ضبط إعدادات IPSec
أمان بروتوكول الإنترنت (IPSec أو IPsec) هو عبارة عن مجموعة بروتوكولات لتشفير البيانات المنقولة عبر الشبكة، بما في ذلك شبكات الإنترنت. بينما تقتصر الوظيفة TLS على تشفير البيانات المستخدمة على تطبيق معين، مثل متصفح الإنترنت أو تطبيق البريد الإلكتروني، يقوم IPSec بتشفير جميع حزم IP أو حمولات حزم IP، مما يوفر نظام أمان أكثر تنوعًا. يعمل البروتوكول IPSec للجهاز في وضع النقل، الذي يتم فيه تشفير حمولات حزم IP. بهذه الخاصية، يمكن للجهاز التوصيل مباشرة بالكمبيوتر الموجود بنفس الشبكة الخاصة الافتراضية (VPN). تحقق من متطلبات النظام واضبط الإعدادات الضرورية على الكمبيوتر قبل ضبط الجهاز.
|
|
استعمال IPSec مع مرشّح (فلتر) عنوان IPيتم تطبيق إعدادات عامل تصفية عنوان IP قبل سياسات IPSec. تحديد عناوين IP لإعدادات جدار الحماية
|
ضبط إعدادات IPSec
قبل استعمال IPSec للاتصال المشفّر، يجب عليك تسجيل السياسات الأمنية (SP). تتكون سياسة أمنية من مجموعة الإعدادات الموصوفة أدناه. بعد تسجيل السياسات، حدد الأمر الذي ينطبق عليها.
مفتاح الاختيار
يقوم مفتاح الاختيار بتحديد الظروف الخاصة بحزم IP لاستخدام اتصال IPSec. تتضمن الظروف القابلة للاختيار عناوين IP وأرقام منافذ الجهاز والأجهزة التي سيتم الاتصال بها.
IKE
يقوم IKE بضبط IKEv1 المُستخدم لبروتوكول تبادل المفاتيح. لاحظ أن التعليمات تختلف تبعًا لطريقة المصادقة المختارة.
[Pre-Shared Key Method]
تستخدم طريقة المصادقة هذه كلمة مفتاحية شائعة، تُسمى المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى. قم بتمكين TLS لواجهة المستخدم عن بُعد قبل تحديد طريقة المصادقة هذه (تكوين المفتاح والشهادة لبروتوكول TLS).
تستخدم طريقة المصادقة هذه كلمة مفتاحية شائعة، تُسمى المفتاح المشترك، للاتصال بين الجهاز والأجهزة الأخرى. قم بتمكين TLS لواجهة المستخدم عن بُعد قبل تحديد طريقة المصادقة هذه (تكوين المفتاح والشهادة لبروتوكول TLS).
[Digital Signature Method]
يقوم الجهاز والأجهزة الأخرى بمصادقة بعضها عن طريق التحقق المتبادل لتوقيعاتها الرقمية. قم بإنشاء أو تثبيت المفتاح والشهادة مسبقًا (تسجيل المفتاح والشهادة لاتصال الشبكة).
يقوم الجهاز والأجهزة الأخرى بمصادقة بعضها عن طريق التحقق المتبادل لتوقيعاتها الرقمية. قم بإنشاء أو تثبيت المفتاح والشهادة مسبقًا (تسجيل المفتاح والشهادة لاتصال الشبكة).
AH/ESP
حدِّد الإعدادات AH/ESP، والتي تتم إضافتها إلى الحزم أثناء اتصال IPSec. يمكن استخدام AH و ESP في نفس الوقت. يمكنك أيضًا اختيار ما إذا كنت تريد تفعيل PFS لتشديد الأمان.
|
|
|
لمزيد من المعلومات حول العمليات الأساسية اللازم إجراؤها عند إعداد الجهاز باستخدام واجهة المستخدم عن بعد، راجع تعيين خيارات القائمة من واجهة المستخدم البعيدة.
|
1
ابدأ واجهة المستخدم عن بعد وقم بتسجيل الدخول في وضع مدير النظام. بدء تشغيل واجهة المستخدم عن بعد
2
انقر فوق [Settings/Registration] في المدخل. شاشة واجهة المستخدم عن بعد
3
حدد [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
انقر فوق [Edit].
5
حدد مربع الاختيار [Use IPSec] وانقر فوق [OK].
إذا كنت تريد أن يقوم الجهاز فقط باستقبال الحزم التي تنطبق على أحد السياسات الأمنية التي قمت بتحديدها في الخطوة أدناه، قم بإلغاء تحديد مربع الاختيار [Receive Non-Policy Packets].
6
انقر فوق [Register New Policy].
7
حدِّد إعدادات السياسة.
|
1
|
في مربع النص [Policy Name]، قم بإدخال حروفًا أبجدية ورقمية للاسم الذي تريد استخدامه لتعريف السياسة.
|
|
2
|
حدد مربع الاختيار [Enable Policy].
|
8
حدِّد إعدادات مفتاح الاختيار.
[Local Address]
انقر على زر الراديو لنوع عنوان IP الخاص بالجهاز لتطبيقه على السياسة.
انقر على زر الراديو لنوع عنوان IP الخاص بالجهاز لتطبيقه على السياسة.
|
[All IP Addresses]
|
اختره لاستعمال IPSec لجميع حزم IP.
|
|
[IPv4 Address]
|
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عنوان IPv4 الخاص بالجهاز.
|
|
[IPv6 Address]
|
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من أحد عناوين IPv6 الخاصة بالجهاز.
|
[Remote Address]
انقر على زر الراديو لنوع عنوان IP الخاص بالأجهزة الأخرى لتطبيقه على السياسة.
انقر على زر الراديو لنوع عنوان IP الخاص بالأجهزة الأخرى لتطبيقه على السياسة.
|
[All IP Addresses]
|
اختره لاستعمال IPSec لجميع حزم IP.
|
|
[All IPv4 Addresses]
|
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv4 الخاصة بالأجهزة الأخرى.
|
|
[All IPv6 Addresses]
|
اختره لاستعمال IPSec لجميع حزم IP التي تم إرسالها إلى أو استقبالها من عناوين IPv6 الخاصة بالأجهزة الأخرى.
|
|
[IPv4 Manual Settings]
|
قم باختياره لتحديد عنوان IPv4 مفرد أو مجموعة عناوين IPv4 لتطبيق IPSec. قم بإدخال العنوان IPv4 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
قم باختياره لتحديد عنوان IPv6 مفرد أو مجموعة عناوين IPv6 لتطبيق IPSec. قم بإدخال العنوان IPv6 (أو مجموعة العناوين) في مربع النص [Addresses to Set Manually].
|
[Addresses to Set Manually]
إذا تم اختيار [IPv4 Manual Settings] أو [IPv6 Manual Settings] للإعداد [Remote Address]، قم بإدخال عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إذا تم اختيار [IPv4 Manual Settings] أو [IPv6 Manual Settings] للإعداد [Remote Address]، قم بإدخال عنوان IP لتطبيق السياسة. يمكنك إدخال مجموعة عناوين عن طريق إدخال واصلة بين العناوين.
إدخال عناوين IP
|
الوصف
|
مثال
|
|
|
إدخال عنوان فردي
|
IPv4:
تحديد الأرقام بفترات. |
192.168.0.10
|
|
IPv6:
تحديد حروف أبجدية أو رقمية بعلامة النقطتين. |
fe80::10
|
|
|
تحديد مجموعة من العناوين
|
أدرج واصلة بين العناوين.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
عند تحديد عنوان IPv4 يدويًّا، يمكنك التعبير عن المدى باستخدام قناع الشبكة الفرعية. أدخِل قناع الشبكة الفرعية باستخدام الفترات الفاصلة بين الأرقام (مثال: "255.255.255.240").
عند تحديد عنوان IPv4 يدويًّا، يمكنك التعبير عن المدى باستخدام قناع الشبكة الفرعية. أدخِل قناع الشبكة الفرعية باستخدام الفترات الفاصلة بين الأرقام (مثال: "255.255.255.240").
[Prefix Length]
تحديد مجموعة عناوين IPv6 يدويًّا يُمَكِّنك أيضًا من تحديد المجموعة باستخدام البادئة. أدخِل مجموعة بين صفر و ١٢٨ كطول للبادئة.
تحديد مجموعة عناوين IPv6 يدويًّا يُمَكِّنك أيضًا من تحديد المجموعة باستخدام البادئة. أدخِل مجموعة بين صفر و ١٢٨ كطول للبادئة.
[Local Port]/[Remote Port]
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو WSD، قم بإدخال رقم المنفذ الملائم للبروتوكول لتحديد ما إذا كنت تريد استخدام IPSec.
إذا كنت تريد إنشاء سياسات منفصلة لكل بروتوكول، مثل HTTP أو WSD، قم بإدخال رقم المنفذ الملائم للبروتوكول لتحديد ما إذا كنت تريد استخدام IPSec.
لا يتم تطبيق IPSec للحزم التالية
الاسترجاع والبث المتعدد وحزم البث
حزم IKE (استخدام UDP على المنفذ ٥٠٠)
حزم استمالة الجار وإعلان الجار ICMPv6
9
حدِّد إعدادات IKE.
[IKE Mode]
يتم عرض الوضع المُستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المتطاول.
يتم عرض الوضع المُستخدم لبروتوكول تبادل المفاتيح. يدعم الجهاز الوضع الرئيسي، وليس الوضع المتطاول.
[Authentication Method]
حدد [Pre-Shared Key Method] أو [Digital Signature Method] للطريقة المستخدمة عند مصادقة الجهاز. يجب عليك تمكين TLS لواجهة المستخدم عن بعد قبل اختيار [Pre-Shared Key Method]. يجب عليك إنشاء أو تثبيت المفتاح والشهادة قبل اختيار [Digital Signature Method]. تكوين المفتاح والشهادة لبروتوكول TLS
حدد [Pre-Shared Key Method] أو [Digital Signature Method] للطريقة المستخدمة عند مصادقة الجهاز. يجب عليك تمكين TLS لواجهة المستخدم عن بعد قبل اختيار [Pre-Shared Key Method]. يجب عليك إنشاء أو تثبيت المفتاح والشهادة قبل اختيار [Digital Signature Method]. تكوين المفتاح والشهادة لبروتوكول TLS
[Valid for]
حدد مدى طول الدورة لـ IKE SA (ISAKMP SA). أدخِل الزمن بالدقائق.
حدد مدى طول الدورة لـ IKE SA (ISAKMP SA). أدخِل الزمن بالدقائق.
[Authentication]/[Encryption]/[DH Group]
اختر لوغاريتمًا من القائمة المنسدلة. يتم استخدام كل لوغاريتم في تبادل المفاتيح.
اختر لوغاريتمًا من القائمة المنسدلة. يتم استخدام كل لوغاريتم في تبادل المفاتيح.
|
[Authentication]
|
اختر دالة اللوغاريتم.
|
|
[Encryption]
|
اختر لوغاريتم التشفير.
|
|
[DH Group]
|
اختر المجموعة Diffie-Hellman، التي تقوم بتحديد طول المفتاح.
|
مصادقة جهاز باستخدام مفتاح مشترك مسبق
|
1
|
انقر على زر الراديو [Pre-Shared Key Method] الخاص بـ [Authentication Method] ثم انقر على [Shared Key Settings].
|
|
2
|
قم بإدخال حروفًا أبجدية ورقمية للمفتاح المشترك المسبق وانقر فوق [OK].
|
|
3
|
حدِّد الإعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
|
مصادقة جهاز باستخدام طريقة التوقيع الرقمي
|
1
|
انقر على زر الراديو [Digital Signature Method] الخاص بـ [Authentication Method] ثم انقر على [Key and Certificate].
|
|
2
|
انقر فوق [Register Default Key] على الجانب الأيمن من المفتاح والشهادة اللذين تريد استخدامهما.
عرض تفاصيل شهادة
يمكنك التحقق من تفاصيل الشهادة أو التحقق من الشهادة بالنقر فوق رابط النص المطابق الموجود ضمن [Key Name]، أو رمز الشهادة.
|
|
3
|
حدِّد الإعدادات [Valid for] و [Authentication]/[Encryption]/[DH Group].
|
10
حدِّد الإعدادات IPSec Network.
[Use PFS]
حدِّد مربع الاختيار لتمكين Perfect Forward Secrecy (PFS) لمفاتيح دورة IPSec. تمكين PFS يحسّن المستوى الأمني أثناء زيادة الحمولة على الاتصال. تأكد من تمكين PFS أيضًا للأجهزة الأخرى.
حدِّد مربع الاختيار لتمكين Perfect Forward Secrecy (PFS) لمفاتيح دورة IPSec. تمكين PFS يحسّن المستوى الأمني أثناء زيادة الحمولة على الاتصال. تأكد من تمكين PFS أيضًا للأجهزة الأخرى.
[Specify by Time]/[Specify by Size]
اضبط الظروف الخاصة بإنهاء الدورة لـ IPSec SA. يتم استخدام IPSec SA كنفق اتصال. قم باختيار أحد أو كلا مربعي الاختيار حسب الضرورة. إذا تم تحديد كلا مربعي الاختيار، يتم إنهاء دورة IPSec SA عند استيفاء أحد الشروط.
اضبط الظروف الخاصة بإنهاء الدورة لـ IPSec SA. يتم استخدام IPSec SA كنفق اتصال. قم باختيار أحد أو كلا مربعي الاختيار حسب الضرورة. إذا تم تحديد كلا مربعي الاختيار، يتم إنهاء دورة IPSec SA عند استيفاء أحد الشروط.
|
[Specify by Time]
|
أدخل زمنًا بالدقائق لتحديد مدى طول دورة.
|
|
[Specify by Size]
|
أدخل حجمًا بوحدة الميغابايت لتحديد حجم البيانات التي تريد نقلها في دورة واحدة.
|
[Select Algorithm]
حدِّد مربع (مربعات) الاختيار [ESP] أو [ESP (AES-GCM)] أو [AH (SHA1)] اعتمادًا على ترويسة IPSec واللوغاريتم المُستخدم. AES-GCM هو لوغاريتم يُستخدم لكل من المصادقة والتشفير. إذا تم اختيار [ESP]، فاختر أيضًا لوغاريتمات للمصادقة والتشفير من القائمتين المنبثقتين للأسفل [ESP Authentication] و [ESP Encryption].
حدِّد مربع (مربعات) الاختيار [ESP] أو [ESP (AES-GCM)] أو [AH (SHA1)] اعتمادًا على ترويسة IPSec واللوغاريتم المُستخدم. AES-GCM هو لوغاريتم يُستخدم لكل من المصادقة والتشفير. إذا تم اختيار [ESP]، فاختر أيضًا لوغاريتمات للمصادقة والتشفير من القائمتين المنبثقتين للأسفل [ESP Authentication] و [ESP Encryption].
|
[ESP Authentication]
|
لتمكين مصادقة ESP، حدِّد [SHA1] لدالة اللوغاريتم. حدِّد [Do Not Use] إذا كنت تريد إبطال مصادقة ESP.
|
|
[ESP Encryption]
|
حدِّد اللوغاريتم المشفّر الخاص بـ ESP. يمكنك تحديد [NULL] إذا كنت لا تريد تحديد اللوغاريتم، أو تحديد [Do Not Use] إذا كنت تريد إبطال تشفير ESP.
|
[Connection Mode]
يتم عرض وضع التوصيل الخاص بـ IPSec. يدعم الجهاز وضع النقل، والذي يتم فيه تشفير حمولات حزم IP. وضع النفق، الذي يتم فيه تغليف حزم IP (الترويسات والحمولات) بأكملها، غير متوفر.
يتم عرض وضع التوصيل الخاص بـ IPSec. يدعم الجهاز وضع النقل، والذي يتم فيه تشفير حمولات حزم IP. وضع النفق، الذي يتم فيه تغليف حزم IP (الترويسات والحمولات) بأكملها، غير متوفر.
11
انقر فوق [OK].
إذا كنت تريد تسجيل سياسة أمنية إضافية، فقم بالرجوع إلى الخطوة ٦.
12
قم بترتيب ترتيب السياسات المدرجة أسفل [Registered IPSec Policies].
يتم تطبيق السياسات من السياسة الموجودة في أعلى موضع إلى السياسة الأدنى. انقر على [Up] أو [Down] لتحرير سياسة لأعلى أو أسفل الترتيب.
تحرير سياسة
انقر رابط النص المطابق أسفل [Policy Name] لشاشة التعديل.
حذف سياسة
انقر على [Delete] على الجانب الأيمن من اسم السياسة الذي تريد حذفه انقر على [موافق (OK)].
انقر على [موافق (OK)].13
أعِد تشغيل الجهاز.
أوقِف تشغيل الجهاز، وانتظر لمدة ١٠ ثوانٍ على الأقل، ثم شَغِّل الجهاز مرة أخرى.
|
|
استخدام لوحة التشغيليمكنك أيضًا تمكين أو تعطيل اتصال IPSec من <القائمة (Menu)> في الشاشة الرئيسية (Home). <استخدام IPSec (Use IPSec)>
|