تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند تكوين فك تشفير طبقة مآخذ التوصيل الآمنة (SSL) على الوحدة النمطية FirePOWER باستخدام ASDM (إدارة المربع).
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ملاحظة: تأكد من أن وحدة FirePOWER تحتوي على ترخيص Protect لتكوين هذه الوظيفة. للتحقق من الترخيص، انتقل إلى التكوين > ASA FirePOWER Configuration > License.
تقوم الوحدة النمطية Firepower بفك تشفير إتصالات SSL الواردة والصادرة التي يتم إعادة توجيهها إليها، وكذلك فحص هذه الاتصالات. بمجرد فك تشفير حركة المرور، يتم اكتشاف التطبيقات النفقية مثل الدردشة على Facebook وما إلى ذلك والتحكم فيها. يتم فحص البيانات التي تم فك تشفيرها بحثا عن التهديدات أو تصفية URL أو حظر الملفات أو البيانات الضارة.
تعمل الوحدة النمطية FirePOWER كوكيل إعادة توجيه إتصالات SSL الصادرة عن طريق اعتراض طلبات SSL الصادرة وإعادة إنشاء شهادة للموقع الذي يريد المستخدم زيارته. السلطة المصدرة (CA) هي شهادة FirePOWER ذاتية التوقيع. إذا لم تكن شهادة FirePOWER جزءا من تسلسل هيكلي موجود أو إذا لم تتم إضافتها إلى ذاكرة التخزين المؤقت للمستعرض الخاص بالعميل، يستلم العميل تحذيرا أثناء الاستعراض إلى موقع آمن. يتم إستخدام أسلوب فك التشفير-إعادة التسجيل لإجراء فك تشفير SSL الصادر.
في حالة حركة المرور الواردة إلى خادم ويب داخلي أو جهاز، يقوم المسؤول باستيراد نسخة من شهادة الخادم المحمي والمفتاح. عند تحميل شهادة خادم SSL على وحدة FirePOWER النمطية، وتكوين سياسة فك تشفير SSL لحركة المرور الواردة، يقوم الجهاز بعد ذلك بفك تشفير حركة المرور وفحصها أثناء إعادة توجيه حركة المرور. ومن ثم تقوم الوحدة النمطية باكتشاف المحتويات والتهديدات والبرامج الضارة المتدفقة عبر هذه القناة الآمنة. علاوة على ذلك، يتم إستخدام أسلوب فك التشفير المعروف لإجراء فك تشفير SSL الوارد.
هناك طريقتان لفك تشفير حركة مرور SSL.
تعمل وحدة FirePOWER كوحدة MITM (الدخيل) لأي مفاوضات SSL لخوادم SSL العامة. يستلم شهادة الخادم العام مع شهادة CA الوسيطة التي تم تكوينها على الوحدة النمطية FirePOWER.
هذه هي الخطوات الثلاث لتكوين فك تشفير SSL الصادر.
قم بتكوين إما شهادة موقعة ذاتيا أو شهادة مرجع مصدق ثقة وسيطة لاستقالة الشهادة.
تكوين شهادة CA الموقعة ذاتيا
لتكوين شهادة CA الموقعة ذاتيا، انتقل إلى التكوين > ASA Firepower Configuration > إدارة الكائن > PKI > CAs الداخلية وانقر على إنشاء CA. يطلب النظام تفاصيل شهادة المرجع المصدق. كما هو موضح في الصورة، املأ التفاصيل حسب متطلباتك.
انقر على إنشاء CA ذاتي التوقيع لإنشاء شهادة CA الداخلية. ثم انقر على إنشاء CSR لإنشاء طلب توقيع الشهادة الذي تتم مشاركته بالتالي مع خادم CA لتوقيعه.
تكوين شهادة CA الوسيطة
لتكوين شهادة CA الوسيطة الموقعة من قبل مرجع مصدق آخر، انتقل إلى تكوين > ASA Firepower Configuration > إدارة الكائن > PKI > CAs داخلي وانقر على إستيراد CA.
حدد اسم الشهادة. حدد إستعراض وتحميل الشهادة من الجهاز المحلي أو نسخ محتوى الشهادة في خيار بيانات الشهادة. لتحديد المفتاح الخاص للشهادة، قم إما باستعراض ملف المفتاح أو قم بنسخ المفتاح في خيار المفتاح.
إذا تم تشفير المفتاح، قم بتمكين تشفير خانة الاختيار وحدد كلمة المرور. انقر على موافق لحفظ محتوى الشهادة، كما هو موضح في الصورة:
يحدد نهج SSL إجراء فك التشفير ويحدد حركة المرور التي يتم تطبيق طريقة فك التشفير-الاستعاضة عليها. قم بتكوين قواعد SSL المتعددة استنادا إلى متطلبات العمل ونهج أمان المؤسسة.
لتكوين سياسة SSL، انتقل إلى التكوين > ASA FirePOWER Configuration > السياسات > SSL وانقر فوق إضافة قاعدة.
الاسم: حدد اسم القاعدة.
الإجراء: حدد الإجراء كفك تشفير - أستقيل واختر شهادة CA من القائمة المنسدلة التي تم تكوينها في الخطوة السابقة.
قم بتحديد الشروط في القاعدة لمطابقة حركة المرور نظرا لوجود خيارات متعددة (المنطقة، الشبكة، المستخدمين، إلخ)، محددة لتحديد حركة المرور التي يلزم فك تشفيرها.
لإنشاء أحداث فك تشفير SSL، قم بتمكين خيار تسجيل الدخول، كما هو موضح في الصورة:
انقر فوق إضافة لإضافة قاعدة SSL.
انقر فوق تخزين تغييرات FirePOWER ل ASA لحفظ تكوين نهج SSL.
بمجرد تكوين نهج SSL بالقواعد المناسبة، يجب تحديد نهج SSL في "التحكم في الوصول" لتنفيذ التغييرات.
لتكوين سياسة التحكم في الوصول، انتقل إلى التكوين > ASA Firepower Configuration > السياسات > التحكم في الوصول.
إما أن تقوم بالنقر فوق لا شيء من نهج SSL أو الانتقال إلى متقدم > إعداد نهج SSL. حدد سياسة SSL من القائمة المنسدلة وانقر فوق موافق لحفظها، كما هو موضح في الصورة:
انقر تخزين تغييرات ASA FirePOWER لحفظ تكوين نهج SSL.
يجب نشر نهج التحكم في الوصول إلى المستشعر. قبل تطبيق النهج، هناك إشارة إلى أن نهج التحكم في الوصول قديم على الوحدة النمطية. لنشر التغييرات التي تم إجراؤها على أداة الاستشعار، انقر فوق نشر وحدد خيار نشر تغييرات FirePOWER. تحقق من التغييرات التي تم إجراؤها وانقر فوق نشر.
ملاحظة: في الإصدار 5.4.x، إذا كنت بحاجة إلى تطبيق سياسة الوصول على المستشعر، انقر فوق تطبيق تغييرات ASA FirePOWER.
ملاحظة: انتقل إلى المراقبة > مراقبة ASA FirePOWER > حالة المهمة. ثم تقوم بتطبيق تغييرات التكوين لضمان إكمال المهمة.
يتم إستخدام أسلوب فك تشفير SSL الوارد (المعروف فك التشفير) لفك تشفير حركة مرور SSL الواردة التي قمت بتكوين شهادة الخادم والمفتاح الخاص لها. تحتاج إلى إستيراد شهادة الخادم والمفتاح الخاص إلى الوحدة النمطية FirePOWER. عندما تصل حركة مرور SSL إلى وحدة FirePOWER النمطية، فإنها تفك تشفير حركة المرور وتقوم بإجراء الفحص على حركة المرور التي تم فك تشفيرها. بعد الفحص، تقوم الوحدة النمطية Firepower بإعادة تشفير حركة المرور وإرسالها إلى الخادم.
هذه هي الخطوات الأربع لتكوين فك تشفير SSL الصادر:
لاستيراد شهادة الخادم والمفتاح، انتقل إلى التكوين > ASA Firepower Configuration > إدارة الكائن > PKI > الشهادات الداخلية وانقر فوق إضافة شهادة داخلية.
كما هو موضح في الصورة، قم بتعيين اسم الشهادة. إما أن تحدد تصفح لتحديد الشهادة من الجهاز المحلي أو أن تقوم بنسخ محتوى الشهادة في بيانات الترخيص. لتحديد المفتاح الخاص للشهادة، قم إما باستعراض ملف المفتاح أو قم بنسخ المفتاح في مفتاح الخيار.
إذا تم تشفير المفتاح، فعندئذ قم بتمكين خانة الاختيار مشفرة وحدد كلمة المرور، كما هو موضح في الصورة:
انقر على تغييرات FirePOWER للتخزين لحفظ محتوى الشهادة.
لشهادة الخادم الموقعة من قبل شهادة CA الداخلية الوسيطة أو الجذر، تحتاج إلى إستيراد السلسلة الداخلية لشهادات CA إلى الوحدة النمطية Firepower. بعد تنفيذ الاستيراد، تصبح الوحدة النمطية Firepower قادرة على التحقق من شهادة الخادم.
لاستيراد شهادة CA، انتقل إلى التكوين > ASA Firepower Configuration > إدارة الكائن > CA موثوق به وانقر فوق إضافة CA موثوق به لإضافة شهادة CA.
يحدد نهج SSL الإجراء وتفاصيل الخادم التي ترغب في تكوين الأسلوب المعروف لفك تشفير حركة المرور الواردة لها. إذا كان لديك خوادم داخلية متعددة، فقم بتكوين قواعد SSL متعددة استنادا إلى خوادم مختلفة وحركة مرور البيانات التي تتعامل معها .
لتكوين سياسة SSL، انتقل إلى التكوين > ASA FirePOWER Configuration > السياسات > SSL وانقر فوق إضافة قاعدة.
الاسم: حدد اسم القاعدة.
الإجراء: حدد الإجراء باسم فك التشفير - معروف واختر شهادة CA من القائمة المنسدلة التي تم تكوينها في الخطوة السابقة.
حدد الشرط لمطابقة هذه القواعد، نظرا لوجود العديد من الخيارات (الشبكة، التطبيق، المنافذ، إلخ) المحددة لتحديد حركة مرور البيانات المثيرة للاهتمام الخاصة بالخادم التي تريد تمكين فك تشفير SSL لها. حدد المرجع المصدق الداخلي في مصدق ثقة محدد في علامة تبويب شهادة المرجع المصدق الموثوق به.
لإنشاء أحداث فك تشفير SSL، قم بتمكين خيار تسجيل الدخول.
انقر فوق إضافة لإضافة قاعدة SSL.
ثم انقر فوق تغييرات Store ASA FirePOWER لحفظ تكوين نهج SSL.
بمجرد تكوين نهج SSL بالقواعد المناسبة، يجب تحديد نهج SSL في "التحكم في الوصول" لتنفيذ التغييرات.
لتكوين سياسة التحكم في الوصول، انتقل إلى التكوين > ASA Firepower Configuration > السياسات > التحكم في الوصول.
إما أن تنقر فوق الخيار بلا بجوار سياسة SSL أو انتقل إلى خيارات متقدمة > إعداد نهج SSL، وحدد سياسة SSL من القائمة المنسدلة وانقر فوق موافق لحفظها.
انقر تخزين تغييرات ASA FirePOWER لحفظ تكوين نهج SSL.
يجب نشر نهج التحكم بالوصول. قبل تطبيق النهج، يمكنك مشاهدة إشارة إلى أن نهج التحكم في الوصول قديم على الوحدة النمطية. لنشر التغييرات التي تم إجراؤها على أداة الاستشعار، انقر فوق نشر واختر نشر خيار تغييرات FirePOWER. تحقق من التغييرات التي تم إجراؤها وانقر فوق نشر في الإطار المنبثق.
ملاحظة: في الإصدار 5.4.x، إذا كنت بحاجة إلى تطبيق سياسة الوصول على المستشعر، انقر فوق تطبيق تغييرات ASA FirePOWER.
ملاحظة: انتقل إلى المراقبة > مراقبة ASA FirePOWER > حالة المهمة. ثم تقوم بتطبيق تغييرات التكوين لضمان إكمال المهمة.
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.