تكوين إعدادات IPSec

إن أمان بروتوكول الإنترنت (IPSec أو IPsec) عبارة عن مجموعة بروتوكولات مخصصة لتشفير البيانات المنقولة عبر أية شبكة بما في ذلك شبكات الإنترنت. إذا كان بروتوكول TLS لا يقوم بتشفير سوى البيانات المستخدمة في تطبيق معين، مثل متصفح ويب أو تطبيق بريد إلكتروني، فإن اتصال IPSec يقوم بتشفير جميع (أو كل حمولات) حزم IP، مما يوفر نظام أمان أكثر تنوعًا في الاستخدامات. تعمل مجموعة IPSec للجهاز في وضع النقل، الذي يتم تشفير حمولة حزم IP به. وبفضل هذه الميزة، يمكن للجهاز الاتصال مباشرة بأي جهاز كمبيوتر متصل بنفس الشبكة الخاصة الظاهرية (VPN). تحقق من متطلبات النظام واضبط التكوين الضروري على الكمبيوتر قبل تكوين الجهاز.

متطلبات النظام

تتوافق مجموعة IPSec المدعومة من الجهاز مع RFC2401 وRFC2402 وRFC2406 وRFC4305.

نظام التشغيل	Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
وضع التوصيل	وضع النقل
بروتوكول تبادل المفاتيح	IKEv1 (الوضع الرئيسي)
	طريقة المصادقة	مفتاح مشترك مسبقًا توقيع رقمي
	خوارزمية التجزئة (وطول المفتاح)	HMAC-SHA1-96 HMAC-SHA2 (256 بت أو 384 بت)
	خوارزمية التشفير (وطول المفتاح)	3DES-CBC AES-CBC (128 بت أو 192 بت أو 256 بت)
	خوارزمية/مجموعة تبادل المفاتيح (وطول المفتاح)	Diffie-Hellman (DH) المجموعة 1 (768 بت) المجموعة 2 (1024 بت) المجموعة 14 (2048 بت)
ESP	خوارزمية التجزئة	HMAC-SHA1-96
	خوارزمية التشفير (وطول المفتاح)	3DES-CBC AES-CBC (128 بت أو 192 بت أو 256 بت)
	خوارزمية التجزئة/خوارزمية التشفير (وطول المفتاح)	AES-GCM (128 بت أو 192 بت أو 256 بت)
AH	خوارزمية التجزئة	HMAC-SHA1-96

ملاحظة
قيود وظائف IPSec تدعم مجموعة IPSec الاتصال بعنوان بث موحد (أو جهاز فردي). لا يمكن للجهاز استخدام كل من IPSec وDHCPv6 في نفس الوقت. يكون IPSec غير متاح في الشبكات التي لا يتم فيها تنفيذ تخفي NAT أو IP. استخدام IPSec مع عامل تصفية عناوين IP يتم تطبيق إعدادات عامل تصفية عناوين IP قبل تطبيق سياسات IPSec. تحديد عناوين IP لقواعد جدار الحماية

ملاحظة

قيود وظائف IPSec

تدعم مجموعة IPSec الاتصال بعنوان بث موحد (أو جهاز فردي).

لا يمكن للجهاز استخدام كل من IPSec وDHCPv6 في نفس الوقت.

يكون IPSec غير متاح في الشبكات التي لا يتم فيها تنفيذ تخفي NAT أو IP.

استخدام IPSec مع عامل تصفية عناوين IP

يتم تطبيق إعدادات عامل تصفية عناوين IP قبل تطبيق سياسات IPSec.

تحديد عناوين IP لقواعد جدار الحماية

تكوين إعدادات IPSec

قبل استخدام IPSec في الاتصال المشفر، فإنه يتعين عليك تسجيل سياسات الأمان (SP). تتكون أي سياسة أمان من مجموعة من الإعدادات الموضحة أدناه. ويمكن تسجيل ما يصل إلى 10 سياسات أمان. بعد تسجيل السياسات، حدد الترتيب الذي سيتم تطبيقها على أساسه.

المحدد

يعرّف المحدد شروط حزم IP لتطبيق اتصال IPSec. وتشمل الشروط القابلة للتحديد عناوين IP وأرقام المنافذ بالجهاز والأجهزة المراد الاتصال بها.

IKE

يعمل البروتوكول IKE على تكوين الإصدار رقم 1 من بروتوكول IKE المستخدم في بروتوكول تبادل المفاتيح. لاحظ أن الإرشادات تختلف وفقًا لطريقة المصادقة المحددة.

[Pre-Shared Key Method:]
يمكن مشاركة مفتاح يتكون مما يصل إلى 24 حرفًا أبجديًا رقميًا مع أجهزة أخرى. قم بتمكين TLS لواجهة المستخدم البعيدة قبل تحديد طريقة المصادقة هذه (تمكين الاتصال المشفر باستخدام بروتوكول TLS لواجهة المستخدم البعيدة).

[Digital Signature Method:]
يقوم كل من الجهاز والأجهزة الأخرى بمصادقة بعضها البعض من خلال التحقق المتبادل من توقيعاتها الرقمية. قم بإنشاء زوج المفاتيح أو تثبيته مسبقًا (إعدادات تكوين أزواج المفاتيح والشهادات الرقمية).

AH/ESP

حدد الإعدادات الخاصة ببروتوكول AH/ESP, الذي يُضاف إلى الحزم أثناء اتصال IPSec. ويمكن استخدام البروتوكول AH وESP في نفس الوقت. كما يمكنك أيضًا تحديد ما إذا كنت ستقوم بتمكين ميزة PFS لتحقيق أمان أكثر إحكامًا.

قم بتشغيل Remote UI (واجهة المستخدم البعيدة) ثم قم بتسجيل الدخول إلى "وضع إدارة النظام". بدء تشغيل واجهة المستخدم عن بعد

انقر فوق [Settings/Registration].

انقر فوق [Security Settings]

[IPSec Settings].

انقر فوق [Edit...].

حدد خانة الاختيار [Use IPSec] ثم انقر فوق [OK].

إذا كنت تريد ألا يستقبل الجهاز سوى الحزم التي تتطابق مع واحدة من سياسات الأمان التي قمت بتعريفها في الخطوات الموضحة أدناه، فقم بإلغاء تحديد خانة الاختيار [Receive Non-Policy Packets].

انقر فوق [Register New Policy...].

حدد إعدادات السياسة.

1	في المربع النصي [Policy Name] ، أدخل ما يصل إلى 24 حرفًا أبجديًا رقميًا للاسم المستخدم لتعريف السياسة.
2	حدد خانة الاختيار [Enable Policy].

حدد إعدادات المحدد.

[Local Address:]
انقر فوق زر الاختيار لنوع عنوان IP للجهاز لتطبيق السياسة.

[All IP Addresses]	حدد هذا الخيار لاستخدام IPSec لجميع الحزم.
[IPv4 Address]	حدد هذا الخيار لاستخدام IPSec لجميع حزم IP التي يتم إرسالها إلى عنوان IPv4 للجهاز أو منه.
[IPv6 Address]	حدد هذا الخيار لاستخدام IPSec لجميع حزم IP التي يتم إرسالها إلى عنوان IPv6 للجهاز أو منه.

[Remote Address:]
انقر فوق زر الاختيار لنوع عنوان IP للأجهزة الأخرى لتطبيق السياسة.

[All IP Addresses]	حدد هذا الخيار لاستخدام IPSec لجميع الحزم.
[All IPv4 Addresses]	حدد هذا الخيار لاستخدام IPSec لجميع حزم IP التي يتم إرسالها إلى عنوان IPv4 للأجهزة الأخرى أو منها.
[All IPv6 Addresses]	حدد هذا الخيار لاستخدام IPSec لجميع حزم IP التي يتم إرسالها إلى عنوان IPv6 للأجهزة الأخرى أو منها.
[IPv4 Manual Settings]	حدد هذا الخيار لتحديد عنوان IPv4 واحد أو مجموعة من عناوين IPv4 لتطبيق IPSec. أدخل عنوان IPv4 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually:].
[IPv6 Manual Settings]	حدد هذا الخيار لتحديد عنوان IPv6 واحد أو مجموعة من عناوين IPv6 لتطبيق IPSec. أدخل عنوان IPv6 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually:].

[Addresses to Set Manually:]
[]إذا تم تحديد IPv4 Manual Settings] أو [IPv6 Manual Settings] من أجل [Remote Address:], فأدخل عنوان IP لتطبيق السياسة. كما يمكنك أيضًا إدخال مجموعة من العناوين من خلال إدراج واصلة بين العناوين.

ملاحظة:
إدخال عناوين IP

	الوصف	مثال
إدخال عنوان فردي	IPv4: حدد الأرقام بنقاط توقف.	192.168.0.10
إدخال عنوان فردي	IPv6: تحديد حروف أبجدية أو رقمية بعلامة النقطتين.	fe80::10
تحديد مجموعة من العناوين	أدرج واصلة بين العناوين.	192.168.0.10-192.168.0.20
تحديد مجموعة من العناوين ببادئة (IPv6 فقط)	أدخل العنوان، متبوعًا بشرطة مائلة ورقم للإشارة إلى طول البادئة.	fe80::1234/64

[Subnet Settings:]
عند تحديد عنوان IPv4 يدويًا, يمكنك إظهار المجموعة باستخدام قناع الشبكة الفرعية. أدخل قناع الشبكة الفرعية باستخدام نقاط التوقف لتحديد الأرقام (مثال: "255.255.255.240").

[Prefix Length:]
عند تحديد IPv6 يدويًا يمكنك ضبط طول البادئة.

[Local Port:]/[Remote Port:]
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو SMTP، فأدخل رقم المنفذ المناسب للبروتوكول لتحديد ما إذا كنت ستستخدم IPSec أم لا.

هام:
لا يتم تطبيق IPSec على الحزم التالية

حزم الاسترجاع والبث المتعدد والإرسال

حزم IKE (استخدام بروتوكول UDP على المنفذ 500)

حزم اتصال الجوار وحزم إعلان الجوار الخاصة ببروتوكول ICMPv6

حدد إعدادات IKE.

[IKE Mode:]
يتم عرض الوضع المستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المعاكس.

[Authentication Method:]
حدد [Pre-Shared Key Method:] أو [Digital Signature Method:] للطريقة المستخدَمة عند مصادقة الجهاز. يتعين عليك تمكين TLS لواجهة المستخدم البعيدة قبل تحديد [Pre-Shared Key Method:] (تمكين الاتصال المشفر باستخدام بروتوكول TLS لواجهة المستخدم البعيدة). ويتعين عليك إنشاء زوج مفاتيح أو تثبيته قبل تحديد [Digital Signature Method:] (إعدادات تكوين أزواج المفاتيح والشهادات الرقمية).

[Valid for:]
حدد مدة استمرار الجلسة الخاصة بـ IKE SA (ISAKMP SA).. أدخل الوقت بالدقائق.

[Authentication:]/[Encryption:]/[DH Group:]
حدد خوارزمية من القائمة المنسدلة. تُستخدم كل خوارزمية في تبادل المفاتيح.

[Authentication:]	حدد خوارزمية التجزئة.
[Encryption:]	حدد خوارزمية التشفير.
[DH Group:]	حدد مجموعة Diffie-Hellman, التي تحدد طول المفتاح.

استخدام مفتاح مشترك مسبقًا للمصادقة

1	انقر فوق زر الاختيار [Pre-Shared Key Method:] من أجل [Authentication Method:] ثم انقر فوق [Shared Key Settings...].
2	أدخل ما يصل إلى ٢٤ حرفًا أبجديًا رقميًا للمفتاح المشترك مسبقًا ثم انقر فوق [OK].
3	حدد إعدادات [Valid for:] و [Authentication:]/[Encryption:]/[DH Group:] .

استخدام زوج مفاتيح وشهادات CA مثبتة مسبقًا للمصادقة

1	انقر فوق زر الاختيار [Digital Signature Method:] من أجل [Authentication Method:] ثم انقر فوق [Key and Certificate...].
2	انقر فوق [Register Default Key] يمين زوج المفاتيح الذي ترغب في استخدامه. ملاحظة: عرض التفاصيل الخاصة بزوج المفاتيح أو الشهادة يمكنك التحقق من تفاصيل الشهادة أو التحقق من الشهادة بالنقر فوق رابط النص المطابق الموجود أسفل، أو رمز الشهادة. [Key Name]. التحقق من أزواج المفاتيح والشهادات الرقمية
3	حدد إعدادات [Valid for:] و [Authentication:]/[Encryption:]/[DH Group:] .

حدد إعدادات شبكة IPSec.

[Use PFS]
حدد خانة الاختيار هذه لتمكين السرية التامة لإعادة التوجيه (PFS) بالنسبة لمفاتيح جلسة IPSec. ويؤدي تمكين PFS إلى تحسين الأمان بينما يزيد الحمل على الاتصال. تأكد من تمكين PFS أيضًا بالنسبة للأجهزة الأخرى.

[Specify by Time]/[Specify by Size]
قم بتعيين شروط إنهاء أي جلسة خاصة بـIPSec SA. تُستخدم IPSec SA كنفق اتصال. حدد أي من خانتي الاختيار أو كلتيهما حسب الضرورة. إذا تم تحديد كلتا خانتي الاختيار، فسيتم إنهاء جلسة IPSec SA بعد تلبية أي الشروط.

[Specify by Time]	أدخل وقتًا بالدقائق لتحديد طول الجلسة.
[Specify by Size]	أدخل حجمًا بوحدة قياس الميجابايت لتحديد كمية البيانات التي يمكن نقلها في الجلسة.

[Select Algorithm:]
حدد مربعات الاختيار [ESP], [ESP (AES-GCM)], أو [AH (SHA1)] وفقًا لرأس IPSec والخوارزمية المستخدمة. ويُعد AES-GCM خوارزمية تُستخدم للمصادقة والتشفير على حد سواء. إذا تم تحديد [ESP] فحدد أيضًا الخوارزميات المستخدمة للمصادقة والتشفير من [ESP Authentication:] و القوائم المنسدلة [ESP Encryption:].

[ESP Authentication:]	لتمكين مصادقة ESP، حدد [SHA1] لخوارزمية التجزئة. حدد [Do Not Use] إذا كنت ترغب في تعطيل مصادقة ESP.
[ESP Encryption:]	حدد خوارزمية التشفير الخاصة بـ ESP. يمكنك تحديد [NULL] إذا كنت ترغب في تحديد الخوارزمية أو حدد [Do Not Use] إذا كنت ترغب في تعطيل تشفير.ESP.

[Connection Mode]
يتم عرض وضع توصيل IPSec. يدعم الجهاز وضع النقل، الذي يتم فيه تشفير حمولات حزم IP. ويكون وضع النفق, الذي يتم فيه تغليف جميع حزم IP (الرؤوس والحمولات)، غير متوفر.

انقر فوق [OK].

إذا كنت بحاجة إلى تسجيل سياسة أمان إضافية، فارجع إلى الخطوة رقم 6.

قم بتنظيم ترتيب السياسات المدرجة ضمن [Registered IPSec Policies].

يتم تطبيق السياسات بدءًا من السياسة التي تحتل أعلى موضع إلى السياسة التي تحتل أدنى موضع. انقر فوق [Up] أو [Down] لنقل سياسة لأعلى أو لأسفل الترتيب.

ملاحظة:
تحرير السياسة
انقر فوق رابط النص المطابق أدنى .[Policy Name] لشاشة التحرير.

حذف سياسة

انقر فوق [Delete] يمين اسم السياسة التي ترغب في حذفها

انقر فوق [OK].

أعد تشغيل الجهاز.

قم بإيقاف تشغيل الجهاز، وانتظر لمدة 10 ثوانٍ على الأقل، ثم قم بتشغيل الجهاز مرة أخرى.

إعدادات تكوين أزواج المفاتيح والشهادات الرقمية

قائمة سياسات IPSec