التوريث في بيئة Multidomain في FTD

خيارات التنزيل

  • PDF     (1.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.2 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١ ديسمبر ٢٠٢٠
معرّف المستند:216497

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين ميزات التوريث والمجال المتعدد وتشغيلها. يركز هذا أيضا على حالة إستخدام في العالم الحقيقي لمعرفة كيفية عمل هاتين الميزتين معا.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:

    • مركز إدارة Firepower ‏(FMC)
    • Firepower Threat Defense ‏(FTD)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • برنامج مركز إدارة Firepower (FMC)، الإصدار 6.4
    • برنامج الدفاع عن تهديد Firepower (FTD)، الإصدار 6.4

    ملاحظة: يتوفر دعم ميزة التوريث والمجال المتعدد على FMC/FTD من الإصدار 6.0 وما بعده.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي تكوين.

    معلومات أساسية

    في توريث النهج، يمكن تضمين سياسات التحكم في الوصول حيث يرث النهج التابع القواعد من نهج أساسي يتضمن إعدادات ACP مثل ذكاء الأمان واستجابة HTTP وإعدادات التسجيل، إلخ.  إختياريا يمكن أن يسمح المسؤول لنهج التابع بتجاوز إعدادات ACP مثل ذكاء الأمان أو إستجابة HTTP أو إعدادات التسجيل أو غير ذلك تأمين الإعدادات بحيث لا يمكن لنهج التابع تجاوزها. هذه الميزة مفيدة للغاية في بيئة FMC متعددة المجالات.

    تعمل الميزة متعددة المجالات على تقسيم وصول المستخدم إلى الأجهزة المدارة والتكوينات والأحداث الخاصة بوحدة التحكم في إدارة اللوحة. يمكن للمستخدم التبديل إلى/الوصول إلى مجالات أخرى وفقا للامتيازات. في حالة عدم تكوين ميزة المجالات المتعددة، تنتمي جميع الأجهزة المدارة والتكوينات والأحداث إلى المجال العمومي.

    تكوين توريث النهج

    مجال الورقة هو مجال لا يحتوي على مجالات فرعية أخرى. المجال التابع هو التوابع من المستوى التالي للمجال حيث المستخدم/المسؤول حاليا. المجال الأصل هو السلف المباشر للمجال حيث المستخدم/المسؤول حاليا. 

    لتكوين/تمكين التوريث للنهج الموجودة:

    1. دع السياسة A تكون السياسة الأساسية والسياسة B تكون السياسة الفرعية (يرث النهج B القاعدة من السياسة A)
    2. قم بتحرير النهج B وانقر على إعدادات التوريث كما هو موضح في الصورة.

    3. أختر النهج A من القائمة المنسدلة تحديد النهج الأساسي الموضحة أدناه. يمكن توريث إعدادات ACP الأخرى مثل ذكاء الأمان واستجابة HTTP وإعدادات التسجيل وما إلى ذلك لتجاوز إعدادات النهج التابع إختياريا.

    4. قم بتعيين النهج للسياسة الفرعية B مقابل الجهاز المستهدف FTD:

    بشكل افتراضي، يتم توريث الإجراء الافتراضي للنهج التابع وتعيينه على توريث من النهج الأساسي كما هو موضح في الصورة. للمستخدم أيضا خيار تحديد الإجراء الافتراضي من السياسات التي يوفرها النظام كما هو موضح هنا.

    سيكون ترتيب البحث عن حركة المرور دائما بأسلوب تنازلي بغض النظر عن عدد الفئات التي تمت إضافتها في كل من الأقسام الإلزامية والافتراضية. بعد تطبيق إعدادات التوريث، يتم تمثيل ACP للنهج الفرعي B (النهج التابع) كما هو موضح في الصورة، بالتوافق مع التحقق من ترتيب القاعدة المذكور سابقا:

    تظهر هذه الصورة كيفية عرض كل من السياسات، أي السياسة A وهي السياسة الأساسية والسياسة B وهي السياسة الفرعية والموروثة من السياسة A، في FMC.

    تظهر هذه الصورة أنه في النهج B، يمكن النظر إلى القواعد من النهج A مثل القواعد المحددة التي تم تكوينها في النهج B نفسه. وينبغي الحرص على كيفية تكوين القواعد مع مراعاة الترتيب.

    إدارة FTD في بيئة FMC متعددة المجالات

    تعمل ميزة المجالات المتعددة على تقسيم وصول المستخدم إلى الأجهزة المدارة والتكوينات والأحداث. يمكن للمستخدم التبديل إلى مجالات أخرى وفقا للامتيازات. إن لا يشكل ال multidomain سمة يكون، all the managed أداة، تشكيل، وأحداث ينتسب إلى العالمي مجال.

    يمكن تكوين حد أقصى للمجالات ثلاثية المستويات باستخدام المجال العمومي كمستوى واحد. يجب أن تنتمي كافة الأجهزة المدارة إلى المجال الطرفي فقط. يمكن تأكيد ذلك من رمز  (إضافة مجال فرعي) يتم حفرها في مجال الورق كما هو موضح في الصورة.

    تكوين المجال

    يمكن إجراء تكوين المجال كما يلي:

    1. انتقل إلى النظام > المجالات. بشكل افتراضي، يكون المجال العمومي موجودا.

    2. انقر على إضافة مجال كما هو موضح في الصورة.

    3. يظهر مربع الحوار إضافة مجال. اكتب اسم المجال وحدد المجال الأصل من القائمة المنسدلة. إذا كان هذا هو مجال الورقة، يلزم إضافة جهاز (أجهزة) FTD إلى المجال كما هو موضح في الصورة.

    ملاحظة: لإضافة المجالات، انقر على رمز إضافة مجال فرعي كما هو موضح في الصورة. هنا تم تحديد المجال الأصل بالفعل.

    إمكانية رؤية السياسات والتحكم فيها في بيئة وحدة التحكم في إدارة اللوحة الأساسية (FMC) متعددة المجالات

    تقتصر إمكانية رؤية النهج والتحكم فيه على مستخدمي المجال المعنيين باستثناء مسؤول المجال العمومي. يعتمد هذا المثال على التدرج الهرمي على النحو التالي:

    إمكانية الرؤية: كما هو موضح في هذه الصورة، تسرد صفحة سياسات العرض الافتراضية السياسات (ACP) التي تم تكوينها ضمن المجال ذي الصلة.

    عنصر التحكم: يمكن لمستخدمي Admin، الذين ينتمون إلى المجال ذي الصلة تحرير السياسات. لتحرير السياسات، التي تنتمي إلى مجالات أخرى (على سبيل المثال كجزء من التوريث)، يجب على المرء تحويل المجال من الحالي إلى مجال حيث يتم تكوين النهج تحته. يمكن فقط لمستخدمي/مستخدمي Admin الذين ينتمون إلى مجال Global أو مجال L1 التبديل حول المجال الأدنى لإدارة النهج.

    إضافة مستخدمين إلى المجال

    يوضح هذا كيفية إضافة مستخدمين في مجال معين. ينطبق هذا الإجراء على المستخدمين في قاعدة البيانات المحلية.

    1. انتقل إلى النظام >المستخدمون. انقر على إنشاء مستخدم كما هو موضح في الصورة.

    2. يظهر مربع حوار تكوين المستخدم. قم بتعبئة اسم المستخدم وكلمة المرور (& تأكيد كلمة المرور). انقر فوق إضافة مجال لإضافة المستخدم إلى المجال المحدد كما هو موضح في الصورة.

    3. أختر المجال المقصود من القائمة المنسدلة المجال حيث ترغب في إضافة المستخدم تحته وتحديد الدور كما هو موضح في الصورة. يمكن إضافة مستخدم جديد إلى المجال الخاص أو المجالات التابعة.

    يظهر المستخدمون الذين تم تكوينهم في هذه الصورة:

    سيقتصر الوصول إلى الموارد على FMC على المجال الذي ينتمي إليه المستخدم. كما هو موضح أدناه، عند تسجيل المستخدم - L1-A-admin في واجهة مستخدم FMC، يقتصر الوصول على المجال - L1-Domain-A الذي يعد المستخدم جزءا منه، وعلى المجال التابع بمجرد قيام المستخدم بالتحويل إلى ذلك المجال التابع. يمكن لهذا المستخدم تحرير السياسة المحددة في مجال L1-Domain-A والنهج المحدد في المجال التابع عند تحويل المجال إلى مجاله التابع. كما يمكن ملاحظة أن L1-A-Policy يرث من المثال التالي السياسة المعرفة في المجال العالمي على وجه التحديد Base-Policy وكذلك يمكن تحريرها والتي يمكن رؤيتها من   علامة. يتم وضع إعدادات التوريث للإشارة إلى Base-Policy كما هو موضح في الصورة.

    وبالمثل، فإن المستخدم L2-AA-admin الذي ينتمي إلى مجال L2-Domain-AA1 لديه التحكم فقط في السياسة L2-AA-Policy المعرفة في المجال كما هو موضح في الصورة. يرث L2-AA-Policy السياسة L1-A-policy المعرفة في L1-Domain-A والتي ترث بدورها سياسة base-Policy المعرفة في Global domain. بالإضافة إلى ذلك، يمكن تحرير سياسة L2-AA التي يمكن رؤيتها من علامة. لا يمكن لمستخدم L2-AA-admin التبديل إلى مجاله الأصلي على وجه التحديد L1-Domain-A ولا إلى مجاله الأصلي وهو المجال العمومي.

    كما يمكن لمستخدم L1-A-admin ينتمي إلى L1-Domain-A التبديل إلى L2-Domain-AA1 وتحرير سياسة L2-AA-Policy التي يتم رؤيتها من قم بالتوقيع كما هو موضح في الصورة. وهذا ينطبق حتى على مستخدم ينتمي إلى المجال العمومي ويحول إلى المجالات التابعة ويحرر السياسات المحددة في المجال التابع المعين.

    نقاط مهمة يجب ملاحظتها:

      • عند حذف المجالات غير العامة، يتم نقل المستخدمين الذين ينتمون إلى المجالات تلقائيا إلى المجال العمومي.

      • يتم تعريف/يتم تعريف FTD/s دائما في المجال الطرفي. في هذه الحالة، يكون مجال الورق هو L2-domain(أي L2-domain-aa و L2-domain-bb). يمكن تعيين FTD الذي ينتمي إلى L2-Domain إلى النهج الموجود في L1-Domain أو في المجال Global. في هذه الصورة، قامت قائمة التحكم في الوصول (ACP) في المجال العمومي بتعيين FTD المحدد في مجال L3 للسياسة المحددة في المجال العمومي.

    • يمكن للمستخدمين في المجال العمومي التنقل إلى مجالات أخرى خاصة بالمستخدم ولكن المستخدمين من مجال معين لديهم إمكانية رؤية فقط في مجالهم الخاص ومجالات تابعة لهم. لا يمكنهم الانتقال إلى المجال العمومي أو أي مجالات أعلى أخرى، كما هو موضح في هذا الجدول:

    مجال عمومي مجال خاص بالمستخدم

    يتمتع المستخدم في المجال العمومي بإمكانية رؤية لجميع المجالات التي تم تكوينها ويمكنه الانتقال إلى مجالات أخرى.

    سيكون للمستخدم في L1-Domain-A إمكانية رؤية فقط للذاتي ومجال تابع له على وجه التحديد- L2-Domain-AA ويمكنه الانتقال إلى L2-Domain-AA. غير مسموح بالوصول إلى المجال ذي المستوى الأعلى (مثل Global).
      • لا يمكن تأمين الإجراء الافتراضي للنهج التابع بواسطة النهج الأصلي ولا يجب على المستخدم أن يرث الإجراء الافتراضي للنهج الأصلي كما هو الحال في هذه الصورة.


        في هذه الصورة، يمكن ملاحظة أن المستخدم لم يعين الإجراء الافتراضي على أنه الإجراء الأصلي الذي يمكن أن يكون واضحا من الكلمات وراث من النهج الأساسي: لا يظهر في الإجراء الافتراضي.

    ملاحظة: ينبغي ألا يغيب عن البال أن المستخدم لا يمكنه عرض كل من سياسات المجال L1/L2 في نفس الوقت. يحتاج المستخدم إلى التبديل إلى المجال المرغوب لعرض السياسات وتحريرها. على سبيل المثال: إذا كان مسؤول المستخدم الموجود في المجال العمومي يريد عرض السياسات التي تم تكوينها في L1-Domain-A و L2-Domain-AA، يمكن للمستخدم القيام بذلك من خلال التبديل إلى L1-A-Domain لعرض السياسة التي تم تكوينها في هذا المجال وتحريرها ثم التبديل إلى L2-Domain-AA لعرض السياسة المقابلة وتحريرها ولكن لا يمكنه عرض كليهما في الوقت نفسه. أيضا، لا يمكن للمستخدم في L1-Domain-A تحرير السياسة المحددة في المجال العمومي أو حذفها، أي النهج الأساسي الذي هو السياسة الأصلية ل L1-A-Policy، ولا يمكن للمستخدم في L2-Domain-AA تحرير السياسات أو حذفها، أي النهج الأساسي و L2-A-Policy المحدد في المجالات العمومية و L2-Domain-A على التوالي. 

    إستخدام سيناريو الحالة

    ضع في الاعتبار السيناريو الموضح في الصورة، حيث تتم إدارة ملفات الإرسال فائق السرعة (FTD) للموقع A (SiteA-FTD) والموقع B (SiteB-FTD) من قبل وحدة تحكم في الإطارات (FMC) واحدة عبر مجالات مختلفة (متعددة المجالات) لتوفير الوصول المتحكم به. ومن وجهة نظر السياسة العامة، هذه هي اعتبارات السياسة العامة على مستوى المنظمة:

    • قواعد الحظر الخاصة بالخدمة التي يتم تطبيقها على جميع FTD المستقلة عن الموقع أو المجال تنتمي إلى (Base-Policy).
    • القواعد التي تلبي متطلبات الوصول إلى الموقع أ إلى الموقع ب (L1-Policy-A) والموقع ب إلى الموقع أ (L1-Policy-B).
    • قواعد قابلة للتطبيق على FTD في الموقع B (L2-Policy-B).

    التوريث في بيئة متعددة المجالات

    فيما يتعلق بحالة الاستخدام المذكورة أعلاه، ضع في الاعتبار التسلسل الهرمي التالي للمجال/السياسة. SiteA-FTD و SiteB-FTD هما جزء من مجالات الأوراق L1-Domain-A و L2-Domain-B على التوالي.

    تكون بنية التدرج الهرمي للمجال كما يلي:

    • المجال العمومي هو أصل L1-Domain-A وL1-Domain-B.
    • المجال العمومي هو أصل من L2-Domain-B.
    • L2-domain-B تابع ل L1-domain-B
    • L2-Domain-B هو مجال طرفي لأنه لا يحتوي على مجالات تابعة.

    تعرض الصورة التسلسل الهيكلي للمجال كما هو موضح من FMC.

    توضح اللقطة التالية كيفية تعريف القواعد في L1-Policy-A وL2-Policy-B w.r.t للسيناريو المذكور أعلاه.

    يجب دائما مراعاة القواعد وإرثها عند تكوين مجالات متعددة لتجنب حظر حركة المرور الشرعية أو السماح بحركة المرور غير المرغوب فيها.

    تمت المساهمة من قبل

    • Santhosha Shetty
      الخدمات الاحترافية من Cisco
    • Ankita Pal
      الخدمات الاحترافية من Cisco
    • Ravi Daruwala
      الخدمات الاحترافية من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات