تكوين وصول الإدارة إلى FTD (HTTPS و SSH) عبر FMC

خيارات التنزيل

  • PDF     (835.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (670.3 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (610.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٩ يوليو ٢٠٢٢
معرّف المستند:200701

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين وصول الإدارة إلى الدفاع ضد تهديد FirePOWER (FTD) (HTTPS و SSH) عبر مركز إدارة FireSIGHT (FMC).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة تقنية FirePOWER
    • معرفة أساسية ب ASA (أجهزة الأمان المعدلة)
    • معرفة الوصول إلى الإدارة على ASA عبر HTTPS و SSH (طبقة الأمان)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • جهاز الأمان القابل للتكيف (ASA) صورة الدفاع عن تهديد FirePOWER ل ASA (5506X/5506H-X/5506W-X، ASA 5508-X، ASA 5516-X)، والتي تعمل على الإصدار 6.0.1 والأعلى من البرنامج.
    • صورة الدفاع عن تهديد ASA Firepower ل ASA (5515-X، ASA 5525-X، ASA 5545-X، ASA 5555-X، ASA 5585-X)، والتي تعمل على إصدار البرنامج 6.0.1 وأعلى.
    • مركز إدارة Firepower (FMC)، الإصدار 6. 0.1 والإصدارات الأحدث.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    مع بدء تشغيل برنامج الدفاع ضد تهديدات الحماية من FirePOWER (FTD)، يتم إجراء تكوين ASA بالكامل على واجهة المستخدم الرسومية (GUI).

    في أجهزة FTD التي تشغل إصدار البرنامج 6.0.1، يتم الوصول إلى واجهة سطر الأوامر (CLI) التشخيصية ل ASA بينما تقوم بإدخال واجهة سطر الأوامر لدعم النظام. ومع ذلك، في أجهزة FTD التي تشغل إصدار البرنامج 6.1.0، يتم تجميع واجهة سطر الأوامر (CLI)، ويتم تكوين أوامر ASA بالكامل على CLISH.

    Screen Shot 2016-08-08 at 11.52.17 AM

    للحصول على وصول الإدارة مباشرة من شبكة خارجية، يجب تكوين وصول الإدارة عبر HTTPS أو SSH. يقدم هذا المستند التكوين الضروري المطلوب للحصول على وصول الإدارة عبر SSH أو HTTPS خارجيا.

    ملاحظة: في أجهزة FTD التي تشغل الإصدار 6.0.1 من البرنامج، لا يمكن الوصول إلى CLI من قبل مستخدم محلي، يجب تكوين مصادقة خارجية لمصادقة المستخدمين. ومع ذلك، في أجهزة FTD التي تشغل إصدار البرنامج 6.1.0، يتم الوصول إلى CLI من قبل مستخدم المسؤول المحلي بينما تكون المصادقة الخارجية مطلوبة لجميع المستخدمين الآخرين.

    ملاحظة: في أجهزة FTD التي تشغل إصدار البرنامج 6.0.1، لا يمكن الوصول إلى CLI التشخيصي مباشرة عبر IP الذي تم تكوينه ل BR1 من FTD. ومع ذلك، في أجهزة FTD التي تشغل إصدار البرنامج 6.1.0، يمكن الوصول إلى واجهة سطر الأوامر (CLI) المجمعة عبر أي واجهة تم تكوينها للوصول إلى الإدارة، ومع ذلك، يجب تكوين الواجهة باستخدام عنوان IP.

    التكوين

    يتم تكوين كل التكوين المرتبط بالوصول إلى الإدارة أثناء تنقلك إلى علامة التبويب إعدادات النظام الأساسي في الأجهزة، كما هو موضح في الصورة:

    Screen Shot 2016-04-30 at 1.31.22 PM

    إما أن تقوم بتحرير السياسة الموجودة عند النقر على أيقونة القلم الرصاص أو إنشاء سياسة FTD جديدة وأنت تنقر على زر سياسة جديدة وتحدد كتابة كإعدادات للدفاع عن التهديد، كما هو موضح في الصورة:

    Screen Shot 2016-04-30 at 1.31.47 PM

    حدد جهاز FTD لتطبيق هذا النهج وانقر فوق حفظ، كما هو موضح في الصورة:

    Screen Shot 2016-04-11 at 1.25.33 PM

    تكوين الوصول إلى الإدارة

    هذه هي الخطوات الأربع الرئيسية التي تم إتخاذها لتكوين الوصول إلى الإدارة.

    الخطوة 1. قم بتكوين IP على واجهة FTD عبر واجهة المستخدم الرسومية (GUI) ل FMC.

    قم بتكوين IP على الواجهة التي يمكن الوصول من خلالها إلى FTD عبر SSH أو HTTPS. قم بتحرير الواجهات الموجودة أثناء التنقل إلى علامة التبويب الواجهات في FTD. 

    ملاحظة: في أجهزة FTD التي تشغل الإصدار 6.0.1 من البرنامج، تكون واجهة الإدارة الافتراضية على FTD هي الواجهة diagnostic0/0. ومع ذلك، في أجهزة FTD التي تشغل إصدار البرنامج 6.1.0، تدعم جميع الواجهات الوصول إلى الإدارة باستثناء واجهة التشخيص.

    هناك ست خطوات لتكوين الواجهة التشخيصية.

    الخطوة 1. انتقل إلى جهاز > إدارة الأجهزة. 

    الخطوة 2. حدد الجهاز أو مجموعة FTD HA.

    الخطوة 3. انتقل إلى علامة التبويب الواجهات.

    الخطوة 4. انقر أيقونة القلم الرصاص لتكوين/تحرير الواجهة للحصول على الوصول إلى الإدارة، كما هو موضح في الصورة:

    Screen Shot 2016-08-19 at 7.27.52 PM


    الخطوة 5. حدد خانة الاختيار enable لتمكين الواجهات. انتقل إلى علامة التبويب IPv4، أختر نوع IP كثابت أو DHCP. دخلت الآن عنوان للقارن وطقطقة ok، كما هو موضح في الصورة:

    Screen Shot 2016-08-19 at 7.18.27 PM

    الخطوة 6. انقر فوق حفظ ثم قم بنشر النهج في FTD.

    ملاحظة: لا يمكن إستخدام واجهة التشخيص للوصول إلى واجهة سطر الأوامر (CLI) المجمعة عبر SSH على الأجهزة ذات إصدار البرنامج 6.1.0

    الخطوة 2. تكوين المصادقة الخارجية.

    تسهل المصادقة الخارجية دمج FTD في خادم Active Directory أو RADIUS لمصادقة المستخدم. هذه خطوة ضرورية لأن المستخدمين الذين تم تكوينهم محليا ليس لديهم حق الوصول المباشر إلى CLI التشخيصي. يتم الوصول إلى واجهة سطر الأوامر التشخيصية وواجهة المستخدم الرسومية (GUI) فقط من قبل المستخدمين الذين تمت مصادقتهم عبر بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) أو RADIUS.

    هناك 6 خطوات لتكوين المصادقة الخارجية.

    الخطوة 1. انتقل إلى أجهزة > إعدادات النظام الأساسي.

    الخطوة 2. إما أن تقوم بتحرير النهج الموجود وأنت تنقر على أيقونة القلم الرصاص أو تقوم بإنشاء سياسة FTD جديدة وأنت تنقر على زر سياسة جديدة ثم تحدد كتابة ك إعدادات الدفاع عن التهديد.

    الخطوة 3. انتقل إلى علامة التبويب المصادقة الخارجية، كما هو موضح في الصورة:

    Screen Shot 2016-04-11 at 2.21.53 PM


    الخطوة 4. وأنت تنقر على إضافة، تظهر شاشة كما هو موضح في الصورة:

    • تمكين ل HTTP- قم بتمكين هذا الخيار لتوفير الوصول إلى FTD عبر HTTPS.

    • enable ل SSH- قم بتمكين هذا الخيار لتوفير الوصول إلى FTD عبر SSH.

    • الاسم- أدخل اسم اتصال LDAP.

    • الوصف- أدخل وصفا إختياريا لكائن المصادقة الخارجية.

    • عنوان IP- أدخل كائن شبكة يقوم بتخزين IP الخاص بخادم المصادقة الخارجي. في حالة عدم تكوين كائن شبكة، قم بإنشاء كائن جديد. انقر على أيقونة (+).

    • أسلوب المصادقة- تحديد بروتوكول RADIUS أو LDAP للمصادقة.

    • قم بتمكين SSL-enable هذا الخيار لتشفير حركة مرور المصادقة.

    • نوع الخادم- حدد نوع الخادم. أنواع الخوادم المعروفة جيدا هي MS Active Directory و Sun و OpenLDAP و Novell. بشكل افتراضي، يكون الخيار مضبوطا على الاكتشاف التلقائي لنوع الخادم.

    • port- أدخل المنفذ الذي تتم المصادقة عليه.

    • المهلة- أدخل قيمة المهلة لطلبات المصادقة.

    • شبكة DN الأساسية- أدخل شبكة DN أساسية لتوفير نطاق يمكن للمستخدم أن يكون موجودا داخله.

    • نطاق LDAP- حدد نطاق LDAP الذي تريد البحث عنه. يكون النطاق ضمن نفس المستوى أو للبحث داخل الشجرة الفرعية.

    • اسم المستخدم- أدخل اسم مستخدم للربط بدليل LDAP.

    • كلمة مرور المصادقة - أدخل كلمة المرور لهذا المستخدم.

    • تأكيد- إعادة إدخال كلمة المرور.

    • الواجهات المتاحة- يتم عرض قائمة بالواجهات المتاحة على FTD.

    • المناطق والواجهات المحددة- يعرض هذا قائمة بالواجهات التي يتم الوصول من خلالها إلى خادم المصادقة.

    لمصادقة RADIUS، لا يوجد نطاق DN أو LDAP أساسي لنوع الخادم. المنفذ هو منفذ RADIUS 1645.

    سري- أدخل المفتاح السري ل RADIUS.

    Screen Shot 2016-04-11 at 2.40.34 PM

    Screen Shot 2016-04-11 at 2.40.34 PM

    الخطوة 5. ما إن يتم التشكيل، طقطقت ok.

    الخطوة 6. قم بحفظ النهج ونشره إلى جهاز الدفاع الخاص بتهديد FirePOWER.

    ملاحظة: لا يمكن إستخدام المصادقة الخارجية للوصول إلى واجهة سطر الأوامر (CLI) المتقاربة عبر SSH على الأجهزة ذات إصدار البرنامج 6.1.0

    الخطوة 3. تكوين وصول SSH.

    يوفر بروتوكول SSH الوصول المباشر إلى واجهة سطر الأوامر (CLI) المتقاربة. أستخدم هذا الخيار للوصول مباشرة إلى واجهة سطر الأوامر (CLI) وتشغيل أوامر تصحيح الأخطاء.يصف هذا القسم كيفية تكوين SSH للوصول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD.

    ملاحظة: في أجهزة FTD التي تشغل الإصدار 6.0.1 من البرنامج، يوفر تكوين SSH على إعدادات النظام الأساسي الوصول إلى CLI التشخيصي مباشرة وليس CLISH. أنت تحتاج أن يربط إلى العنوان يشكل على br1 أن ينفذ ال CLISH. ومع ذلك، في أجهزة FTD التي تشغل الإصدار 6.1.0 من البرنامج، تقوم جميع الواجهات بالانتقال إلى واجهة سطر الأوامر (CLI) المتقاربة عند الوصول إليها عبر SSH

    هناك 6 خطوات لتكوين SSH على ASA

    في أجهزة 6.0.1 فقط:

    يتم تنفيذ هذه الخطوات على أجهزة FTD باستخدام إصدار برنامج أقل من 6.1.0 وأكثر من 6.0.1. في أجهزة 6.1.0، تكون هذه المعلمات موروثة من نظام التشغيل.

    الخطوة 1. انتقل إلى الأجهزة>إعدادات النظام الأساسي.

    الخطوة 2. إما أن تقوم بتحرير النهج الموجود عند النقر فوق رمز القلم الرصاص أو إنشاء نهج جديد للدفاع عن تهديد Firepower عند النقر فوق زر نهج جديد ثم تحديد كتابة كإعدادات الدفاع عن التهديد.

    الخطوة 3. انتقل إلى قسم طبقة الأمان. تظهر صفحة، كما هو موضح في الصورة:

    إصدار SSH: حدد إصدار SSH للتمكين على ASA. هناك ثلاثة خيارات:

    • 1: تمكين الإصدار 1 من SSH فقط
    • 2: تمكين الإصدار 2 من SSH فقط
    • 1 و 2: تمكين كل من الإصدار 1 و 2 من SSH

    المهلة: أدخل مهلة SSH المطلوبة في دقائق.

    enable secure copy- قم بتمكين هذا الخيار من تكوين الجهاز للسماح باتصالات النسخ الآمن (SCP) والعمل كخادم SCP.

    Screen Shot 2016-04-11 at 1.36.04 PM

    على الأجهزة 6. 0. 1 و 6. 1. 0:

    تم تكوين هذه الخطوات للحد من وصول الإدارة عبر بروتوكول SSH إلى واجهات معينة وعناوين IP معينة.

    Screen Shot 2016-07-17 at 6.06.27 AM

    الخطوة 1. طقطقة يضيف ويشكل هذا خيار:

    عنوان IP: حدد كائن شبكة يحتوي على الشبكات الفرعية المسموح لها بالوصول إلى واجهة سطر الأوامر عبر SSH. إذا كان كائن الشبكة غير موجود، قم بإنشاء كائن وأنت تنقر على أيقونة (+).

    المناطق/الواجهات المحددة: حدد المناطق أو الواجهات التي يتم الوصول من خلالها إلى خادم SSH.

    الخطوة 2. طقطقة ok، كما هو موضح في الصورة:

    Screen Shot 2016-04-11 at 1.47.12 PM

    يتم عرض تكوين SSH في واجهة سطر الأوامر (CLI) المجمعة (ASA Diagnostic CLI في الأجهزة 6.0.1) باستخدام هذا الأمر.

    > show running-config ssh
    ssh 172.16.8.0 255.255.255.0 inside

    الخطوة 3. بمجرد إجراء تكوين SSH، انقر فوق حفظ ثم قم بنشر النهج على FTD.

    الخطوة 4. تكوين وصول HTTPS.

    لتمكين وصول HTTPS إلى واجهة واحدة أو أكثر، انتقل إلى قسم HTTP في إعدادات النظام الأساسي. يعد وصول HTTPS مفيدا بشكل خاص لتنزيل لقطات الحزمة من واجهة الويب الآمنة التشخيصية مباشرة للتحليل. 

    هناك 6 خطوات لتكوين وصول HTTPS.

    الخطوة 1. انتقل إلى الأجهزة > إعدادات النظام الأساسي

    الخطوة 2. قم إما بتحرير نهج إعدادات النظام الأساسي الموجود أثناء النقر فوق أيقونة القلم الرصاص بجانب النهج أو قم بإنشاء نهج FTD جديد أثناء النقر فوق نهج جديد. حدد النوع كحماية ضد تهديد FirePOWER.

    الخطوة 3. وأنت تقوم بالتصفح إلى قسم HTTP، تظهر صفحة كما هو موضح في الصورة.

    تمكين خادم HTTP: تمكين هذا الخيار لتمكين خادم HTTP على FTD.

    المنفذ: حدد المنفذ الذي يقبل FTD إتصالات الإدارة عليه.

    Screen Shot 2016-04-11 at 1.59.50 PM


    الخطوة 4.انقر فوق إضافة وتظهر الرسالة كما هو موضح في الصورة:

    عنوان IP- أدخل الشبكات الفرعية المسموح لها بالوصول إلى HTTPS إلى واجهة التشخيص. إذا كان كائن الشبكة غير موجود، فقم بإنشاء كائن واستخدم الخيار (+).

    المناطق/الواجهات المحددة- مثل SSH، يلزم أن يحتوي تكوين HTTPS على واجهة تم تكوينها فوقها ويمكن الوصول إليها عبر HTTPS. حدد المناطق أو الواجهة التي يتم الوصول من خلالها إلى FTD عبر HTTPS.

    Screen Shot 2016-04-11 at 2.06.34 PM

    يتم عرض تكوين HTTPS في واجهة سطر الأوامر (CLI) المجمعة (ASA Diagnostic CLI في أجهزة 6.0.1) ويستخدم هذا الأمر.

    > show running-config http
    http 172.16.8.0 255.255.255.0 inside

    الخطوة 5. بمجرد إتمام التكوين اللازم، حدد موافق.

    الخطوة 6. بمجرد إدخال كافة المعلومات المطلوبة، انقر فوق حفظ ثم قم بنشر النهج على الجهاز.

    التحقق من الصحة

    لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

    استكشاف الأخطاء وإصلاحها

    هذه هي الخطوات الأساسية لاستكشاف أخطاء الوصول إلى الإدارة وإصلاحها على FTD.

    الخطوة 1. ضمنت أن مكنت القارن يكون وشكلت مع عنوان.

    الخطوة 2. تأكد من أن المصادقة الخارجية تعمل كما تم تكوينها ومن إمكانية الوصول إليها من الواجهة المناسبة المحددة في قسم المصادقة الخارجية في إعدادات النظام الأساسي

    الخطوة 3. تأكد من دقة التوجيه على FTD. في إصدار برنامج FTD 6.0.1، انتقل إلى Diagnostic-cli لدعم النظام. قم بتشغيل الأوامر show route وshow route management-only لرؤية المسارات لواجهات FTD والإدارة على التوالي.

    في الإصدار 6.1.0 من برنامج FTD، قم بتشغيل الأوامر مباشرة في واجهة سطر الأوامر (CLI) المتقاربة.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    19-Jul-2022
    التحديثات التي تم إجراؤها على التنسيق و SEO والارتباطات التي تم تصحيحها ومتطلبات النمط والترجمة الآلية والنحو وما إلى ذلك للامتثال لمبادئ Cisco التوجيهية.
    1.0
    24-Oct-2016
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Prashant Joshi
      Technical Solutions Architect
    • Mario Enrique Solorio
      Project Manager

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات