تكوين PBR المستند إلى تطبيق FTD ل Umbrella SIG

خيارات التنزيل

  • PDF     (1.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٩ سبتمبر ٢٠٢٥
معرّف المستند:225087

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين التوجيه المستند إلى السياسة (PBR) الخاص بتهديد جدار الحماية (FTD) ل Umbrella SIG.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • الوصول إلى لوحة معلومات المظلة
    • وصول المسؤول إلى FMC الذي يشغل الإصدار 7.1.0+ لنشر التكوين إلى الإصدار 7.1.0+ من FTD. يتم دعم PBR المستند إلى التطبيقات فقط على الإصدار 7.1.0 والإصدارات الأعلى
    • (مفضل) معرفة بتكوين FMC/FTD و Umbrella SIG
    • (إختياري ولكن موصى به بشدة): يتم تثبيت "شهادة جذر المظلة"، ويتم إستخدام هذه الشهادة من قبل SIG عندما تكون حركة المرور بروكسال أو محظورة. لمزيد من التفاصيل حول تثبيت الشهادة الجذر، اقرأ المزيد في وثائق Umbrella.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى عبارة الإنترنت الآمنة (SIG) من Cisco Umbrella.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    نظرة عامة

    تهدف المعلومات الواردة في هذا المستند إلى تغطية خطوات التكوين الخاصة بكيفية نشر PBR المستندة إلى التطبيق على FTD عند إنشاء نفق SIG IPsec VTI إلى Umbrella، حتى يمكنك إستبعاد حركة مرور البيانات على VPN استنادا إلى التطبيقات التي تستخدم PBR أو تضمينها.


    يركز مثال التكوين الموضح في هذه المقالة على كيفية إستبعاد تطبيقات معينة من الشبكة الخاصة الظاهرية (VPN) ل IPsec أثناء إرسال كل شيء آخر عبر الشبكة الخاصة الظاهرية (VPN).

    يمكن العثور على المعلومات الكاملة حول PBR على FMC في وثائق Cisco.

    القيود

    • لا يمكن تعريف كل من التطبيق وعنوان الوجهة في ACE.

    • أثناء تحديد قائمة التحكم في الوصول (ACL) لمعايير مطابقة السياسة، يمكنك تحديد تطبيقات متعددة من قائمة التطبيقات المحددة مسبقا لتكوين إدخال التحكم في الوصول (ACE).
      حاليا، لا يمكنك الإضافة إلى قائمة التطبيقات المحددة مسبقا أو تعديلها.
    • بالنسبة لتلك التطبيقات غير المدرجة في قائمة التطبيقات المحددة مسبقا على وحدة التحكم في إدارة اللوحة الأساسية (FMC) أو أي سلوك غير متوقع مع تطبيق، يمكن إستخدام بروتوكولات الإنترنت (IPs) بدلا من التطبيقات الموجودة في وحدة التحكم في اللوحة الأساسية (PBR).
    • للحصول على قائمة بالقيود الكاملة، يرجى الرجوع إلى وثائق PBR.

    PBR المستند إلى التطبيق

    1. ابدأ بتكوين نفق IPsec على FMC وكذلك على لوحة معلومات Umbrella. يمكن العثور على إرشادات كيفية تنفيذ هذا التكوين في وثائق Umbrella.

    2. تأكد من إدراج خادم DNS الذي يستخدمه جهاز المستخدم النهائي خلف FTD كخادم DNS موثوق به ضمن الأجهزة > إعدادات النظام الأساسي > DNS > خوادم DNS الموثوق بها

    إذا كانت الأجهزة تستخدم خادم DNS غير مدرج، يمكن أن يفشل التطفل على DNS، وبالتالي لا يمكن أن يعمل PBR المستند إلى التطبيقات. إختياريا (ولكن غير مستحسن لأسباب أمنية)، يمكنك التبديل بين الثقة في أي خادم DNS بحيث تكون إضافة خادم (خوادم) DNS مطلوبة.

    note-icon

    ملاحظة: إذا تم إستخدام VAs كمحولات DNS داخلية، فيجب إضافتها كخوادم DNS موثوقة.



    DNS Platform Settings15669097907860

    3. قم بإنشاء قائمة تحكم في الوصول (ACL) موسعة يمكن إستخدامها من قبل FTD لعملية PBR لتحديد ما إذا كانت حركة المرور يتم إرسالها إلى Umbrella ل SIG أو إذا كان مستبعدا من IPsec ولا يتم إرسالها إلى Umbrella على الإطلاق.

    • يعني رفض ACE على قائمة التحكم في الوصول إستبعاد حركة المرور من SIG.
    • يعني إدخال التحكم في الوصول (ACE) المسموح به على قائمة التحكم في الوصول إرسال حركة المرور عبر IPsec ويمكن تطبيق سياسة SIG (CDFW، SWG، وما إلى ذلك).

    يستبعد هذا المثال التطبيقات "Office365" و"Zoom" و"Cisco Webex" التي تحتوي على رفض ACE. يتم إرسال باقي حركة المرور إلى Umbrella لمزيد من الفحص. 

    1. انتقل إلى الكائن > إدارة الكائن > قائمة الوصول > موسع.
    2. قم بتحديد الشبكة المصدر والمنافذ كما تفعل عادة، ثم قم بإضافة التطبيقات للمشاركة على PBR.

      Extended ACL15669947000852
      يمكن ل ACE الأول "رفض" هذه التطبيقات المذكورة سابقا، بينما يمثل ACE الثاني تصريحا بإرسال بقية حركة المرور عبر IPsec.
      ACE15670006987156

    4. قم بإنشاء PBR تحت الأجهزة > إدارة الأجهزة > [حدد جهاز FTD] > التوجيه > التوجيه المستند إلى السياسة.

    • واجهة الدخول: الواجهة التي تأتي منها حركة المرور المحلية.
    • قائمة التحكم في الوصول (ACL) المطابقة: قائمة التحكم في الوصول (ACL) الموسعة التي تم إنشاؤها على الخطوة السابقة، قائمة التحكم في الوصول (ACL) "PBR_ACL_1".
    • إرسال إلى: عنوان IP
    • عناوين IPv4: الخطوة التالية عندما يجد PBR عبارة سماح، لذلك يتم توجيه حركة المرور إلى IP الذي تضيفه هنا. في هذا المثال، هذا هو عنوان IPsec الخاص ب Umbrella. إذا كان عنوان IP الخاص بشبكة VPN الخاصة بك هو 10.1.1.1، فسيكون عنوان IPsec الخاص بالمظلة هو أي شيء داخل الشبكة نفسها (10.1.1.2 على سبيل المثال).

    Forwarding Actions15670209158036
    Edit PBR15670247521556

    5. نشر التغييرات على FMC.

    التحقق

    في جهاز الكمبيوتر الذي تم إختباره والموجود خلف برنامج الإرسال فائق السرعة (FTD)، تحقق من:

    • يتم بالفعل إرسال حركة مرور البيانات من الكمبيوتر عبر IPsec إلى Umbrella.
      انتقل إلى: https://policy-debug.checkumbrella.com/
      Policy Debug for Umbrella15670737148948
    • حاول الانتقال إلى أي من المواقع المستبعدة على تكوين PBR/ACL وتأكد من عدم تقديم مرجع التحكم في الوصول لجذر Umbrella، مما يعني أن الاتصال لا يتم توكيله:
      Excluded Site15670820980756

    • حاول الانتقال إلى أي موقع آخر لا يعتمد على التطبيقات المستبعدة من PBR وتأكد من أن Umbrella تقوم بالفعل بتوكيل الاتصال: 
      note-icon

      ملاحظة: لتجنب حدوث مشاكل في صفحة تحذير غير موثوق بها، تأكد من تثبيت شهادة مرجع مصدق جذر Umbrella.

    Example of Other Site

    • على واجهة سطر أوامر (CLI) واجهة سطر الأوامر (CLI) الخاصة ب FTD، يمكنك تشغيل بعض الأوامر لتأكيد دفع التكوين والعمل بشكل صحيح:
      • show run route-map (يتحقق من تكوين PBR):
        Command Output15670322054036
      • show run interface gigabitEthernet 0/1 (يتحقق من تطبيق PBR على الواجهة المناسبة)
        Command Output15678344219540
      • show run access-list pbr_acl_1، show object-group id FMC_NSG_179869596 (يؤكد المجالات التي تمت إضافتها إلى قائمة التحكم في الوصول للاستبعاد)
        Command Output15670420887316

        Command Output15670635784852
      • مدخل Packet-tracer داخل TCP 172.16.72.10 1234 fqdn office.com 443 مفصل (يتحقق من إستخدام الواجهة الخارجية كإخراج وليس VTI واحد)
    • في لوحة معلومات Umbrella، تحت البحث عن الأنشطة، يمكنك أن ترى أن حركة مرور الويب التي تنتقل إلى office.com لم يتم إرسالها إلى Umbrella مطلقا، بينما تم إرسال حركة المرور التي تنتقل إلى espn.com.

      Web Traffic in Umbrella Dashboard15671098042516
      Web Traffic in Umbrella Dashboard15671302832788

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    29-Sep-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات