تكوين AnyConnect Remote Access VPN على FTD

خيارات التنزيل

  • PDF     (1.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٥ ديسمبر ٢٠٢٣
معرّف المستند:212424

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين ل AnyConnect Remote Access VPN على FTD.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة أساسية بالشبكة الخاصة الظاهرية (VPN) و TLS و IKEv2
    • المصادقة والتفويض والمحاسبة (AAA) الأساسية ومعرفة RADIUS
    • تجربة مع مركز إدارة FirePOWER

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco FTD 7.2.0
    • Cisco FMC 7.2.1
    • AnyConnect 4.10 

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يقدم هذا المستند مثالا للتكوين الخاص بالإصدار 7.2.0 من "الدفاع عن تهديد FirePOWER (FTD)" والإصدارات الأحدث، والذي يسمح لشبكة VPN للوصول عن بعد باستخدام أمان طبقة النقل (TLS) والإصدار 2 من تبادل مفتاح الإنترنت (IKEv2). كعميل، يمكن إستخدام Cisco AnyConnect، وهو مدعوم على أنظمة أساسية متعددة.

    التكوين

    1 - المتطلبات الأساسية

    للانتقال عبر معالج الوصول عن بعد في مركز إدارة Firepower:

    • إنشاء شهادة تستخدم لمصادقة الخادم.
    • قم بتكوين خادم RADIUS أو LDAP لمصادقة المستخدم.
    • قم بإنشاء تجمع من العناوين لمستخدمي VPN.
    • تحميل صور AnyConnect لأنظمة أساسية مختلفة.

    أ) إستيراد شهادة SSL


    الشهادات ضرورية عند تكوين AnyConnect. يجب أن تحتوي الشهادة على ملحق "الاسم البديل للموضوع" مع اسم DNS و/أو عنوان IP لتجنب الأخطاء في مستعرضات الويب.

    ملاحظة: يمكن لمستخدمي Cisco المسجلين فقط الوصول إلى الأدوات الداخلية ومعلومات الخطأ.

    هناك قيود على التسجيل اليدوي للشهادة:

    - في FTD تحتاج إلى شهادة CA قبل إنشاء CSR.

    - إذا تم إنشاء CSR خارجيا، فإن الطريقة اليدوية تفشل، فيجب إستخدام طريقة مختلفة (PKCS12).

    هناك العديد من الطرق للحصول على شهادة على جهاز FTD، ولكن الخيار الآمن والسهل هو إنشاء طلب توقيع شهادة (CSR)، وتوقيعه باستخدام المرجع المصدق (CA) ثم إستيراد الشهادة الصادرة للمفتاح العام، والتي كانت في CSR. وإليك طريقة القيام بذلك:

    • الانتقال إلى Objects  > Object Management > PKI > Cert Enrollment ، انقر فوق إضافة تسجيل الثقة.

    Add Cert Enrollment

    • تحديد Enrollment Type ولصق شهادة المرجع المصدق (CA) (الشهادة المستخدمة لتوقيع CSR).
    • ثم انتقل إلى علامة التبويب الثانية وحدد Custom FQDN وتعبئة كل الحقول الضرورية، على سبيل المثال:

    Configure common name for the certificate

    • في علامة التبويب الثالثة، حدد Key Type، أختر الاسم والحجم. بالنسبة إلى RSA، تعد وحدات بت 2048 كحد أدنى.
    • انقر حفظ وانتقل إلى Devices > Certificates > Add > New Certificate.
    • ثم حدد Device، وتحت Cert Enrollment حدد TrustPoint التي قمت بإنشائها، انقر فوق Add:

    Select Devices and then Add Certificates

    • فيما بعد، وبجوار اسم TrustPoint، انقر فوق Icon الأيقونة، ثم Yes، و بعدين انسخ "csr" لصح و اوقعو. يجب أن تحتوي الشهادة على سمات مماثلة لسمات خادم HTTPS العادية. 
    • بعد أن تستلم الشهادة من CA بتنسيق base64، حددها من القرص وانقر Import. وعندما ينجح ذلك، ترون:

    Successful Import
    ب) تكوين خادم RADIUS

    • الانتقال إلى Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
    • املأ الاسم وأضف عنوان IP مع سر مشترك، انقر Save:

    Configure RADIUS

    • وبعد هيك بتلاقي السيرفر على القائمة:

    RADIUS Server is Named in the List

    ج) إنشاء مجموعة من العناوين لمستخدمي VPN

    • الانتقال إلى Objects > Object Management > Address Pools > Add IPv4 Pools.
    • وضع الاسم والنطاق، والقناع غير مطلوب: 

    Configure address pool

    د) إنشاء ملف تخصيص XML

    • قم بتنزيل محرر ملفات التعريف من موقع Cisco وافتحه.
    • الانتقال إلى Server List > Add...
    • وضع اسم العرض و FQDN. يمكنك مشاهدة الإدخالات في قائمة الخوادم:

    Open Profile Editor and Select the Server List and then ADD

    • انقر OKو File > Save as... 

    ه) تحميل صور AnyConnect

    • تنزيل صور pkg من موقع Cisco.
    • الانتقال إلى Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • اكتب الاسم وحدد ملف PKG من القرص، انقر Save:

    Edit the AnyConnect File

    • أضف المزيد من الحزم بناء على متطلباتك الخاصة.

    2. معالج الوصول عن بعد

    • الانتقال إلى Devices > VPN > Remote Access > Add a new configuration.
    • قم بتسمية ملف التعريف وتحديد جهاز FTD:

    Targeted Devices and Protocols

    • في خطوة ملف تعريف الاتصال، اكتب Connection Profile Name، حدد Authentication Server و Address Pools التي قمت بإنشائها سابقا:

    Connection Profile Name

    • انقر فوق Edit Group Policy وعلى علامة التبويب AnyConnect، حدد Client Profile، ثم انقر Save:

    Edit Group Policy

    • في الصفحة التالية، حدد صور AnyConnect وانقر Next.

    AnyConnect Client Image

    • في الشاشة التالية، حدد Network Interface and Device Certificates:

    Network Interface for Incoming VPN Access

    • عند تكوين كل شيء بشكل صحيح، يمكنك النقر Finish ومن ثم Deploy:

    Edit Group Policy and Select Client Profile

    • يؤدي هذا إلى نسخ التكوين بالكامل مع الشهادات وحزم AnyConnect إلى جهاز FTD.

    الاتصال

    للاتصال ب FTD تحتاج إلى فتح مستعرض، اكتب اسم DNS أو عنوان IP الذي يشير إلى الواجهة الخارجية. ثم يمكنك تسجيل الدخول باستخدام بيانات الاعتماد المخزنة في خادم RADIUS وتنفيذ التعليمات على الشاشة. بمجرد تثبيت AnyConnect، تحتاج بعد ذلك إلى وضع العنوان نفسه في نافذة AnyConnect وانقر فوق Connect.

    القيود

    غير مدعوم حاليا على FTD، ولكنه متوفر على ASA:

    • لا يدعم FTDposture VPN تغيير سياسة المجموعة من خلال التفويض الديناميكي أو تغيير RADIUS للتخويل (CoA).

    • تخصيص AnyConnect (التحسين: معرف تصحيح الأخطاء من Cisco CSCvq87631)
    • برامج AnyConnect النصية (تحسين: معرف تصحيح الأخطاء من Cisco CSCvt58044).
    • تعريب AnyConnect.
    • تكامل WSA.
    • خريطة التشفير الديناميكية IKEv2 المتزامنة ل RA و L2L VPN (التحسين: معرف تصحيح الأخطاء من Cisco CSCvr52047).
    • TACACS، Kerberos - مصادقة KCD و RSA SDI (تحسين: معرف تصحيح الأخطاء من Cisco CSCvx55859).
    • وكيل المستعرض.

    اعتبارات أمنية

    بشكل افتراضي، فإن sysopt connection permit-vpnالخيار معطل. وهذا يعني أنك بحاجة إلى السماح بحركة المرور التي تأتي من تجمع العناوين على الواجهة الخارجية عبر نهج التحكم في الوصول. وعلى الرغم من إضافة قاعدة التحكم في الوصول أو ما قبل التصفية للسماح بحركة مرور VPN فقط، إذا حدثت حركة مرور نص واضح لتطابق معايير القاعدة، فإنها مسموح بها بشكل خاطئ.

    وهناك نهجان لمعالجة هذه المشكلة. أولا، خيار TAC الموصى به، هو تمكين مكافحة الانتحال (على ASA كان يعرف باسم إعادة توجيه المسار العكسي للبث الأحادي - uRPF) للواجهة الخارجية، وثانيا، هو التمكين sysopt connection permit-vpn لتجاوز فحص الشخير تماما. يسمح الخيار الأول فحص عادي لحركة المرور التي تنتقل إلى ومن مستخدمي VPN.

    أ) تمكين uRPF

    • إنشاء مسار فارغ للشبكة المستخدمة لمستخدمي الوصول عن بعد، محدد في القسم C. انتقل إلى Devices > Device Management > Edit > Routing > Static Route وحدد Add route

    Select AnyConnect Images

    • بعد ذلك، قم بتمكين uRPF على الواجهة التي تنتهي فيها إتصالات VPN. للعثور على هذا، انتقل إلى Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit Physical Interface

    عند اتصال مستخدم، يتم تثبيت المسار 32 بت لذلك المستخدم في جدول التوجيه. امسح النص حركة مرور sourced من الآخر، غير مستعمل عنوان من البركة سقطت بواسطة uRFP. للاطلاع على وصف Anti-Spoofingارجع إلى تعيين معلمات تكوين الأمان على الحماية ضد تهديد FirePOWER.

    ب) تمكين sysopt connection permit-vpn خيار

    • هناك خيار للقيام بذلك باستخدام المعالج أو أقل Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Access Control for VPN Traffic

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    4.0
    05-Dec-2023
    تقويم
    3.0
    16-Dec-2022
    أعد الكتابة. تحديث التنسيق. إعادة الاعتماد.
    2.0
    08-Nov-2022
    تنسيق محدث وتصحيح إملائي تقويم
    1.0
    07-Nov-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Radoslaw Olszowy
      Cisco Technical Consulting Engineer
    • Mario Enrique Solorio Zertuche
      Cisco Project Manager

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات