تكوين الوصول الآمن باستخدام جدار حماية Fortigate

خيارات التنزيل

  • PDF     (2.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ أغسطس ٢٠٢٤
معرّف المستند:222270

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين الوصول الآمن باستخدام جدار حماية Fortigate.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • جدار حماية الإصدار 7.4.x من Fortigate
    • الوصول الآمن
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA
    • زتنا بدون زوايا

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى: 

    • جدار حماية الإصدار 7.4.x من Fortigate
    • الوصول الآمن
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    jmornoc_0-170696786629

    صممت Cisco Secure Access لحماية التطبيقات الخاصة وتوفير الوصول إليها، على أساس محلي وقائمة على الشبكات. كما أنه يضمن الاتصال من الشبكة إلى الإنترنت. ويتحقق ذلك من خلال تطبيق أساليب وطبقات أمنية متعددة، تهدف جميعها إلى الحفاظ على المعلومات عند الوصول إليها عبر السحابة.

    التكوين

    تكوين شبكة VPN على الوصول الآمن

    انتقل إلى لوحة الإدارة الخاصة ب Secure Access.

    jmornoc_8-1706968713702

    • انقر فوق Connect > Network Connections > Network Tunnels Groups

    jmornoc_11-1706968993787

    • تحت النقرNetwork Tunnel Groups فوق + Add
      •

    jmornoc_12-1706969034757

    • التكوين Tunnel Group Name، Region و Device Type
    • انقر Next
      •

    jmornoc_13-1706969076844

    note-icon

    ملاحظة: أختر أقرب منطقة إلى موقع جدار الحماية.
    • قم بتكوين Tunnel ID Format و Passphrase
    • انقرNext
      •

    jmornoc_14-1706969101197

    • قم بتكوين نطاقات عناوين IP أو البيئات المضيفة التي قمت بتكوينها على الشبكة وتريد تمرير حركة المرور من خلال الوصول الآمن
    • انقرSave
      •

    jmornoc_15-1706969132539

    بعد النقر فوق المعلومات Save حول عرض النفق، الرجاء حفظ تلك المعلومات للخطوة التالية، Configure the VPN Site to Site on Fortigate.

    بيانات النفق

    jmornoc_16-1706969350380

    تكوين موقع VPN إلى موقع على Fortigate

    انتقل إلى لوحة معلومات Fortigate.

    • انقر VPN > IPsec Tunnels
      •

    jmornoc_1-1706970026583

    • انقر Create New > IPsec Tunnels
      •

    jmornoc_2-1706970106771

    • انقر Custom، قم بتكوين a Name وانقر Next.
      •

    jmornoc_4-1706970207324

    في الصورة التالية، رأيت كيف أنت تحتاج أن يشكل العملية إعداد Network للجزء.

    الشبكة

    jmornoc_6-1706970786834

    • Network
      • IP Version : IPv4
      • Remote Gateway :عنوان IP الثابت
      • IP Address: إستخدام IP Primary IP Datacenter IP Address,المعطى في بيانات نفق الخطوة
      • Interface : إختيار واجهة WAN التي خططت لاستخدامها لإنشاء النفق
      • Local Gateway : تعطيل كافتراضي
      • Mode Config : تعطيل كافتراضي
      • NAT Traversal :تمكين
      • Keepalive Frequency :10
      • Dead Peer Detection : حسب الطلب
      • DPD retry count :3
      • DPD retry interval :10
      • Forward Error Correction : لا تضع علامة في أي مربع. 
      • Advanced...: قم بتكوينه كصورة.
        •

    قم الآن بتكوين IKE Authentication.

    المصادقة

    jmornoc_2-1707056249758

    • Authentication 
      • Method : مفتاح مشترك مسبقا كافتراضي
      • Pre-shared Key : إستخدام Passphraseالمعطى في بيانات نفق الخطوة
        •
    • IKE 
      • Version : أختر الإصدار 2.
      •
    note-icon

    ملاحظة: يدعم Secure Access الإصدار الثاني من بروتوكول IKEv فقط

    قم الآن بتكوين Phase 1 Proposal.

    اقتراح المرحلة الأولى

    jmornoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : أختر AES256
      • Authentication : أختر SHA256
      • Diffie-Hellman Groups : حدد المربع 19 و 20
      • Key Lifetime (seconds) : 86400 كافتراضي
      • Local ID : إستخدام Primary Tunnel ID، المحدد في بيانات النفق بالخطوة
        •

    قم الآن بتكوين Phase 2 Proposal.

    اقتراح المرحلة الثانية

    jmornoc_5-1707058728877

    • New Phase 2
      • Name : كإعداد افتراضي (يتم أخذ هذا من اسم الشبكة الخاصة الظاهرية (VPN) لديك)
      • Local Address : كإعداد افتراضي (0.0.0.0/0.0.0.0)
      • Remote Address : كإعداد افتراضي (0.0.0.0/0.0.0.0)
        •
    • Advanced
      • Encryption : أختر AES128
      • Authentication : أختر SHA256
      • Enable Replay Detection : كن بشكل افتراضي (ممكن)
      • Enable Perfect Forward Secrecy (PFS) : إلغاء تحديد خانة الاختيار
      • Local Port : كن بشكل افتراضي (ممكن)
      • Remote Port: كن بشكل افتراضي (ممكن)
      • Protocol : كن بشكل افتراضي (ممكن)
      • Auto-negotiate : تعيين كقيمة افتراضية (بدون علامة)
      • Autokey Keep Alive : تعيين كقيمة افتراضية (بدون علامة)
      • Key Lifetime : تعيين كقيمة افتراضية (بالثواني)
      • Seconds : ليكن الوضع الافتراضي (43200)
        •

    بعد ذلك، انقر فوق موافق. يمكنك بعد مرور بعض الدقائق أن الشبكة الخاصة الظاهرية (VPN) قد تم إنشاؤها باستخدام "الوصول الآمن"، ويمكنك المتابعة بالخطوة التالية، Configure the Tunnel Interface.

    jmornoc_0-1707060199635

    تكوين واجهة النفق

    بعد إنشاء النفق، تلاحظ أن لديك واجهة جديدة خلف المنفذ الذي تستخدمه كواجهة WAN للاتصال بالمنافذ الآمنة. 

    للتحقق من ذلك، الرجاء الانتقال إلى Network > Interfaces.

    jmornoc_0-1707069145874

    قم بتوسيع المنفذ الذي تستخدمه للاتصال ب Secure Access؛ في هذه الحالة، WAN الواجهة.

    jmornoc_1-1707069309957

    • انقر فوق Tunnel Interface ثم انقر فوق Edit
      •

    jmornoc_3-1707069499072

    • لديك الصورة التالية التي تحتاج إلى تكوينها
      •

    jmornoc_4-1707069648471

    • Interface Configuration 
    • IP : تكوين IP غير قابل للتوجيه ليس لديك في الشبكة (169.254.0.1)
    • Remote IP/Netmask : قم بتكوين IP عن بعد كعنوان IP التالي لواجهة IP الخاصة بك باستخدام قناع الشبكة 30 (169.254.0.2 255.255.255.255.252)
      •

    بعد ذلك، انقر OK  لحفظ التكوين ومتابعة الخطوة التالية، Configure Policy Route (التوجيه المستند إلى الأصل).

    أيقونة التحذير

    تحذير: بعد هذا الجزء، يجب تكوين سياسات جدار الحماية على FortiGate للسماح لحركة المرور من الجهاز أو السماح لها بتأمين الوصول ومن الوصول الآمن إلى الشبكات التي تريد توجيه حركة المرور.

    تكوين مسار السياسة

    عند هذه النقطة، لديك شبكة VPN الخاصة بك تم تكوينها وإنشائها لتأمين الوصول، والآن، يجب عليك إعادة توجيه حركة مرور البيانات لتأمين الوصول لحماية حركة المرور أو الوصول إلى التطبيقات الخاصة الخاصة بك خلف جدار حماية FortiGate.

    • انتقل إلى Network > Policy Routes
      •

    jmornoc_6-170707054485

    • تكوين النهج
      •

    jmornoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface : أختر الواجهة من حيث تخطط لإعادة توجيه حركة المرور إلى الوصول الآمن (أصل حركة المرور)
    • Source Address
      • IP/Netmask : أستخدم هذا الخيار إذا قمت بتوجيه شبكة فرعية لواجهة فقط
      • Addresses : أستخدم هذا الخيار إذا كان لديك الكائن الذي تم إنشاؤه ومصدر حركة المرور يأتي من واجهات متعددة وشبكات فرعية متعددة
        •
    • Destination Addresses 
      • Addresses:اختَر all
      • Protocol:اختَر ANY
        •
    • Then 
      • Action: Choose Forward Traffic
    • Outgoing Interface : أختر واجهة النفق التي قمت بتعديلها على الخطوة، قم بتكوين واجهة النفق
    • Gateway Address: تكوين IP البعيد الذي تم تكوينه على الخطوة و RemoteIPNetmask
    • Status : أختر ممكن
      •

    انقر OK لحفظ التكوين، فأنت الآن جاهز للتحقق من إعادة توجيه حركة مرور الأجهزة إلى Secure Access. 

    التحقق من الصحة

    للتحقق من إعادة توجيه حركة مرور بيانات الجهاز إلى "الوصول الآمن"، لديك خياران، يمكنك التحقق من الإنترنت والبحث عن IP العام الخاص بك، أو يمكنك تشغيل الأمر التالي باستخدام curl: 

    C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

    النطاق العام من حيث يمكنك رؤية حركة المرور الخاصة بك هو:

    Min Host:151.186.176.1

    Max Host :151.186.207.254

    note-icon

    ملاحظة: تكون عناوين IP هذه عرضة للتغيير، ما يعني أن Cisco قد تقوم بتوسيع هذا النطاق في المستقبل.

    إذا رأيت تغيير IP العام الخاص بك، فهذا يعني أنك محمي بواسطة Secure Access، ويمكنك الآن تكوين التطبيق الخاص بك على لوحة معلومات Secure Access للوصول إلى تطبيقاتك من VPNaS أو ZTNA.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    02-Aug-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • خايرو مورينو
      TAC

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات