تكوين إعدادات IPSec

باستخدام IPSec، يمكنك منع الجهات الخارجية من اعتراض حزم IP المنقولة عبر شبكة IP أو العبث بها. نظرًا لأن IPSec يضيف وظائف أمان إلى IP، وهو عبارة عن مجموعة بروتوكولات أساسية تستخدم للإنترنت، يمكنه توفير أمان مستقل عن التطبيقات أو تكوين الشبكة. لإجراء اتصال IPSec مع هذا الجهاز، يجب عليك تكوين إعدادات مثل معلمات التطبيق وخوارزمية المصادقة والتشفير. يلزم توفر امتيازات المسؤول لتكوين هذه الإعدادات.

تمكين IPSec

تسجيل سياسة


وضع الاتصال يدعم هذا الجهاز وضع النقل لاتصال IPSec فقط. ونتيجة لذلك، يتم تطبيق المصادقة والتشفير فقط على أجزاء البيانات من حزم IP. بروتوكول تبادل المفاتيح يدعم هذا الجهاز الإصدار 1 من Internet Key Exchange (مفتاح الإنترنت التبادلي) (IKEv1) لتبادل المفاتيح استنادًا إلى Internet Security Association and Key Management Protocol (جمعية أمن الإنترنت وبروتوكول إدارة المفاتيح) (ISAKMP). بالنسبة لطريقة المصادقة، قم بتعيين إما طريقة المفتاح المشترك مسبقًا أو طريقة التوقيع الرقمي. عند ضبط طريقة المفتاح المشترك مسبقًا، يتعين عليك تحديد عبارة مرور (المفتاح المشترك مسبقًا) مقدمًا، والتي يتم استخدامها بين الجهاز ونظير اتصال IPSec. عند ضبط طريقة التوقيع الرقمي، استخدم شهادة مرجع مصدق ومفتاح وشهادة بتنسيق PKCS#12 لإجراء مصادقة متبادلة بين الجهاز ونظير اتصال IPSec. للحصول على مزيد من المعلومات حول تسجيل شهادات المرجع المصدق الجديدة أو المفاتيح/الشهادات، انظر تسجيل المفتاح والشهادة لاتصالات الشبكة. لاحظ أنه يجب تكوين SNTP للجهاز قبل استخدامه لهذه الطريقة. إجراء إعدادات SNTP

وضع الاتصال

يدعم هذا الجهاز وضع النقل لاتصال IPSec فقط. ونتيجة لذلك، يتم تطبيق المصادقة والتشفير فقط على أجزاء البيانات من حزم IP.

بروتوكول تبادل المفاتيح

يدعم هذا الجهاز الإصدار 1 من Internet Key Exchange (مفتاح الإنترنت التبادلي) (IKEv1) لتبادل المفاتيح استنادًا إلى Internet Security Association and Key Management Protocol (جمعية أمن الإنترنت وبروتوكول إدارة المفاتيح) (ISAKMP). بالنسبة لطريقة المصادقة، قم بتعيين إما طريقة المفتاح المشترك مسبقًا أو طريقة التوقيع الرقمي.

عند ضبط طريقة المفتاح المشترك مسبقًا، يتعين عليك تحديد عبارة مرور (المفتاح المشترك مسبقًا) مقدمًا، والتي يتم استخدامها بين الجهاز ونظير اتصال IPSec.

عند ضبط طريقة التوقيع الرقمي، استخدم شهادة مرجع مصدق ومفتاح وشهادة بتنسيق PKCS#12 لإجراء مصادقة متبادلة بين الجهاز ونظير اتصال IPSec. للحصول على مزيد من المعلومات حول تسجيل شهادات المرجع المصدق الجديدة أو المفاتيح/الشهادات، انظر تسجيل المفتاح والشهادة لاتصالات الشبكة. لاحظ أنه يجب تكوين SNTP للجهاز قبل استخدامه لهذه الطريقة. إجراء إعدادات SNTP


بغض النظر عن إعداد [Format Encryption Method to FIPS 140-2] لاتصال IPSec، سيتم استخدام وحدة تشفير حصلت بالفعل على شهادة FIPS140-2. ولكي يتوافق اتصال IPSec مع FIPS 140-2، يجب عليك تعيين طول مفتاح كل من DH وRSA لاتصال IPSec على 2048 بت أو أطول في بيئة الشبكة التي ينتمي إليها الجهاز. يمكن تحديد طول مفتاح DH فقط من الجهاز. دون ملاحظة عند تكوين بيئتك، حيث لا توجد إعدادات لـ RSA في الجهاز. يمكنك تسجيل ما يصل إلى 10 نُهج أمان.

بغض النظر عن إعداد [Format Encryption Method to FIPS 140-2] لاتصال IPSec، سيتم استخدام وحدة تشفير حصلت بالفعل على شهادة FIPS140-2.

ولكي يتوافق اتصال IPSec مع FIPS 140-2، يجب عليك تعيين طول مفتاح كل من DH وRSA لاتصال IPSec على 2048 بت أو أطول في بيئة الشبكة التي ينتمي إليها الجهاز.

يمكن تحديد طول مفتاح DH فقط من الجهاز.

دون ملاحظة عند تكوين بيئتك، حيث لا توجد إعدادات لـ RSA في الجهاز.

يمكنك تسجيل ما يصل إلى 10 نُهج أمان.

تمكين IPSec

ابدأ تشغيل ‏Remote UI (واجهة المستخدم عن بعد). بدء تشغيل ‏Remote UI (واجهة المستخدم عن بعد)

انقر فوق [Settings/Registration] في صفحة المدخل. شاشة ‏Remote UI (واجهة المستخدم عن بعد)

انقر فوق [Network Settings]‏

[IPSec Settings].

حدد [Use IPSec]، ثم انقر فوق [OK].

لتلقي الحزم التي تتوافق مع نهج الأمان فقط، حدد [Reject] لأجل [Receive Non-Policy Packets].

تسجيل سياسة

ابدأ تشغيل ‏Remote UI (واجهة المستخدم عن بعد). بدء تشغيل ‏Remote UI (واجهة المستخدم عن بعد)

انقر فوق [Settings/Registration] في صفحة المدخل. شاشة ‏Remote UI (واجهة المستخدم عن بعد)

انقر فوق [Network Settings]‏

[IPSec Policy List].

انقر فوق [Register New IPSec Policy].

ضع سياسة.

[Policy Name]

أدخل اسمًا لتعريف السياسة.

[Policy On/Off]

حدد [On] لتمكين السياسة المسجلة.

[Only Allow 256-bit for AES Key Length]

حدد مربع الاختيار هذا لتقييد طول مفتاح طريقة تشفير AES بـ 256 بت وتلبية معايير مصادقة CC.

كوّن معلمات تطبيق IPSec.

انقر فوق [Selector Settings].

حدد عنوان IP المراد تطبيق نهج IPSec عليه.

حدد عنوان IP لهذا الجهاز في [Local Address]، وحدد عنوان IP لنظير الاتصال في [Remote Address].

[All IP Addresses]	يتم تطبيق IPSec على جميع حزم IP المرسلة والمستلمة.
[IPv4 Address]	يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv4 لهذا الجهاز والمستلمة منه.
[IPv6 Address]	يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv6 لهذا الجهاز والمستلمة منه.
[All IPv4 Addresses]	يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv4 لنظير الاتصال والمستلمة منه.
[All IPv6 Addresses]	يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv6 لنظير الاتصال والمستلمة منه.
[IPv4 Manual Settings]	حدد عنوان IPv4 المراد تطبيق نهج IPSec عليه. حدد [Single Address] لإدخال عنوان IPv4 فردي. حدد [Range Address] لتحديد نطاق عناوين IPv4. أدخل عنوانًا منفصلًا لـ [First Address] و[Last Address]. حدد [Subnet Settings] لتحديد نطاق عناوين IPv4 باستخدام قناع الشبكة الفرعية. أدخل قيمًا منفصلة من أجل [First Address] و[Subnet Settings].
[IPv6 Manual Settings]	حدد عنوان IPv6 المراد تطبيق نهج IPSec عليه. حدد [Single Address] لإدخال عنوان IPv6 فردي. حدد [Range Address] لتحديد نطاق عناوين IPv6. أدخل عنوانًا منفصلًا لـ [First Address] و[Last Address]. حدد [Prefix Address] لتحديد نطاق عناوين IPv6 باستخدام بادئة. أدخل قيمًا منفصلة من أجل [First Address] و[Prefix Length].

حدد المنفذ المراد تطبيق IPSec عليه.

اضغط على [Specify by Port Number] لاستخدام أرقام المنافذ عند تحديد المنافذ التي ينطبق عليها IPSec. حدد [All Ports] لتطبيق IPSec على جميع أرقام المنافذ. لتطبيق IPSec على رقم منفذ محدد [Single Port] وأدخل رقم المنفذ. حدد منفذ هذا الجهاز في [Local Port]، وحدد منفذ نظير الاتصال في [Remote Port].

لتحديد المنافذ التي سيتم تطبيق IPSec عليها حسب اسم الخدمة، حدد [Specify by Service Name] وحدد الخدمات المراد استخدامها.

انقر فوق [OK].

قم بتكوين إعدادات المصادقة والتشفير.

انقر فوق [IKE Settings].

قم بتكوين الإعدادات اللازمة.

[IKE Mode]

حدد وضع التشغيل لبروتوكول تبادل المفاتيح. يتم تعزيز الأمان إذا حددت [Main] لأن جلسة IKE مشفرة بحد ذاتها، ولكن تكون سرعة الجلسة أبطأ مما تكون عليه مع [Aggressive]، الذي لا يشفر الجلسة بأكملها.

[Validity]

قم بتعيين فترة انتهاء صلاحية IKE SA الذي تم إنشاؤه.

[Authentication Method]

حدد إحدى طرق المصادقة الموضحة أدناه.

[Pre-Shared Key Method]	قم بتعيين نفس عبارة المرور (المفتاح المشترك مسبقًا) التي تم تعيينها لنظير الاتصال. اضغط على [Shared Key Settings]، وأدخل سلسلة الأحرف المراد استخدامها كمفتاح مشترك، واضغط على [OK].
[Digital Signature Method]	قم بتعيين المفتاح والشهادة المراد استخدامهما في المصادقة المتبادلة مع نظير الاتصال. انقر فوق [Key and Certificate]، ثم انقر فوق [Use] لاستخدام المفتاح.

[Authentication/Encryption Algorithm]

حدد أيًا من [Auto] أو [Manual Settings] لتعيين كيفية تحديد خوارزمية المصادقة والتشفير للمرحلة 1 من IKE. إذا قمت بتحديد [Auto]، تُعيّن تلقائيًا خوارزمية يمكن استخدامها بواسطة كل من هذا الجهاز ونظير الاتصال. إذا كنت تريد تحديد خوارزمية معينة، فحدد [Manual Settings] وقم بتكوين الإعدادات الواردة أدناه.

[Authentication]	حدد خوارزمية التجزئة.
[Encryption]	حدد خوارزمية التشفير.
[DH Group]	حدد المجموعة الخاصة بطريقة تبادل المفاتيح Diffie-Hellman لتعيين قوة المفتاح.

انقر فوق [OK].


عند تعيين [IKE Mode] على [Main] على شاشة [IKE] وتعيين [Authentication Method] على [Pre-Shared Key Method]، تنطبق القيود التالية عند تسجيل نُهج أمان متعددة. طريقة المفتاح المشترك مسبقًا: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون جميع المفاتيح المشتركة لنهج الأمان هذا متطابقة (لا ينطبق هذا عند تحديد عنوان واحد). الأولوية: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون أولوية نهج الأمان هذه أقل من سياسات الأمان التي تم تحديد عنوان واحد لها.

عند تعيين [IKE Mode] على [Main] على شاشة [IKE] وتعيين [Authentication Method] على [Pre-Shared Key Method]، تنطبق القيود التالية عند تسجيل نُهج أمان متعددة.

طريقة المفتاح المشترك مسبقًا: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون جميع المفاتيح المشتركة لنهج الأمان هذا متطابقة (لا ينطبق هذا عند تحديد عنوان واحد).

الأولوية: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون أولوية نهج الأمان هذه أقل من سياسات الأمان التي تم تحديد عنوان واحد لها.

كوّن إعدادات اتصال IPSec.

انقر فوق [IPSec Network Settings].

قم بتكوين الإعدادات اللازمة.

[Validity]

قم بتعيين فترة انتهاء صلاحية IPSec SA الذي تم إنشاؤه. احرص على تعيين إما [Time] أو [Size]. إذا قمت بتعيين كليهما، فسيتم تطبيق الإعداد بالقيمة التي تم الوصول إليها أولاً.

[PFS]

إذا حددت [Use PFS]، فستزداد سرية مفتاح التشفير ولكن ستكون سرعة الاتصال أبطأ. بالإضافة إلى ذلك، يجب تمكين وظيفة السرية التامة لإعادة التوجيه (PFS) على جهاز نظير الاتصال.

[Authentication/Encryption Algorithm]

حدد أيًا من [Auto] أو [Manual Settings] لتعيين كيفية تحديد خوارزمية المصادقة والتشفير للمرحلة 2 من IKE. إذا قمت بتحديد [Auto]، يتم تعيين خوارزمية مصادقة وتشفير ESP بشكل تلقائي. إذا كنت تريد تحديد طريقة مصادقة معينة، فاضغط على [Manual Settings] وحدد إحدى طرق المصادقة الواردة أدناه.

[ESP]	يتم إجراء كل من المصادقة والتشفير. حدد خوارزمية [ESP Authentication] و[ESP Encryption]. حدد [NULL] إذا كنت لا تريد تعيين خوارزمية المصادقة أو التشفير.
[ESP (AES-GCM)]	يتم استخدام AES-GCM كخوارزمية ESP، ويتم إجراء كل من المصادقة والتشفير.
[AH (SHA1)]	يتم إجراء المصادقة، لكن لا تكون البيانات مشفرة. يتم استخدام SHA1 في صورة الخوارزمية.

انقر فوق [OK].

قم بتمكين النُّهج المسجلة وتحقق من ترتيب الأولويات.

تُطبق النُّهج بالترتيب المدرجة به، بدءًا من الأعلى. إذا كنت تريد تغيير ترتيب الأولويات، فحدد نهجًا في القائمة واضغط على [Raise Priority] أو [Lower Priority].


إدارة نُّهج IPSec يمكنك تعديل النُّهج على الشاشة المعروضة في الخطوة 4. لتحرير تفاصيل سياسة ما، انقر فوق اسم السياسة في القائمة. لتعطيل سياسة، انقر فوق اسم السياسة في القائمة حدد [Off] لأجل [Policy On/Off]‏ انقر فوق [OK]. لحذف سياسة، حدد السياسة في القائمة اضغط على [Delete]‏ [OK]. استخدام لوحة التحكم يمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <ضبط> في الشاشة <الرئيسية>. <إعدادات IPSec> استيراد الدُفعات/تصدير الدُفعات يمكن استيراد/تصدير هذا الإعداد مع الطرز التي تدعم استيراد الدُفعات من هذا الإعداد. استيراد/تصدير بيانات الإعداد يتم تضمين هذا الإعداد في [Settings/Registration Basic Information] عند تصدير الدُفعات. استيراد/تصدير جميع الإعدادات

إدارة نُّهج IPSec

يمكنك تعديل النُّهج على الشاشة المعروضة في الخطوة 4.

لتحرير تفاصيل سياسة ما، انقر فوق اسم السياسة في القائمة.

لتعطيل سياسة، انقر فوق اسم السياسة في القائمة

حدد [Off] لأجل [Policy On/Off]‏

انقر فوق [OK].

لحذف سياسة، حدد السياسة في القائمة

اضغط على [Delete]‏

[OK].

استخدام لوحة التحكم

يمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <ضبط> في الشاشة <الرئيسية>. <إعدادات IPSec>

استيراد الدُفعات/تصدير الدُفعات

يمكن استيراد/تصدير هذا الإعداد مع الطرز التي تدعم استيراد الدُفعات من هذا الإعداد. استيراد/تصدير بيانات الإعداد

يتم تضمين هذا الإعداد في [Settings/Registration Basic Information] عند تصدير الدُفعات. استيراد/تصدير جميع الإعدادات