أستكشاف أخطاء الاتصال الضار باستخدام جدار حماية المضيف وإصلاحها

خيارات التنزيل

  • PDF     (1.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.4 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٧ يونيو ٢٠٢٥
معرّف المستند:223116

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية اكتشاف الاتصالات الضارة على نقطة نهاية Windows وحظرها باستخدام جدار حماية المضيف في نقطة النهاية الآمنة من Cisco.

    المتطلبات الأساسية

    المتطلبات

    • يتوفر جدار حماية المضيف مع ميزة نقطة النهاية الآمنة وحزم Premier.
    • إصدارات الموصل المدعومة
      • نظام التشغيل Windows (x64): موصل Windows الآمن لنقطة النهاية 8.4.2 والإصدارات الأحدث.
      • نظام التشغيل Windows (ARM): Secure Endpoint Windows Connector 8.4.4 والإصدارات الأحدث.

    المكونات المستخدمة

    لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    دليل أستكشاف الأخطاء وإصلاحها

    يقدم هذا المستند دليلا لحظر الاتصالات الضارة باستخدام جدار حماية مضيف نقطة النهاية الآمنة من Cisco. للاختبار، تستخدم صفحة الاختبار malware.wicar.org (208.94.116.246) لإنشاء دليل أستكشاف الأخطاء وإصلاحها.

    خطوات التعرف على الاتصالات الضارة وحظرها

    1. أولا، تحتاج إلى تحديد عنوان URL أو عنوان IP الذي تريد مراجعته وحظره. بالنسبة لهذا السيناريو، تفضل بزيارة موقع الويب consider malware.wicar.org.
    2. تحقق مما إذا كان الوصول إلى عنوان URL هو successful. malware.wicar.org يعيد التوجيه إلى عنوان URL مختلف، كما هو موضح في الصورة.

    Browser Malicious URLعنوان URL ضار للمستعرض

    3. أستخدم الأمر nslookup لاسترداد عنوان IP المرتبط بعنوان URL malware.wicar.org.

    nslookup Outputإخراج nslookup

    4. بمجرد الحصول على عنوان IP الضار، تحقق من الاتصالات النشطة على نقطة النهاية باستخدام الأمر:netstat -ano.

    netstat for all ConnectionsNetstat لكافة الاتصالات

    5. لعزل الاتصالات النشطة، قم بتطبيق عامل تصفية لعرض الاتصالات التي تم إنشاؤها فقط.

    netstat for Established Connectionsnetstat للاتصالات الثابتة

    6. ابحث عن عنوان IP الذي تم الحصول عليه من DisplayCommand في الإخراج السابق. عينت المصدر ip، غاية ip، مصدر ميناء، وغاية ميناء.

    • IP المحلي: 192.168.0.61
    • IP عن بعد: 208.94.116.246
    • المنفذ المحلي: غير قابل للتطبيق
    • الوجهة بورتو 80 و 443

    7. بمجرد الحصول على هذه المعلومات، انتقل إلى بوابة نقطة النهاية الآمنة من Cisco لإنشاء تكوين جدار حماية المضيف.

    تكوين جدار حماية المضيف وإنشاء القاعدة

    1. انتقل إلى الإدارة > مضيف جدار الحماية انقر فوق تكوين جديد.Host Firewall New Configurationالتكوين الجديد لجدار حماية المضيف
    2. حدد اسم والإجراء الافتراضي. في هذه الحالة، حدد السماح.Host Firewall Configuration Name and Default Actionاسم تكوين جدار حماية المضيف والإجراء الافتراضي
      note-icon

      ملاحظة: تذكر أنك تقوم بإنشاء قاعدة حظر، ولكن يجب أن تسمح لحركة المرور الأخرى بتجنب التأثير على الاتصالات الشرعية.

    3. تحقق من إنشاء القاعدة الافتراضية وانقر فوق إضافة قاعدة.Add Rule in Host Firewallإضافة قاعدة في جدار حماية المضيف
    4. قم بتعيين اسم وتعيين المعلمات التالية:
      • الموضع: أعلى
      • الوضع: فرض
      • الإجراء: حظر
      • الإتجاه: خارج
      • البروتوكول: TCPRule General Parametersمحددات القاعدة العامة
        note-icon

        ملاحظة: عندما تخاطب إتصالات خبيثة من نقطة نهاية داخلية إلى وجهة خارجية، عادة إلى الإنترنت، الإتجاه يستطيع دائما كنت خارج.

    5. حدد عناوين IP المحلية والوجهة:
      • IP المحلي: 192.168.0.61
      • IP عن بعد: 208.94.116.246
      • أترك حقل PortField المحلي فارغا.
      • ثبتت الغاية ميناء إلى 80 و 443، هذا يرادف إلى HTTP و HTTPS.Rule Addresses and Portsعناوين القاعدة والمنافذ

    6. أخيرا، انقر فوق حفظ.

    تمكين جدار حماية المضيف في السياسة وتعيين التكوين الجديد

    1. في مدخل نقطة النهاية الآمنة، انتقل إلى الإدارة > السياسات وحدد السياسة المرتبطة بنقطة النهاية حيث تريد حظر النشاط الضار.
    2. انقر فوق Editand انتقل إلى علامة التبويب جدار الحماية للمضيف.
    3. قم بتمكين ميزة جدار حماية المضيف وحدد التكوين الأخير، في هذه الحالة MaliciousConnection.Host Firewall Enabled in Secure Endpoint Policyجدار حماية المضيف الذي تم تمكينه في نهج نقطة النهاية الآمنة
    4. انقر فوق حفظ.
    5. أخيرا، تحقق من تطبيق نقطة النهاية لتغييرات النهج.Policy Update Eventحدث تحديث السياسة

    التحقق من صحة التكوين محليا

    1. أستخدم عنوان URL malware.eicar.org في مستعرض لتأكيد حظره.Error Network Access Denied from Browserتم رفض الوصول إلى الشبكة عن طريق المستعرض
    2. بعد تأكيد الحظر، تحقق من عدم تأسيس أية إتصالات. أستخدم الأمر netstat - ano | تم إنشاء FindSTR لضمان عدم ظهور IP المرتبط بعنوان URL الضار (208.94.116.246).

    مراجعة السجلات

    1. على نقطة النهاية، انتقل إلى المجلد:

    C:\Program Files\Cisco\AMP\<Connector version>\FirewallLog.csv

    note-icon

    ملاحظة: يوجد ملف السجل في المجلد <install directory>\Cisco\AMP\<Connector version>\FirewallLog.csv

    2. افتح ملف CSV للتحقق من التطابقات لقاعدة إجراء الحظر. أستخدم عامل تصفية للتمييز بين "السماح" واتصالات "الحظر".Firewall Logs in CSV Fileسجلات جدار الحماية في ملف CSV

    إستخدام المدار لاسترداد سجلات جدار الحماية

    1. في مدخل نقطة النهاية الآمنة، انتقل إلى الإدارة > أجهزة الكمبيوتر، وحدد موقع نقطة النهاية، وانقر فوق إسترداد سجلات جدار الحماية في المدار. يقوم هذا الإجراء بإعادة توجيهك إلى البوابة المدارية.Button to Retrieve Firewall Logs in Orbitalزر لاسترداد سجلات جدار الحماية في المدار
    2. في المدخل المداري، انقر فوق تشغيل الاستعلام. يعرض هذا الإجراء جميع السجلات المسجلة على نقطة النهاية لجدار حماية المضيف.Run Query from Orbitalتشغيل الاستعلام من المدار
    3. تكون المعلومات مرئية في Resultstab، أو يمكنك تنزيلها.Query Results from Orbitalنتائج الاستعلام من المدار

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    20-Jun-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • أوريل زامورا هيرنانديز
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات