تكوين شبكة VPN للوصول عن بعد للعميل الآمن (AnyConnect) على FTD

خيارات التنزيل

  • PDF     (1.5 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٦ يونيو ٢٠٢٦
معرّف المستند:212424

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند تكوين شبكة VPN للوصول عن بعد للعميل الآمن (AnyConnect) على الدفاع الآمن ضد تهديد جدار الحماية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • المعرفة الأساسية للشبكات الخاصة الظاهرية (VPN) و TLS و IKEv2
  • المصادقة والتفويض والمحاسبة (AAA) الأساسية ومعرفة RADIUS
  • التجربة مع مركز إدارة جدار الحماية الآمن

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • الدفاع ضد تهديد جدار الحماية الآمن (SFTD) 7.2.5
  • مركز إدارة جدار الحماية الآمن (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يقدم هذا المستند مثالا للتكوين الخاص بالإصدار 7.2.5 من "حماية تهديد جدار الحماية الآمن (FTD)" والإصدارات الأحدث، والذي يسمح لشبكة VPN للوصول عن بعد باستخدام أمان طبقة النقل (TLS) والإصدار 2 من تبادل مفتاح الإنترنت (IKEv2). كعميل، يمكن إستخدام Secure Client (AnyConnect)، وهو مدعوم على أنظمة أساسية متعددة.

التكوين

1 - المتطلبات الأساسية

للانتقال عبر معالج "الوصول عن بعد" في "مركز إدارة جدار الحماية الآمن":

  • إنشاء شهادة تستخدم لمصادقة الخادم.
  • قم بتكوين خادم RADIUS أو LDAP لمصادقة المستخدم.
  • قم بإنشاء مجموعة من العناوين لمستخدمي VPN.
  • تحميل صور AnyConnect لأنظمة أساسية مختلفة.

أ) إستيراد شهادة SSL

تعد الشهادات ضرورية عند تكوين "العميل الآمن". يجب أن تحتوي الشهادة على ملحق "الاسم البديل للموضوع" مع اسم DNS و/أو عنوان IP لتجنب الأخطاء في مستعرضات الويب.

ملاحظة: يتمتع مستخدمو Cisco المسجلون فقط بالوصول إلى الأدوات الداخلية ومعلومات الخطأ.

هناك قيود على التسجيل اليدوي للشهادة:

  • في SFTD، تحتاج إلى شهادة CA قبل إنشاء CSR.
  • إذا تم إنشاء CSR خارجيا، فإن الطريقة اليدوية تفشل، لذلك، يجب إستخدام طريقة مختلفة (PKCS12).

هناك العديد من الطرق للحصول على شهادة على جهاز SFTD، ومع ذلك، فإن الطريقة الآمنة والسهلة هي إنشاء طلب توقيع شهادة (CSR)، وتوقيعه باستخدام مرجع مصدق (CA)، ثم إستيراد الشهادة الصادرة للمفتاح العام، والتي كانت في CSR.

خطوات الإكمال:

  • انتقل إلى الكائنات > إدارة الكائن > PKI > التسجيل في المحرك، انقر فوق إضافة تسجيل الشهادة.
  • حدد نوع التسجيل ولصق شهادة المرجع المصدق (CA) (الشهادة المستخدمة لتوقيع CSR).

CA Certificate Import

  • ثم، انتقل إلى علامة التبويب الثانية وحدد FQDN مخصص وقم بتعبئة كل الحقول الضرورية، على سبيل المثال:

Certificate Parameters

  • في علامة التبويب الثالثة، حدد نوع المفتاح، أختر الاسم والحجم. بالنسبة إلى RSA، تعد وحدات بت 2048 كحد أدنى.
  • انقر فوق حفظ وتصفح إلى الأجهزة > الشهادات > إضافة.
  • ثم حدد الجهاز، وتحت تسجيل CERT، حدد TrustPoint التي قمت بإنشائها، وانقر فوق إضافة:

Add New Certificate

  • فيما بعد، وبجوار اسم TrustPoint، انقر فوق ID Icon الرمز، ثم نعم، وبعد ذلك، انسخ CSR إلى CA وتوقيع. يجب أن تكون للشهادة سمات مماثلة لخادم HTTPS عادي.
  • بعد أن تستلم الشهادة من المرجع المصدق بتنسيق base64، حدد إستعراض شهادة الهوية، حدد من القرص وانقر إستيراد. وعندما ينجح ذلك، ترون:

Certificate List


ب) تكوين خادم RADIUS

  • انتقل إلى الكائنات > إدارة الكائن > مجموعة خوادم RADIUS > إضافة مجموعة خوادم RADIUS > +.
  • املأ الاسم وأضفت عنوان IP مع السر المشترك وانقر حفظ:

RADIUS Server Properties

  • بعد ذلك، يمكنك رؤية الخادم في القائمة:

RADIUS Server List

ج) إنشاء مجموعة من العناوين لمستخدمي VPN

  • انتقل إلى الكائنات > إدارة الكائن > مجموعات العناوين > تجمعات IPv4 > إضافة تجمعات IPv4.
  • أدخل الاسم والنطاق، القناع غير مطلوب: 

Address Pool Properties

د) إنشاء ملف تخصيص XML

  • قم بتنزيل محرر ملفات التعريف من موقع Cisco وافتحه.
  • انتقل إلى قائمة الخوادم > إضافة... 
  • دخلت العرض إسم وFQDN. يمكنك رؤية الإدخالات في قائمة الخوادم:

Profile Editor Server List

  • انقر فوق موافق وملف > حفظ باسم...  

ه) تحميل صور AnyConnect

  • قم بتنزيل صور pkg من موقع Cisco.
  • انتقل إلى كائنات > إدارة الكائن > VPN > ملف AnyConnect > إضافة ملف AnyConnect.
  • اكتب الاسم وحدد ملف PKG من القرص، انقر حفظ:

Secure Client Image Import Form

  • أضف المزيد من الحزم بناء على متطلباتك الخاصة.

2. معالج الوصول عن بعد

  • انتقل إلى الأجهزة > VPN>الوصول عن بعد>إضافة تكوين جديد.
  • قم بتسمية ملف التعريف وحدد جهاز FTD:

Remote Access Wizard Step 1

  • في خطوة ملف تعريف الاتصال، اكتب اسم ملف تعريف الاتصال، حدد خادم المصادقة وتجمعات العناوين التي قمت بإنشائها مسبقا:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • انقر على تحرير نهج المجموعة وعلى علامة التبويب AnyConnect ، حدد ملف تعريف العميل، ثم انقر على حفظ:

Profile Selection in Group Policy Properties

  • في الصفحة التالية، حدد صور AnyConnect وانقر بعد ذلك.

Secure Endpoint Image

  • في الشاشة التالية، حدد واجهة الشبكة وشهادات الجهاز:

Network Interface Selection

  • عند تكوين كل شيء بشكل صحيح، يمكنك النقر فوق إنهاء ثم نشر:

The Last Step in Remote Access Wizard

  • يؤدي هذا إلى نسخ التكوين بالكامل مع الشهادات وحزم AnyConnect إلى جهاز FTD.

الاتصال

للاتصال ب FTD، يجب فتح مستعرض، واكتب اسم DNS أو عنوان IP الذي يشير إلى الواجهة الخارجية. بعد ذلك، سجل الدخول باستخدام بيانات الاعتماد المخزنة في خادم RADIUS وقم بتنفيذ الخطوات على الشاشة. بمجرد تثبيت AnyConnect، يجب عليك إدخال نفس العنوان في نافذة AnyConnect، ثم انقر فوق Connect.

القيود

حاليا، غير مدعوم على FTD، ولكنه متوفر على ASA:

  • لا يدعم FTDposture VPN تغيير سياسة المجموعة من خلال التفويض الديناميكي أو تغيير RADIUS للتخويل (CoA)

  • تخصيص AnyConnect (التحسين: معرف تصحيح الأخطاء من Cisco CSCvq87631)
  • البرامج النصية AnyConnect (تحسين: معرف تصحيح الأخطاء من Cisco CSCvt58044)
  • تعريب AnyConnect
  • تكامل WSA
  • خريطة التشفير الديناميكية IKEv2 المتزامنة ل RA و L2L VPN (التحسين: معرف تصحيح الأخطاء من Cisco CSCvr52047)
  • TACACS، Kerberos - مصادقة KCD و RSA SDI (تحسين: معرف تصحيح الأخطاء من Cisco CSCvx55859)
  • وكيل المستعرض

اعتبارات أمنية

بشكل افتراضي، يتم تعطيل السماح-vpnoption لاتصال sysopt. وهذا يعني أنه يجب عليك السماح بحركة المرور التي تأتي من تجمع العناوين على واجهة خارجية عبر نهج التحكم في الوصول. وعلى الرغم من إضافة قاعدة التحكم في الوصول أو ما قبل التصفية للسماح بحركة مرور VPN فقط، إذا حدثت حركة مرور نص واضح لتطابق معايير القاعدة، فإنها مسموح بها بشكل خاطئ.

وهناك نهجان لمعالجة هذه المشكلة. الأولى، أن خيار TACs الموصى به هو تمكين مكافحة الانتحال (على ASA كانت تعرف باسم إعادة توجيه المسار العكسي للبث الأحادي - uRPF) للواجهة الخارجية، وثانيا، لتمكين اتصال sysopt يسمح VPN بتجاوز فحص الشفق بالكامل. يسمح الخيار الأول فحص عادي لحركة المرور التي تنتقل إلى ومن مستخدمي VPN.

أ) تمكين uRPF

  • قم بإنشاء مسار خال للشبكة المستخدمة لمستخدمي الوصول عن بعد، والذي تم تعريفه في القسم C. انتقل إلى الأجهزة > إدارة الأجهزة > تحرير > التوجيه > المسار الثابت وحدد إضافة مسار.

New Static Route Properties

  • بعد ذلك، قم بتمكين uRPF على الواجهة التي تنتهي فيها إتصالات VPN. للعثور على هذا، انتقل إلى الأجهزة > إدارة الأجهزة > تحرير > الواجهات > تحرير > متقدم > تكوين الأمان > تمكين مكافحة الانتحال. 

Edit Physical Interface

عند اتصال مستخدم، يتم تثبيت المسار 32 بت لذلك المستخدم في جدول التوجيه. تم الحصول على حركة مرور نص واضح من عناوين IP الأخرى غير المستخدمة من التجمع الذي يتم إسقاطه بواسطة uRFP. لعرض وصف مكافحة الانتحال، ارجع إلى تعيين معلمات تكوين الأمان على الدفاع عن تهديد جدار الحماية.

ب) تمكين خيار السماح باتصال sysopt VPN

  • هناك خيار أن يتم الإكمال مع المعالج أو تحت الأجهزة > VPN>الوصول عن بعد > ملف تعريف VPN>واجهات الوصول.

Bypass Access Control Policy Option Selected

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
7.0
16-Jun-2026
التدقيق الإملائي المحدث، المسافات، بعض القواعد، وتغيير طفيف في المقدمة.
6.0
05-Dec-2024
نص بديل محدث، أهداف الرابط، القواعد، والتنسيق.
5.0
25-Nov-2024
تغيير في اصطلاح التسمية وعكس التغييرات في واجهة المستخدم الرسومية
4.0
05-Dec-2023
تقويم
3.0
16-Dec-2022
أعد الكتابة. تحديث التنسيق. إعادة الاعتماد.
2.0
08-Nov-2022
تم تحديث التنسيق والتصحيح الإملائيةتصحيح التدقيق الإملائي
1.0
07-Nov-2017
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Radoslaw Olszowy
    Technical Consulting Engineer

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات