تكوين شبكة VPN للوصول عن بعد للعميل الآمن (AnyConnect) على FTD

خيارات التنزيل

  • PDF     (1.5 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.5 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (958.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٥ نوفمبر ٢٠٢٤
معرّف المستند:212424

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين لشبكة VPN الخاصة بالوصول عن بعد للعميل الآمن (AnyConnect) على الدفاع الآمن ضد تهديد جدار الحماية.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • المعرفة الأساسية للشبكات الخاصة الظاهرية (VPN) و TLS و IKEv2،
    • المصادقة والتفويض والمحاسبة (AAA) الأساسية ومعرفة RADIUS،
    • تجربة المركز الآمن لإدارة عمليات الحماية من الحرائق.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • الدفاع ضد تهديد جدار الحماية الآمن (SFTD) 7.2.5
    • مركز إدارة جدار الحماية الآمن (SFMC) 7.2.9
    • Secure Client (AnyConnect) 5.1.6 

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يقدم هذا المستند مثالا للتكوين الخاص بالإصدار 7.2.5 من "حماية تهديد جدار الحماية الآمن (FTD)" والإصدارات الأحدث، والذي يسمح لشبكة VPN للوصول عن بعد باستخدام أمان طبقة النقل (TLS) والإصدار 2 من تبادل مفتاح الإنترنت (IKEv2). كعميل، يمكن إستخدام Secure Client (AnyConnect)، وهو مدعوم على أنظمة أساسية متعددة.

    التكوين

    1 - المتطلبات الأساسية

    للانتقال عبر معالج "الوصول عن بعد" في "مركز إدارة جدار الحماية الآمن":

    • إنشاء شهادة تستخدم لمصادقة الخادم.
    • قم بتكوين خادم RADIUS أو LDAP لمصادقة المستخدم.
    • قم بإنشاء تجمع من العناوين لمستخدمي VPN.
    • تحميل صور AnyConnect لأنظمة أساسية مختلفة.

    أ) إستيراد شهادة SSL


    تعد الشهادات ضرورية عند تكوين "العميل الآمن". يجب أن تحتوي الشهادة على ملحق "الاسم البديل للموضوع" مع اسم DNS و/أو عنوان IP لتجنب الأخطاء في مستعرضات الويب.

    ملاحظة: يتمتع مستخدمو Cisco المسجلون فقط بالوصول إلى الأدوات الداخلية ومعلومات الخطأ.

    هناك قيود على التسجيل اليدوي للشهادة:

    - في SFTD تحتاج إلى شهادة CA قبل إنشاء CSR.

    - إذا تم إنشاء CSR خارجيا، فإن الطريقة اليدوية تفشل، فيجب إستخدام طريقة مختلفة (PKCS12).

    هناك العديد من الطرق للحصول على شهادة على جهاز SFTD، ولكن الطريقة الآمنة والسهلة هي إنشاء طلب توقيع شهادة (CSR)، وتوقيعه باستخدام مرجع مصدق (CA) ثم إستيراد الشهادة الصادرة للمفتاح العام، والتي كانت في CSR. وإليك طريقة القيام بذلك:

    • انتقل إلىObjects > Object Management > PKI > Cert Enrollment، انقر فوقAdd Cert Enrollment.
    • تحديدEnrollment Typeولصق شهادة المرجع المصدق (CA) (الشهادة المستخدمة لتوقيع CSR).

    CA certificate import

    • ثم انتقل إلى علامة التبويب الثانية وحددCustom FQDNوتعبئة كل الحقول الضرورية، على سبيل المثال:

    Certificate parameters

    • في علامة التبويب الثالثة، حددKey Type، أختر الاسم والحجم. بالنسبة إلى RSA، تعد وحدات بت 2048 كحد أدنى.
    • انقرSaveوانتقل إلىDevices > Certificates > Add.
    • ثم حددDevice، وتحت تحديدCert Enrollment TrustPoint التي قمت بإنشائها، انقرAdd:

    Add new certificate

    • فيما بعد، وبجوار اسم TrustPoint، انقر فوق ID icon ثمYesالأيقونة، وبعد ذلك نسخ CSR إلى CA وتوقيعه. يجب أن يكون للشهادة سمات مثل خادم HTTPS العادي.
    • بعد أن تستلم الشهادة من CA بتنسيق base64، قم بتحديدهاBrowse Identity Certificate، وتحديدها من القرص وانقرImport. وعندما ينجح ذلك، ترون:

    Certificate list


    ب) تكوين خادم RADIUS

    • انتقل إلى Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +.
    • املأ الاسم وأضف عنوان IP مع سر مشترك، انقرSave:

    RADIUS server properties

    • وبعد هيك بتلاقي السيرفر على القائمة:

    RADIUS server list

    ج) إنشاء مجموعة من العناوين لمستخدمي VPN

    • الانتقال إلى Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
    • وضع الاسم والنطاق، والقناع غير مطلوب: 

    Address pool properties

    د) إنشاء ملف تخصيص XML

    • قم بتنزيل محرر ملفات التعريف من موقع Cisco وافتحه.
    • الانتقال إلى Server List > Add...
    • وضع اسم العرض و FQDN. يمكنك مشاهدة الإدخالات في قائمة الخوادم:

    Profile editor server list

    • انقرOKو File > Save as... 

    ه) تحميل صور AnyConnect

    • تنزيل صور pkg من موقع Cisco.
    • انتقل إلىObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • اكتب الاسم وحدد ملف PKG من القرص، انقرSave:

    Secure Client image import form

    • أضف المزيد من الحزم بناء على متطلباتك الخاصة.

    2. معالج الوصول عن بعد

    • انتقل إلىDevices > VPN > Remote Access > Add a new configuration.
    • قم بتسمية ملف التعريف وتحديد جهاز FTD:

    Remote access wizard step 1

    • في خطوة ملف تعريف الاتصال، اكتبConnection Profile Name، حدد الأمر Authentication Server Address Poolsالذي قمت بإنشائه سابقا:

    Remote access wizard step 2

    Client address assignment and group policy selection

    • انقر فوق Edit Group Policy أو على علامة التبويب AnyConnect، حددClient Profile، ثم انقرSave:

    Profile selection in group policy properties

    • في الصفحة التالية، حدد صور AnyConnect وانقرNext.

    Secure Endpoint image

    • في الشاشة التالية، حدد Network Interface and Device Certificates:

    Network interface selection

    • عند تكوين كل شيء بشكل صحيح، يمكنك النقرFinishثمDeploy:

    The last step in Remote Access wizard

    • يؤدي هذا إلى نسخ التكوين بالكامل مع الشهادات وحزم AnyConnect إلى جهاز FTD.

    الاتصال

    للاتصال ب FTD تحتاج إلى فتح مستعرض، اكتب اسم DNS أو عنوان IP الذي يشير إلى الواجهة الخارجية. ثم يمكنك تسجيل الدخول باستخدام بيانات الاعتماد المخزنة في خادم RADIUS وتنفيذ التعليمات على الشاشة. بمجرد تثبيت AnyConnect، تحتاج بعد ذلك إلى وضع العنوان نفسه في نافذة AnyConnect وانقر فوقConnect.

    القيود

    غير مدعوم حاليا على FTD، ولكنه متوفر على ASA:

    • لا يدعم FTDposture VPN تغيير سياسة المجموعة من خلال التفويض الديناميكي أو تغيير RADIUS للتخويل (CoA).

    • تخصيص AnyConnect (التحسين: معرف تصحيح الأخطاء من Cisco CSCvq87631)
    • برامج AnyConnect النصية (تحسين: معرف تصحيح الأخطاء من Cisco CSCvt58044).
    • تعريب AnyConnect.
    • تكامل WSA.
    • خريطة التشفير الديناميكية IKEv2 المتزامنة ل RA و L2L VPN (التحسين: معرف تصحيح الأخطاء من Cisco CSCvr52047).
    • TACACS، Kerberos - مصادقة KCD و RSA SDI (تحسين: معرف تصحيح الأخطاء من Cisco CSCvx55859).
    • وكيل المستعرض.

    اعتبارات أمنية

    بشكل افتراضي، فإن sysopt connection permit-vpnالخيار معطل. وهذا يعني أنك بحاجة إلى السماح بحركة المرور التي تأتي من تجمع العناوين على الواجهة الخارجية عبر نهج التحكم في الوصول. وعلى الرغم من إضافة قاعدة التحكم في الوصول أو ما قبل التصفية للسماح بحركة مرور VPN فقط، إذا حدثت حركة مرور نص واضح لتطابق معايير القاعدة، فإنها مسموح بها بشكل خاطئ.

    وهناك نهجان لمعالجة هذه المشكلة. أولا، خيار TAC الموصى به، هو تمكين مكافحة الانتحال (على ASA كان يعرف باسم إعادة توجيه المسار العكسي للبث الأحادي - uRPF) للواجهة الخارجية، وثانيا، لتمكين sysopt connection permit-vpnتجاوز فحص الشفق بالكامل. يسمح الخيار الأول فحص عادي لحركة المرور التي تنتقل إلى ومن مستخدمي VPN.

    أ) تمكين uRPF

    • إنشاء مسار خال للشبكة المستخدمة لمستخدمي الوصول عن بعد، محدد في القسم C. انتقل إلىDevices > Device Management > Edit > Routing > Static Route وحدد Add route

    New static route properties

    • بعد ذلك، قم بتمكين uRPF على الواجهة التي تنتهي فيها إتصالات VPN. للعثور على هذا، انتقل إلى Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit physical interface

    عند اتصال مستخدم، يتم تثبيت المسار 32 بت لذلك المستخدم في جدول التوجيه. يتم إسقاط حركة مرور النص الواضح التي يتم الحصول عليها من عناوين IP الأخرى غير المستخدمة من التجمع بواسطة uRFP. للاطلاع على وصف Anti-Spoofingارجع إلى تعيين معلمات تكوين الأمان على الدفاع عن تهديد جدار الحماية.

    ب) خيارsysopt connection permit-vpnالتمكين

    • هناك خيار للقيام بذلك مع المعالج أو تحت Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Bypass Access Control policy option selected

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    5.0
    25-Nov-2024
    تغيير في اصطلاح التسمية وعكس التغييرات في واجهة المستخدم الرسومية
    4.0
    05-Dec-2023
    تقويم
    3.0
    16-Dec-2022
    أعد الكتابة. تحديث التنسيق. إعادة الاعتماد.
    2.0
    08-Nov-2022
    تم تحديث التنسيق والتصحيح الإملائيةتصحيح التدقيق الإملائي
    1.0
    07-Nov-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Radoslaw Olszowy
      Cisco Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات