقر فوق [Settings/Registration] (الإعدادات/التسجيل) في المدخل. شاشة واجهة المستخدم عن بعد
3
اختر [Network Settings] (إعدادات الشبكة)  [IPSec Settings] (إعدادات IPSec).
4
انقر فوق [Edit] (تحرير).
5
حدد مربع الاختيار [Use IPSec] (استخدام IPSec) وانقر فوق [OK] (موافق).
إذا كنت تريد أن يقوم الجهاز فقط باستقبال الحزم التي تنطبق على أحد السياسات الأمنية التي قمت بتحديدها في الخطوة أدناه، قم بإلغاء تحديد مربع الاختيار [Receive Non-Policy Packets] (استلام حزم غير متعلقة بالسياسة).
6
انقر فوق [Register New Policy] (تسجيل سياسة جديدة).
7
حدِّد إعدادات السياسة.
1
في مربع النص [Policy Name] (اسم السياسة)، قم بإدخال حروفًا أبجدية ورقمية للاسم الذي تريد استخدامه لتعريف السياسة.
2
حدد مربع الاختيار [Enable Policy] (تمكين السياسة).
8
حدِّد إعدادات مفتاح الاختيار.
[Local Address] (العنوان المحلي)
انقر على زر الراديو لنوع عنوان IP الخاص بالجهاز لتطبيقه على السياسة.
[All IP Addresses] (جميع عناوين IP)
اختره لاستعمال IPSec لجميع حزم IP.
[IPv4 Address] (عنوان IPv4)
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عنوان IPv4 الخاص بالجهاز.
[IPv6 Address] (عنوان IPv6)
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من أحد عناوين IPv6 الخاصة بالجهاز.
[Remote Address] (العنوان البعيد)
انقر على زر الراديو لنوع عنوان IP الخاص بالأجهزة الأخرى لتطبيقه على السياسة.
[All IP Addresses] (جميع عناوين IP)
اختره لاستعمال IPSec لجميع حزم IP.
[All IPv4 Addresses] (جميع عناوين IPv4)
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv4 الخاصة بالأجهزة الأخرى.
[All IPv6 Addresses] (جميع عناوين IPv6)
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv6 الخاصة بالأجهزة الأخرى.
[IPv4 Manual Settings] (الإعدادات اليدوية لـ IPv4)
قم باختياره لتحديد عنوان IPv4 مفرد أو مجموعة عناوين IPv4 لتطبيق IPSec. قم بإدخال العنوان IPv4 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually] (العناوين التي سيتم تعيينها يدوياً).
[IPv6 Manual Settings] (الإعدادات اليدوية لـ IPv6)
قم باختياره لتحديد عنوان IPv6 مفرد أو مجموعة عناوين IPv6 لتطبيق IPSec. قم بإدخال العنوان IPv6 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually] (العناوين التي سيتم تعيينها يدوياً).
[Addresses to Set Manually] (العناوين التي سيتم تعيينها يدوياً)
إذا تم اختيار [IPv4 Manual Settings] (الإعدادات اليدوية لـ IPv4) أو [IPv6 Manual Settings] (الإعدادات اليدوية لـ IPv6) للإعداد [Remote Address] (العنوان البعيد)، قم بإدخال عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إدخال عناوين IP
الوصف
مثال
إدخال عنوان فردي
IPv4:
تحديد الأرقام بفترات.
192.168.0.10
IPv6:
تحديد حروف أبجدية أو رقمية بعلامة النقطتين.
fe80::10
تحديد مجموعة من العناوين
أدرج واصلة بين العناوين.
192.168.0.10-192.168.0.20
[Subnet Settings] (إعدادات الشبكة الفرعية)
عند تحديد عنوان IPv4 يدويًّا، يمكنك التعبير عن المدى باستخدام قناع الشبكة الفرعية. أدخِل قناع الشبكة الفرعية باستخدام الفترات الفاصلة بين الأرقام (مثال: "255.255.255.240").
[Prefix Length] (طول البادئة)
تحديد مجموعة عناوين IPv6 يدويًّا يُمَكِّنك أيضًا من تحديد المجموعة باستخدام البادئة. أدخِل مجموعة بين صفر و ١٢٨ كطول للبادئة.
[Local Port]/[Remote Port]
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو WSD، فانقر فوق زر الراديو [Single Port] و أدخل رقم المنفذ الملائم للبروتوكول لتحديد ما إذا كنت تريد استخدام IPSec.
لا يتم تطبيق IPSec للحزم التالية
الاسترجاع والبث المتعدد وحزم البث
حزم IKE (استخدام UDP على المنفذ ٥٠٠)
حزم استمالة الجار وإعلان الجار ICMPv6
9
حدِّد إعدادات IKE.
[IKE Mode] (وضع IKE)
يتم عرض الوضع المُستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المتطاول.
[Authentication Method] (طريقة المصادقة)
حدد [Pre-Shared Key Method] (طريقة المفتاح المشترك مسبقاً) أو [Digital Signature Method] (طريقة التوقيع الرقمي) للطريقة المستخدمة عند مصادقة الجهاز. يجب عليك تمكين TLS لواجهة المستخدم عن بعد قبل اختيار [Pre-Shared Key Method] (طريقة المفتاح المشترك مسبقاً). يجب عليك إنشاء أو تثبيت المفتاح والشهادة قبل اختيار [Digital Signature Method] (طريقة التوقيع الرقمي). تكوين المفتاح والشهادة لبروتوكول TLS
[Valid for] (صالح لـ)
حدد مدى طول الدورة لـ IKE SA (ISAKMP SA). أدخِل الزمن بالدقائق.
[Authentication] (المصادقة)/[Encryption] (التشفير)/[DH Group] (مجموعة DH)
اختر لوغاريتمًا من القائمة المنسدلة. يتم استخدام كل لوغاريتم في تبادل المفاتيح.
[Authentication] (المصادقة)
اختر دالة اللوغاريتم.
[Encryption] (التشفير)
اختر لوغاريتم التشفير.
[DH Group] (مجموعة DH)
اختر المجموعة Diffie-Hellman، التي تقوم بتحديد طول المفتاح.
 مصادقة جهاز باستخدام مفتاح مشترك مسبق
1
انقر على زر الراديو [Pre-Shared Key Method] (طريقة المفتاح المشترك مسبقاً) الخاص بـ [Authentication Method] (طريقة المصادقة) ثم انقر على [Shared Key Settings] (إعدادات المفتاح المشترك).
2
قم بإدخال حروفًا أبجدية ورقمية للمفتاح المشترك المسبق وانقر فوق [OK] (موافق).
3
حدِّد الإعدادات [Valid for] (صالح لـ) و [Authentication] (المصادقة)/[Encryption] (التشفير)/[DH Group] (مجموعة DH).
 مصادقة جهاز باستخدام طريقة التوقيع الرقمي
1
انقر على زر الراديو [Digital Signature Method] (طريقة التوقيع الرقمي) الخاص بـ [Authentication Method] (طريقة المصادقة) ثم انقر على [Key and Certificate] (المفتاح والشهادة).
2
انقر فوق [Register Default Key] (تسجيل المفتاح الافتراضي) على الجانب الأيمن من المفتاح والشهادة اللذين تريد استخدامهما.
عرض تفاصيل شهادة
يمكنك التحقق من تفاصيل الشهادة أو التحقق من الشهادة بالنقر فوق رابط النص المطابق الموجود ضمن [Key Name] (اسم المفتاح)، أو رمز الشهادة.
3
حدِّد الإعدادات [Valid for] (صالح لـ) و [Authentication] (المصادقة)/[Encryption] (التشفير)/[DH Group] (مجموعة DH).
10
حدِّد الإعدادات IPSec Network.
[Use PFS] (استخدام PFS)
حدِّد مربع الاختيار لتمكين Perfect Forward Secrecy (PFS) لمفاتيح دورة IPSec. تمكين PFS يحسّن المستوى الأمني أثناء زيادة الحمولة على الاتصال. تأكد من تمكين PFS أيضًا للأجهزة الأخرى.
[Specify by Time] (التحديد حسب الوقت)/[Specify by Size] (التحديد حسب الحجم)
اضبط الظروف الخاصة بإنهاء الدورة لـ IPSec SA. يتم استخدام IPSec SA كنفق اتصال. قم باختيار أحد أو كلا مربعي الاختيار حسب الضرورة. إذا تم تحديد كلا مربعي الاختيار، يتم إنهاء دورة IPSec SA عند استيفاء أحد الشروط.
[Specify by Time] (التحديد حسب الوقت)
أدخل زمنًا بالدقائق لتحديد مدى طول دورة.
[Specify by Size] (التحديد حسب الحجم)
أدخل حجمًا بوحدة الميغابايت لتحديد حجم البيانات التي تريد نقلها في دورة واحدة.
[Select Algorithm] (تحديد الخوارزمية)
حدِّد مربع (مربعات) الاختيار [ESP] أو ‎[ESP (AES-GCM)]‎ أو ‎[AH (SHA1)]‎ اعتمادًا على ترويسة IPSec واللوغاريتم المُستخدم. AES-GCM هو لوغاريتم يُستخدم لكل من المصادقة والتشفير. إذا تم اختيار [ESP]، فاختر أيضًا لوغاريتمات للمصادقة والتشفير من القائمتين المنبثقتين للأسفل [ESP Authentication] (مصادقة ESP) و [ESP Encryption] (تشفير ESP).
[ESP Authentication] (مصادقة ESP)
لتمكين مصادقة ESP، حدِّد [SHA1] لدالة اللوغاريتم. حدِّد [Do Not Use] (عدم الاستخدام) إذا كنت تريد إبطال مصادقة ESP.
[ESP Encryption] (تشفير ESP)
حدِّد اللوغاريتم المشفّر الخاص بـ ESP. يمكنك تحديد [NULL] (قيمة خالية) إذا كنت لا تريد تحديد اللوغاريتم، أو تحديد [Do Not Use] (عدم الاستخدام) إذا كنت تريد إبطال تشفير ESP.
[Connection Mode] (وضع الاتصال)
يتم عرض وضع التوصيل الخاص بـ IPSec. يدعم الجهاز وضع النقل، والذي يتم فيه تشفير حمولات حزم IP. وضع النفق، الذي يتم فيه تغليف حزم IP (الترويسات والحمولات) بأكملها، غير متوفر.
11
انقر فوق [OK] (موافق).
إذا كنت تريد تسجيل سياسة أمنية إضافية، فقم بالرجوع إلى الخطوة ٦.
12
قم بترتيب ترتيب السياسات المدرجة أسفل [Registered IPSec Policies] (سياسات IPSec المسجلة).
يتم تطبيق السياسات من السياسة الموجودة في أعلى موضع إلى السياسة الأدنى. انقر على [Up] (لأعلى) أو [Down] (لأسفل) لتحرير سياسة لأعلى أو أسفل الترتيب.
تحرير سياسة
انقر رابط النص المطابق أسفل [Policy Name] (اسم السياسة) لشاشة التعديل.
حذف سياسة
انقر على [Delete] (حذف) على الجانب الأيمن من اسم السياسة الذي تريد حذفه  انقر على [OK] (موافق).
13
قم بإعادة تشغيل الجهاز. إعادة تشغيل الجهاز
استخدام لوحة التشغيل
يمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <القائمة> في الشاشة الرئيسية. <استخدام IPSec>
551A-04K