جدار الحماية الآمن - تكوين بوابة الإنترنت الآمنة ل Umbrella

تم التحديث:٢٨ يوليو ٢٠٢٣
معرّف المستند:220661

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند التكوين بالتفصيل لنفق VPN لبوابة الإنترنت الآمنة (SIG) من موقع إلى موقع على الدفاع الآمن عن تهديد جدار الحماية.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • شبكات VPN من موقع إلى موقع
    • بوابة إدارة Umbrella
    • مركز إدارة جدار الحماية الآمن (FMC)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية.

    • بوابة إدارة Umbrella
    • Secure Firewall، الإصدار 7.2

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الرسم التخطيطي للشبكة

    Network Diagram

    تكوين نفق شبكة Umbrella

    نفق الشبكة

    تسجيل الدخول إلى لوحة معلومات Umbrella:

    Network Tunnels Tab

    انتقل إلى Deployments > Network Tunnels > Add.

    قم بإضافة نفق جديد، واختر نوع الجهاز ك FTD، وقم بتسميته بشكل مناسب.

    Add a New Tunnel

    أدخل عنوان IP العام ل FTD مع مفتاح آمن مشترك مسبقا.

    ارفق النفق بالموقع المناسب لسياسات المطافئ وتفتيش حركة المرور.

    Configure Tunnel Parameters

    اكتمل الآن التكوين من بوابة Umbrella.

    انتقل إلى مدخل Umbrella عند توصيل النفق لتأكيد حالة شبكة VPN.

    تكوين مركز إدارة جدار الحماية الآمن

    تكوين موقع إلى موقع

    انتقل إلى Devices > Site-to-Site :

    Configure Site-to-Site

    إضافة نفق موقع إلى موقع جديد

    قم بتسمية المخطط واختر VTI المستند إلى المسار:

    Create a New VPN Topology

    إضافة واجهة نفق ظاهري جديدة

    • تسمية واجهة النفق
    • تطبيق منطقة أمان جديدة على الواجهة
    • تعيين رقم معرف النفق بين 0-10413
    • أختر مصدر النفق (واجهة مع IP العام المعرف في بوابة المظلة)
    • قم بإنشاء شبكة فرعية غير موجهة/30 للاستخدام مع شبكة VPN. على سبيل المثال، 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    تكوين عقد المخطط

    تعيين FTD للعقدة A والمظلة لعقدة إكسترانت B:

    Assign Devices to Topology

    يمكن العثور على عناوين IP لنقطة النهاية للاستخدام مع مراكز بيانات Umbrella هنا.

    أختر مركز البيانات الأقرب للموقع الفعلي للجهاز.

    تحديد معلمات المرحلة الأولى من IKEv2:

    يمكن العثور على المعلمات المقبولة لمفاوضات النفق هنا.

    انتقل إلى علامة التبويب IKE وقم بإنشاء نهج IKEv2 جديد:

    • قم بتعيين الأولوية المناسبة لتجنب تعارضها مع السياسات الموجودة.
    • عمر المرحلة الأولى هو 14400 ثانية.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    تحديد معلمات المرحلة الثانية من IPsec:

    • يمكن العثور على المعلمات المقبولة لمفاوضات النفق هنا.
    • انتقل إلى IPsec علامة التبويب وإنشاء "مقترح IPsec" جديد.

    Create IKEv2 IPsec Proposal

    تأكد من تطابق معلمات المرحلة 2 مع ما يلي:

    Review IPsec Configuration

    حفظ المخطط والنشر في جدار الحماية.

    تكوين التوجيه المستند إلى السياسة (PBR)

    انتقل إلى Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    إضافة نهج جديد.

    Add a New Policy-Based Routing Configuration

    تكوين إجراءات إعادة التوجيه:

    Configure Forwarding Options

    قم بإنشاء قائمة التحكم في الوصول (ACL) المطابقة لحركة المرور التي يجب أن تنتقل عبر نفق SIG:

    Create a New Extended ACL

    إضافة إدخالات التحكم في الوصول التي تحدد حركة مرور SIG للمظلة:

    Add ACE for SIG Traffic

      • تحدد شبكات المصدر حركة مرور البيانات الداخلية.
      • شبكات الوجهة هي الشبكات البعيدة التي يجب فحصها بواسطة Umbrella.

    قائمة التحكم في الوصول (ACL) الموسعة المكتملة:

    Review the New Extended ACL

    التكوين Send To:

    Configure Send To Destination

    تحديد Send To عنوان IPv4 هو ثاني عنوان IP متاح في الشبكة الفرعية /30.

    note-icon

    ملاحظة: لم يتم تعريف عنوان IP هذا في Umbrella. إنها مطلوبة فقط لإعادة توجيه حركة المرور.

    PBR مكتمل:

    Completed PBR Configuration

    دون أسماء واجهة الدخول، يلزم هذا لاحقا لتكوين سياسة التحكم في الوصول (ACP) وترجمة عنوان الشبكة (NAT).

    حفظ التكوين والنشر في جدار الحماية.

    تكوين NAT و ACP

    انتقل إلى Devices > NAT.

    قم بإنشاء قاعدة NAT يدوية جديدة كهذه:

    Create a New NAT Rule

      • واجهة المصدر - مصدر محمي داخلي.
      • غاية قارن - أي - هذا يسمح الحركة مرور أن يكون حولت إلى ال VTI.

    الترجمة:

    Configure Translation

      • مصدر أصلي ومترجم - كائن شبكة محمي داخلي
      • الوجهة الأصلية والمترجمة - any4 - 0.0.0.0/0

    انتقل إلى Policy > Access Control.

    إنشاء قاعدة ACP جديدة كهذه:

    Create a New ACP Rule

      • منطقة المصدر - المصدر المحمي الداخلي.
      • منطقة الوجهة - منطقة VTI - وهذا يسمح لحركة المرور بأن يتم تحويلها إلى VTI.

    الشبكات:

    Define Permitted Traffic

      • الشبكات المصدر - كائن (كائنات) الشبكة المحمية الداخلية
      • شبكات الوجهة - any4 - 0.0.0.0/0

    قم بحفظ التكوين ونشره في جدار الحماية.

    التحقق من الصحة

    المراقبة من موقع إلى موقع

    تحقق من حالة النفق باستخدام أداة المراقبة من موقع إلى موقع لمركز إدارة جدار الحماية الآمن (FMC).

    انتقل إلى Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    تحقق من أن حالة النفق متصلة الآن:

    Verify Tunnel Status in FMC

    واذ يحوم المؤشر فوق الطوبولوجيا يعرض خيارات أكثر تفصيلا. ويمكن إستخدام هذا الإجراء لفحص الحزم التي تنتقل من النفق ومنه بالإضافة إلى وقت النفق لأعلى ومختلف حالات النفق الأخرى.

    لوحة معلومات المظلة

    من لوحة المعلومات، انتقل إلى Active Network Tunnels. يجب أن يكون هناك حلقة زرقاء تشير إلى أن النفق متصل.

    Verify Tunnel Status in Umbrella Dashboard

    قم بتوسيع النفق المناسب للاطلاع على مزيد من التفاصيل حول حركة المرور المتدفقة عبر النفق:

    show details of VPN in Umbrella Dashboard

    إظهار النفق كنشط مع مرور البيانات عبر النفق.

    مضيف داخلي

    من مضيف داخلي أن يتلقى حركة مرور هو يجتاز النفق، أنجزت بحث عام IP من متصفح ويب. إذا كان عنوان IP العام الظاهر يقع داخل هذين النطاقين، فسيتم حماية الجهاز الآن بواسطة SIG.

    Internal Host Verification Test

    واجهة سطر الأوامر (CLI) الخاصة بالدفاع ضد تهديد جدار الحماية

    إظهار الأوامر:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    استكشاف الأخطاء وإصلاحها

    واجهة سطر الأوامر (CLI) الخاصة بالدفاع ضد تهديد جدار الحماية

    تصحيح أخطاء IKEv2:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    التقاط ISAKMP:

    يمكن إستخدام التقاط ISAKMP لتحديد ما يسبب مشاكل اتصال النفق دون الحاجة إلى تصحيح الأخطاء. بناء جملة الالتقاط المقترحة هي: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    27-Jul-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Tristan Conner
      Information Security Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات