استخدام IPSec
استخدم بروتوكول أمان IP (IPSec) لمنع التجسس على حزم IP المرسلة والمستلمة عبر شبكة IP والتلاعب فيها. يقوم هذا البروتوكول بإجراء تشفير على مستوى بروتوكول IP لضمان الأمان دون الاعتماد على تكوين تطبيق أو شبكة.
شروط IPSec القابلة للتطبيق والأوضاع المدعومة
الحزم التي لا ينطبق عليها IPSec
الحزم التي تحدد عنوان الاسترجاع أو البث المتعدد أو البث واسع النطاق
حزم IKE المرسلة من منفذ UDP 500
حزم استمالة الجار وإعلان الجار ICMPv6
وضع التشغيل لبروتوكول تبادل المفاتيح (وضع IKE)
وضع IKE الذي يدعمه الجهاز هو الوضع الرئيسي الوحيد المستخدم لتشفير الحزم. الوضع المضمون غير التشفيري ليس مدعومًا.
وضع الاتصال
وضع الاتصال الذي يدعمه الجهاز هو وضع النقل الوحيد، الذي يشفر فقط الجزء باستثناء رأس IP. وضع النفق، الذي يشفر حزمة IP بالكامل، غير مدعوم.
استخدام IPSec مع تصفية عنوان IP
يتم تطبيق إعدادات عامل تصفية عنوان IP أولًا. إعداد جدار الحماية
تكوين سياسة IPSec
لإجراء اتصال IPSec على الجهاز، يجب عليك إنشاء سياسة IPSec تتضمن نطاقًا وخوارزميات قابلة للتطبيق للمصادقة والتشفير. تتكون السياسة بشكل أساسي من العناصر التالية.
المحدد
حدد حزم IP لتطبيق اتصال IPSec. بالإضافة إلى تحديد عنوان IP للجهاز وتوصيل الأجهزة، يمكنك أيضًا تحديد أرقام منافذها.
IKE
يدعم بروتوكول تبادل المفاتيح إصدار تبادل مفاتيح الإنترنت 1 (IKEv1). بالنسبة لطريقة المصادقة، حدد طريقة المفتاح المشترك المسبق أو طريقة التوقيع الرقمي.
طريقة المفتاح المشترك المسبق:
تستخدم طريقة المصادقة هذه كلمة أساسية مشتركة، يُطلق عليها المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى.
تستخدم طريقة المصادقة هذه كلمة أساسية مشتركة، يُطلق عليها المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى.
طريقة التوقيع الرقمي
يقوم كل من الجهاز والأجهزة الأخرى بمصادقة بعضها البعض من خلال التحقق المتبادل من توقيعاتها الرقمية.
يقوم كل من الجهاز والأجهزة الأخرى بمصادقة بعضها البعض من خلال التحقق المتبادل من توقيعاتها الرقمية.
ESP/AH
حدد الإعدادات الخاصة بـ ESP/AH، الذي يُعد بروتوكولًا يُستخدم لاتصال IPSec. ويمكن استخدام ESP وAH في الوقت نفسه. استخدم السرية التامة لإعادة التوجيه (PFS) لتوفير قدر أكبر من الأمان.
تعيين IPSec
قم بتمكين استخدام IPSec، ومن ثمّ أنشئ سياسة IPSec وسجّلها. إذا تم إنشاء سياسات متعددة، فحدد الترتيب الذي سيتم تطبيقها على أساسه.
يوضح هذا القسم كيفية تكوين الإعدادات باستخدام Remote UI (واجهة المستخدم البعيدة) من جهاز كمبيوتر.
من لوحة التشغيل، حدد [القائمة] من الشاشة [الرئيسية]، ثم حدد [التفضيلات] لتكوين الإعدادات. وعلى الرغم من ذلك، يمكن استخدام لوحة التشغيل فقط لتمكين IPSec أو تعطيله. [استخدام IPSec]
امتيازات المسؤول مطلوبة. تجب إعادة تشغيل الجهاز لتطبيق الإعدادات.
من لوحة التشغيل، حدد [القائمة] من الشاشة [الرئيسية]، ثم حدد [التفضيلات] لتكوين الإعدادات. وعلى الرغم من ذلك، يمكن استخدام لوحة التشغيل فقط لتمكين IPSec أو تعطيله. [استخدام IPSec]
امتيازات المسؤول مطلوبة. تجب إعادة تشغيل الجهاز لتطبيق الإعدادات.
|
التجهيزات المطلوبة
|
|
قم بتوصيل الجهاز بجهاز كمبيوتر مباشرة على نفس الشبكة الخاصة الافتراضية (VPN) باعتبارها الجهاز. قم بتأكيد ظروف التشغيل، وإنهاء الإعدادات على الكمبيوتر مقدمًا. IPSec
حضّر ما يلي وفقًا لطريقة مصادقة IKE:
عند استخدام طريقة المفتاح المشترك المسبق، قم بتمكين TLS لاتصال Remote UI (واجهة المستخدم البعيدة). استخدام TLS
عند استخدام طريقة التوقيع الرقمي، حضّر المفتاح والشهادة لاستخدامهما. إدارة المفتاح والشهادة والتحقق منهما
عند استخدام PFS، تحقق من تمكين PFS على الجهاز المتصل.
|
1
قم بتسجيل الدخول Remote UI (واجهة المستخدم البعيدة) في وضع مدير النظام. بدء تشغيل Remote UI (واجهة المستخدم عن بعد)
2
على صفحة مدخل Remote UI (واجهة المستخدم البعيدة)، انقر فوق [Settings/Registration]. صفحة المدخل لـ Remote UI (واجهة المستخدم البعيدة)
3
انقر فوق [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].يتم عرض شاشة [Edit IPSec Settings].
4
حدد مربع الاختيار [Use IPSec] ثم انقر فوق [OK].
لاستلام الحزم التي تتوافق مع السياسة فقط، امسح مربع الاختيار [Receive Non-Policy Packets].
5
انقر فوق [Register New Policy].
يتم عرض شاشة [Register New IPSec Policy].
6
في [Policy Settings]، أدخل اسم السياسة، وحدد مربع الاختيار [Enable Policy].
بالنسبة لاسم السياسة، أدخل اسمًا لتحديد السياسة، باستخدام أحرف أبجدية رقمية وحيدة البايت.
7
في [Selector Settings]، حدد المحدد.
[Local Address Settings]
حدد نوع عنوان IP الخاص بالجهاز الذي تريد تطبيق السياسة عليه.
لتطبيق IPSec على جميع حزم IP، حدد [All IP Addresses].
لتطبيق IPSec على حزم IP المرسلة والمستلمة باستخدام عنوان IPv4 أو IPv6، حدد [IPv4 Address] أو [IPv6 Address].
[Remote Address Settings]
حدد نوع عنوان IP الخاص بالجهاز المتصل الذي تريد تطبيق السياسة عليه.
لتطبيق IPSec على جميع حزم IP، حدد [All IP Addresses].
لتطبيق IPSec على حزم IP المرسلة والمستلمة باستخدام عنوان IPv4 أو IPv6، حدد [All IPv4 Addresses] أو [All IPv6 Addresses].
لتحديد عنوان IPv4 أو IPv6 الذي تريد تطبيق IPSec عليه، حدد [IPv4 Manual Settings] أو [IPv6 Manual Settings].
[Addresses to Set Manually]
عند تحديد [IPv4 Manual Settings] أو [IPv6 Manual Settings]، أدخل عنوان IP. يمكنك أيضًا تحديد نطاق من عناوين IP من خلال استخدام واصلة (-).
مثال على الإدخال:
عنوان IPv4 واحد
192.168.0.10
192.168.0.10
عنوان IPv6 واحد
fe80::10
fe80::10
مواصفات النطاق
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
عند تحديد [IPv4 Manual Settings]، يمكنك استخدام قناع الشبكة الفرعية لتحديد نطاق عناوين IPv4.
مثال على الإدخال:
255.255.255.240
255.255.255.240
[Prefix Length]
عند تحديد [IPv6 Manual Settings]، يمكنك استخدام طول بادئة لتحديد نطاق عناوين IPv6. أدخل طول البادئة بنطاق يبلغ 0 إلى 128.
[Port Settings]
قم بتعيين المنفذ الذي تريد تطبيق IPSec عليه في [Local Port] على الجهاز و[Remote Port] على الجهاز المتصل.
لتطبيق IPSec على جميع أرقام المنافذ، حدد [All Ports].
لتطبيق IPSec على بروتوكول محدد، مثل HTTP أو WSD، حدد [Single Port]، وأدخل رقم منفذ البروتوكول.
8
في [IKE Settings]، قم بتعيين IKE.
[IKE Mode]
لا يدعم الجهاز إلا الوضع الرئيسي فقط.
[Authentication Method]
حدد طريقة المصادقة للجهاز.
عند تحديد [Pre-Shared Key Method]، انقر فوق [Shared Key Settings] وأدخل السلسلة لاستخدامها على أنها المفتاح المشترك باستخدام أحرف أبجدية رقمية وحيدة البايت ثم انقر فوق [OK].
وأدخل السلسلة لاستخدامها على أنها المفتاح المشترك باستخدام أحرف أبجدية رقمية وحيدة البايت ثم انقر فوق [OK].عند تحديد [Digital Signature Method]، انقر فوق [Key and Certificate] [Register Default Key] على يمين المفتاح والشهادة لاستخدامهما.
[Register Default Key] على يمين المفتاح والشهادة لاستخدامهما.
[Validity]
أدخل الفترة الصالحة لـ IKE SA (ISAKMP SA) لاستخدامها كمسار اتصال التحكم بالدقائق.
[Authentication/Encryption Algorithm]
حدد الخوارزمية لاستخدامها لتبادل المفاتيح.
9
في [IPSec Network Settings]، قم بتكوين إعدادات شبكة IPSec.
[Use PFS]
حدد مربع الاختيار هذا لتكوين PFS الخاص بمفتاح الجلسة.
[Validity]
حدد الفترة الصالحة لـ IPSec SA لاستخدامها كمسار اتصال البيانات حسب الوقت أو الحجم أو كليهما.
عند تحديد مربع الاختيار [Specify by Time]، أدخل الفترة الصالحة بالدقائق.
عند تحديد مربع الاختيار [Specify by Size]، أدخل الفترة الصالحة بالميجابايت.
عند تحديد كليهما، يتم تطبيق العنصر الذي يتم الوصول إلى القيمة المحددة إليه أولًا.
[Authentication/Encryption Algorithm]
حدد مربع الاختيار هذا وفقًا لرأس IPSec (ESP وAH) المطلوب استخدامها وخوارزميتها.
[ESP Authentication]
عند تحديد [ESP]، حدد خوارزمية المصادقة. لإجراء مصادقة ESP، حدد [SHA1]. خلاف ذلك، حدد [Do Not Use].
[ESP Encryption]
عند تحديد [ESP]، حدد خوارزمية التشفير. إذا لم تكن تريد تحديد خوارزمية، فحدد [NULL]. لتعطيل التشفير، حدد [Do Not Use].
[Connection Mode]
لا يدعم الجهاز إلا وضع النقل فقط.
10
انقر فوق [OK].
تُضاف السياسة المسجلة حديثًا إلى [Registered IPSec Policies] على شاشة [IPSec Settings].
عند تسجيل سياسات متعددة
انقر فوق [Up] أو [Down] على يمين اسم السياسة لتعيين الأولوية. السياسات ذات المستوى الأعلى لها أولوية في التطبيق عن اتصال IPSec.
11
قم بإعادة تشغيل الجهاز. إعادة تشغيل الجهاز
تم تطبيق الإعدادات.
|
تحرير السياسات المسجلةلتحرير المعلومات المسجلة، انقر فوق اسم السياسة الذي تريد تحريره في [Registered IPSec Policies] على شاشة [IPSec Settings].
|