تكوين الوصول الآمن باستخدام جدار حماية Fortigate

خيارات التنزيل

  • PDF     (2.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٤ يونيو ٢٠٢٦
معرّف المستند:222270

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يوضح هذا المستند كيفية تكوين الوصول الآمن باستخدام جدار حماية Fortigate.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • جدار حماية الإصدار 7.4.x من Fortigate
  • الوصول الآمن
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA
  • زتنا بدون زوايا

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى: 

  • جدار حماية الإصدار 7.4.x من Fortigate
  • الوصول الآمن
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

Cisco Secure Access Fortinet Image

صممت Cisco Secure Access لحماية التطبيقات الخاصة وتوفير الوصول إليها، على أساس محلي وقائمة على الشبكات. كما أنه يضمن الاتصال من الشبكة إلى الإنترنت. ويتم ذلك من خلال أساليب وطبقات أمنية متعددة، تهدف جميعها إلى الحفاظ على المعلومات أثناء الوصول إليها عبر السحابة.

التكوين

تكوين شبكة VPN على الوصول الآمن

1. انتقل إلى لوحة الإدارة الخاصة ب Secure Access.

Network Tunnel Groups

2. انقر فوق Connect>إتصالات الشبكة>مجموعات أنفاق الشبكة.

Network Connections and Network Tunnel Groups

3. تحت مجموعات أنفاق الشبكة، انقر فوق +إضافة.

+Add Network Tunnel Groups

4. تكوين اسم مجموعة النفق والمنطقة ونوع الجهاز.

5. انقر فوق التالي.

Naming Convention for Tunnel Group

note-icon

ملاحظة: أختر المنطقة الأقرب لموقع جدار الحماية.

6. قم بتكوين تنسيق معرف النفق وعبارة المرور.

7. انقر فوق التالي.

Tunnel ID and Passphrase

8. قم بتكوين نطاقات عناوين IP أو البيئات المضيفة التي قمت بتكوينها على الشبكة وتريد تمرير حركة المرور من خلال الوصول الآمن.

9. انقر فوق حفظ.

Routing Options and Network Overlaps

10. بمجرد الحفظ، يتم عرض المعلومات الموجودة على النفق. احفظ هذه المعلومات للخطوة التالية؛ قم بتكوين موقع VPN إلى موقع على حصن.

بيانات النفق

Data for Tunnel Setup

تكوين موقع VPN إلى موقع على Fortigate

1. انتقل إلى لوحة معلومات Fortigate.

2. انقر VPN > IPsec Tunnels.

VPN IPsec Tunnels

3. انقر Create New > IPsec Tunnels.

Create New IPsec Tunnel

4. انقر فوق مخصص، ثم قم بتكوين اسم، ثم انقر فوق التالي.

Custom VPN Setup

في الصورة التالية، أنت يستطيع رأيت كيف أن يشكل العملية إعداد ل Network.

الشبكة

Advanced Configurations

الشبكة

  • إصدار IP: IPv4
  • البوابة البعيدة: عنوان IP الثابت
  • عنوان IP: إستخدام عنوان IP الخاص بعنوان IP الأساسي لمركز بيانات IP، المتوفر في بيانات النفق
  • الواجهة: أختر واجهة WAN التي تخطط لاستخدامها لإنشاء النفق
  • البوابة المحلية: تعطيل كافتراضي
  • mode config: تعطيل كافتراضي
  • مناظرة NAT: تمكين
  • تردد رسائل تنشيط الاتصال: 10
  • اكتشاف النظير غير الصحيح: في وضع السكون
  • عدد محاولات DPD: 3
  • الفاصل الزمني لإعادة محاولة DPD : 10
  • تصحيح أخطاء إعادة التوجيه: عدم تحديد أي مربع
  • متقدم...: راجع المرحلة 2 لخطوات التكوين

الآن، قم بتكوين IKE Authentication.

المصادقة

Authentication Pre-Shared Key

  • المصادقة 
    • الطريقة: مفتاح مشترك مسبقا كافتراضي
    • مفتاح مشترك مسبقا: أستخدم عبارة المرور المتوفرة في خطوة بيانات النفق 
  • آيك 
    • الإصدار: أختر الإصدار 2
note-icon

ملاحظة: يدعم الوصول الآمن الإصدار الثاني من بروتوكول IKEv فقط.

بعد ذلك، قم بتكوين Phase 1 Proposal.

اقتراح المرحلة الأولى

Phase 1 Proposal Configuration Settings

  • اقتراح المرحلة الأولى 
    • التشفير: أختر AES256
    • المصادقة: أختر SHA256
    • مجموعات Diffie-Hellman: فقط أختر20، يمكنك أن تواجه مشاكل لاحقا إذا أخترت المضاعفات
    • مدة بقاء المفتاح (بالثواني): 86400 كقيمة افتراضية
    • المعرف المحلي: إستخدام معرف النفق الأساسي، المحدد في خطوة بيانات النفق 

قم الآن بتكوين مقترح المرحلة 2.

اقتراح المرحلة الثانية

Phase 2 Configuration Settings - Subnet

  • المرحلة الجديدة 2
    • الاسم: المغادرة كقيمة افتراضية (تطابق هذه القيمة اسم اتصال VPN الخاص بك)
    • العنوان المحلي: المغادرة كإعداد افتراضي (0.0.0.0/0.0.0.0)
    • العنوان البعيد: الوضع الافتراضي (0.0.0.0/0.0.0.0)
  • متقدم 
    • التشفير: أختر AES128
    • المصادقة: أختر SHA256
    • تمكين اكتشاف إعادة التشغيل: ترك كافتراضي (ممكن)
    • تمكين السرية التامة لإعادة التوجيه (PFS إلغاء تحديد خانة الاختيار
    • المنفذ المحلي: الخروج كافتراضي (تمكين)
    • المنفذ البعيد Remote Port: ترك كافتراضي (ممكن)
    • البروتوكول: الخروج كافتراضي (ممكن)
    • التفاوض التلقائي: الخروج كافتراضي (بدون علامة)
    • إبقاء المفتاح التلقائي حيا: ترك كافتراضي (بدون علامة)
    • مدة بقاء المفتاح: ترك كافتراضي (بالثواني)
    • ثوان: مغادرة كافتراضي (43200)

بعد ذلك، انقر فوق موافق. سيتم إنشاء الشبكة الخاصة الظاهرية (VPN) باستخدام "الوصول الآمن" ويمكنك المتابعة بالخطوة التالية؛ قم بتكوين واجهة النفق.

WAN

تكوين واجهة النفق

بعد إنشاء النفق، تعرض واجهة جديدة خلف المنفذ الذي تستخدمه كواجهة WAN للاتصال بالوصول الآمن. 

1. للتحقق من ذلك، انتقل إلى Network > Interfaces.

FortiGate Interface

2. قم بتوسيع المنفذ الذي تستخدمه للاتصال بالوصول الآمن؛ في هذه الحالة، القارنWAN.

WAN - Physical Interface + CSA - Tunnel Interface

3. انقر فوق واجهة النفق لديك وانقر فوق تحرير.

FortiLink Tunnel Interface

4. ارجع إلى الصورة لتكوين الإعدادات.

تكوين الواجهة 

  • IP: قم بتكوين IP غير قابل للتوجيه ليس في شبكتك (على سبيل المثال، 169.254.0.1).
  • IP/NetMask بعيد: قم بتكوين IP البعيد كعنوان IP التالي لبروتوكول الإنترنت الخاص بالواجهة لديك باستخدام قناع الشبكة الذي يبلغ 30 (على سبيل المثال، 169.254.0.2 255.255.255.255.252).

5. انقر OK لحفظ إعدادات التكوين ومتابعة الخطوة التالية؛ قم بتكوين توجيه النهج (التوجيه المستند إلى الأصل).

RemoteIP Netmask

warning-icon

تحذير: بعد الاكتمال، قم بتكوين سياسات جدار حماية FortiGate للسماح لحركة المرور من جهازك بتأمين الوصول ومن الوصول الآمن إلى شبكات الوجهة الخاصة بك.

تكوين مسار السياسة

عند هذه النقطة، لديك شبكة خاصة ظاهرية (VPN) لديك تم تكوينها وتثبيتها للوصول الآمن. الآن، يجب عليك إعادة توجيه حركة المرور لتأمين الوصول لحماية حركة المرور أو الوصول إلى تطبيقاتك الخاصة خلف جدار حماية FortiGate.

1. انتقل إلى Network > Policy Routes.

Network Policy Routes

2. قم بتكوين النهج.

Incoming Traffic Configuration Settings

  • في حالة تطابقات حركة المرور الواردة:
    • الواجهة الواردة: أختر الواجهة التي تخطط لإعادة توجيه حركة المرور فيها إلى الوصول الآمن (أصل حركة المرور).
  • عنوان المصدر
    • IP/NetMask: أستخدم هذا الخيار إذا قمت بتوجيه شبكة فرعية لواجهة فقط.
    • العناوين: أستخدم هذا الخيار إذا كان لديك كائن تم إنشاؤه وكان مصدر حركة المرور يأتي من واجهات متعددة وشبكات فرعية متعددة.
  • عناوين الوجهة
    • العناوين: أختر الكل إذا كنت تريد حماية حركة مرور الإنترنت. إن يريد أنت وصول خاص أنت ينبغي أضفت ك VPN profile ك وCGNAT مدى 100.64.0.0/10.
    • البروتوكول: أختر أي.
  • ثم 
    • الإجراء: أختر إعادة توجيه حركة المرور
  • الواجهة الصادرة: أختر واجهة النفق التي قمت بتعديلها في خطوة تكوين واجهة النفق.
  • عنوان البوابة: قم بتكوين IP البعيد الذي تم تكوينه في الخطوة RemoteIPNetmask.
  • الحالة: أختر ممكن.

3. انقر OK لحفظ إعدادات التكوين. تحقق مما إذا تم إعادة توجيه حركة مرور البيانات إلى أجهزتك إلى "الوصول الآمن". 

التحقق من الصحة

للتحقق من ما إذا تم إعادة توجيه حركة المرور من "الوصول الآمن"، لديك خياران؛ يمكنك التحقق من الإنترنت والبحث عن IP العام، أو يمكنك تشغيل الأمر باستخدام curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

النطاق العام حيث يمكنك رؤية حركة المرور هو:

  • الحد الأدنى للمضيف: 151.186.176.1 
  • الحد الأقصى للمضيف: 151.186.207.254
note-icon

ملاحظة: تخضع عناوين IP هذه للتغيير، ويمكن أن توسع Cisco هذا النطاق في المستقبل.

إذا رأيت تغييرا في عنوان IP العام الخاص بك، فهذا يعني أنك محمي بواسطة الوصول الآمن. يمكنك تكوين التطبيق الخاص على لوحة معلومات الوصول الآمن للوصول إلى تطبيقاتك من VPNaS أو ZTNA.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
2.0
04-Jun-2026
تحديث التدقيق الإملائي والنحوي وهيكل الجملة وتحرير النص البديل والترقيم.
1.0
02-Aug-2024
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Jairo Moreno
    TAC

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات