يقوم تفاوض مفتاح إنترنت التبادلي (IKE) للوضع الرئيسي بتأسيس قناة آمنة، تعرف باقتران أمان (SA) بروتوكول إدارة المفتاح (ISAKMP)، بين جهازي كمبيوتر. يستخدم اقتران أمان ISAKMP لحماية عمليات تبادل المفاتيح اللاحقة بين أجهزة الكمبيوتر النظير، المعروفة بتفاوض الوضع السريع. لتأسيس قناة آمنة، يحدد تفاوض الوضع الرئيسي مجموعة من مجموعات حماية التشفير، كما تقوم بعملية تبادل مادة المفتاح لإنشاء المفتاح السري المشترك، وكذا تقوم بالمصادقة على هويات الكمبيوتر.
يمكن لاقترانات الأمان الخاصة بمراقبة الوضع الأساسي تقديم معلومات عن ماهية النظراء المتصلة حالياً بهذا الكمبيوتر، وعند إنشاء SA، وكذا مجموعة الحماية المستخدمة في إنشاء اقتران أمان، ومعلومات أخرى.
عوامل تصفية عامة
تعتبر عوامل التصفية العامة عوامل تصفية IP تم تكوينها بحيث تستخدم أياً من خيارات عنوان IP إما كعنوان مصدر أو عنوان وجهة. يسمح لك IPsec باستخدام الكلمات الأساسية، مثل My IP Address و DNS Server و DHCP Server و WINS Servers و Default Gateway في تكوين عوامل التصفية. عند استخدام الكلمات الأساسية، تقوم عوامل التصفية العامة بإظهارها في الأداة الإضافية 'مراقبة أمان IP' (IP Security Monitoring). وعن طريق توسيع الكلمات الأساسية في عناوين IP، يتم اشتقاق عوامل تصفية معينة.
إضافة الأعمدة وإزالتها وفرزها
يمكنك إضافة هذه الأعمدة وإزالتها وإعادة ترتيبها وفرزها في جزء النتائج:
- Name.
- Source. يشير هذا إلى عنوان IP الخاص بالحزمة المصدر.
- Destination. يشير هذا إلى عنوان IP الخاص بالحزمة الوجهة.
- IKE Policy. يشير هذا إلى اسم نهج IKE المقترن بعامل التصفية العام هذا، وليس اسم نهج IPsec الذي قمت بإنشائه باستخدام الأداة الإضافية 'نهج IPsec' (IPsec Policy). يمكن عرض تفاصيل النهج، مثل مجموعة خوارزميات التشفير المستخدمة، في عنصر نهج IKE.
- Authentication Methods. يشير هذا إلى قائمة تحتوي على كافة أساليب المصادقة المتوفرة لعامل التصفية هذا، مرتبة حسب الأفضلية.
- Connection Type. يشير هذا إلى نوع الاتصال الذي يتم تطبيق عامل التصفية هذا عليه، سواء كان اتصال الشبكة المحلية أو الوصول عن بُعد أو كافة أنواع اتصالات الشبكات.
عوامل التصفية المعينة
يتم توسيع عوامل تصفية محددة من عوامل التصفية العامة عن طريق استخدام عناوين IP الخاصة بالكمبيوتر المصدر أو الوجهة للاتصال الفعلي. على سبيل المثال، إذا كان لديك عامل تصفية يستخدم الخيار My IP Address على أنه العنوان المصدر والخيار DHCP Server على أنه العنوان الوجهة، فعندما يتم تكوين اتصال عن طريق استخدام عامل التصفية هذا، يتم إنشاء عامل تصفية يكون لديه عنوان IP الخاص بالكمبيوتر وعنوان IP الخاص بخادم DHCP اللذين يستخدمهما الكمبيوتر.
ملاحظة | |
يمكن لإداة مراقبة أمان IP أن تحلل أيضاً عناوين IP إلى أسماء DNS لمجلد عوامل التصفية المعينة في مجلد الوضع السريع، وليس في مجلد الوضع الرئيسي. |
إضافة الأعمدة وإزالتها وفرزها
يمكنك إضافة هذه الأعمدة الموجودة في جزء النتائج وإزالتها وإعادة ترتيبها والفرز باستخدامها:
- Name.
- Source. يشير هذا إلى عنوان IP الخاص بالحزمة المصدر.
- Destination. يشير هذا إلى عنوان IP الخاص بالحزمة الوجهة.
- Direction. يحدد هذا ما إذا كان عامل التصفية للوارد أم للصادر.
- IKE Policy. يشير هذا إلى اسم نهج IKE، وليس اسم نهج IPsec الذي قمت بإنشائه باستخدام الأداة الإضافية IPsec Policy. يمكن عرض تفاصيل النهج، مثل مجموعة خوارزميات التشفير المستخدمة، في عنصر نهج IKE.
- Authentication Methods. يشير هذا إلى قائمة تحتوي على كافة أساليب المصادقة المتوفرة لعامل التصفية هذا، مرتبة حسب الأفضلية.
- Weight. يشير هذا إلى الأولوية التي تمنحها خدمة IPsec إلى عامل التصفية. يتم اشتقاق الكثافة من عدد من العوامل. لمزيد من المعلومات، راجع
https://go.microsoft.com/fwlink/?LinkId=64112 .
ملاحظة يتم تعيين خاصية 'الكثافة' (weight) دائماً إلى '0' على أجهزة الكمبيوتر التي تعمل باستخدام Windows Vista® أو Windows Server® 2008 أو الإصدارات الأحدث من Windows.
نُهج IKE
يشير نهج تبادل مفتاح إنترنت (IKE) إلى أسلوبي التكامل والتشفير اللذين يمكن لجهازي الكمبيوتر النظيرين التفاوض معهما في تبادل مفتاح الوضع الرئيسي.
الإحصائيات
يعرض هذا الجدول الإحصائيات المتاحة في عرض إحصائيات الوضع الرئيسي:
ملاحظة | |
لا يتم تطبيق بعض من هذه الإحصائيات على أجهزة الكمبيوتر التي تعمل باستخدام Windows Vista أو Windows Server 2008 أو الإصدارات الأحدث من Windows. |
إحصاء IKE | الوصف |
---|---|
Active Acquire | يكون acquire هو طلب من برنامج تشغيل IPSec لقيام IKE بتنفيذ المهمة. يتضمن الإحصاء Active Acquire الطلب غير الاعتيادي وعدد الطلبات التي تم إدراجها في قائمة الانتظار، في حالة وجودها. نموذجياً، يكون عدد مرات الحصول النشطة 1. عندما يكون التحميل كبيرًا، يكون عدد مرات الحصول النشطة 1 ويتزايد عدد الطلبات التي وضعها تبادل مفتاح إنترنت في قائمة الانتظار (IKE) في قائمة الانتظار للمعالجة. |
Active Receive | عدد رسائل تبادل مفتاح إنترنت (IKE) التي تم تلقيها والموضوعة ضمن قائمة انتظار للمعالجة. |
Acquire Failures | عدد مرات فشل الحصول. |
Receive Failures | عدد المرات التي فشلت فيها وظيفة Windows Sockets WSARecvFrom() أثناء تلقي رسائل تبادل مفتاح إنترنت (IKE). |
Send Failures | عدد المرات التي فشلت فيها وظيفة Windows Sockets WSASendTo() أثناء إرسال رسائل تبادل مفتاح إنترنت (IKE). |
Acquire Heap Size | عدد الإدخالات في كومة الذاكرة المؤقتة للحصول، والتي تخزّن مرات الحصول النشطة. يزداد هذا الرقم عندما يكون التحميل كبيرًا ثم يتناقص بالتدريج مع مرور الوقت، وذلك مع مسح كومة الذاكرة المؤقتة للحصول. |
Receive Heap Size | عدد الإدخالات في مخزنات التلقي المؤقتة IKE لرسائل IKE الواردة. |
Authentication Failures | العدد الإجمالي لمرات فشل مصادقات الهوية (Kerberos، و شهادة، ومفتاح تمت مشاركته مسبقاً) والتي تحدث أثناء تفاوض الوضع الرئيسي. إذا كنت تواجه أي صعوبة في الاتصال بشكل آمن، فحاول الاتصال وراجع هذا الإحصاء لمعرفة ما إذا كان هذا الرقم يزداد. إذا حدث ذلك، فافحص إعدادات المصادقة بحثاً عن أسلوب مصادقة غير مطابق، أو تكوين أسلوب مصادقة غير صحيح (على سبيل المثال، استخدام مفاتيح تمت مشاركتها مسبقاً غير متطابقة). |
Negotiation Failures | إجمالي عدد عمليات المفاوضات الفاشلة التي حدثت أثناء مفاوضات الوضع الرئيسي (Main Mode) أو الوضع السريع (Quick Mode). إذا كنت تواجه أي صعوبة في الاتصال بشكل آمن، فحاول الاتصال ثم وراجع هذا الإحصاء لمعرفة ما إذا كان هذا الرقم يزداد. إذا حدث ذلك، فافحص إعدادات أسلوب الأمان والمصادقة بحثاً عن أسلوب مصادقة غير مطابق، أو تكوين أسلوب مصادقة غير صحيح (على سبيل المثال، استخدام مفاتيح تمت مشاركتها مسبقاً غير متطابقة)، أو إعدادات أو أساليب أمان غير متطابقة. |
Invalid Cookies Received | ملف تعريف الارتباط هو عبارة عن قيمة موجودة في رسالة تبادل مفتاح إنترنت (IKE) متلقاة يتم استخدامها من قبل IKE للعثور على حالة وضع رئيسي نشط. إن ملف تعريف الارتباط ضمن رسالة IKE لا يمكن مطابقته مع وضع رئيسي نشط غير صالح. |
Total Acquire | هو العدد الإجمالي لطلبات العمل المرسلة من قبل IKE إلى IPSec. |
Total Get SPI | هو العدد الإجمالي للطلبات المرسلة من قبل IKE إلى IPSec للحصول على فهرس معلمات أمان فريد (SPI). |
Key Additions | عدد اقترانات أمان الوضع السريع (SA) الصادرة المضافة من قبل IKE إلى برنامج تشغيل IPSec. |
Key Updates | عدد اقترانات أمان الوضع السريع (SA) الواردة المضافة من قبل IKE إلى برنامج تشغيل IPSec. |
Get SPI Failures | هو عدد الطلبات الفاشلة المرسلة من قبل IKE إلى برنامج تشغيل IPSec للحصول على SPI فريد. |
Key Addition Failures | عدد الطلبات الفاشلة لإضافة اقترانات أمان الوضع السريع الصادرة والمرسلة من قبل IKE إلى برنامج تشغيل IPSec. |
Key Update Failures | عدد الطلبات الفاشلة الإضافة اقتران أمان الوضع السريع الواردة والمرسلة من قبل IKE إلى برنامج تشغيل IPSec. |
ISADB List Size | عدد إدخالات حالة الوضع الرئيسي، بما فيها الأوضاع الرئيسية التي تم التفاوض عليها، والأوضاع الرئيسية قيد التقدّم، والأوضاع الرئيسية الفاشلة ولم يتم حذفها. |
Connection List Size | عدد إدخالات حالة الوضع السريع. |
IKE Main Mode | العدد الإجمالي لاقترانات الأمان الناجحة والتي نشأت أثناء عمليات تفاوض الوضع الرئيسي. |
IKE Quick Mode | العدد الإجمالي لاقترانات الأمان الناجحة التي نشأت أثناء عمليات تفاوض الوضع السريع. بسبب وجود اقترانات أمان وضع سريع متعددة تم إنشاؤها عادةً لكل اقتران أمان وضع رئيسي، فقد لا يتطابق هذا العدد بالضرورة مع رقم الوضع الرئيسي. |
Soft Associations | العدد الإجمالي لعمليات التفاوض التي أسفرت عن استخدام النص العادي (يعرف أيضاً باقترانات الأمان البسيطة). يعكس هذا عادةً عدد الاقترانات المشكّلة مع أجهزة الكمبيوتر التي لم تستجب لمحاولات تفاوض الوضع الرئيسي. يمكن أن يتضمن هذا كلاً من أجهزة الكمبيوتر غير المتوافقة مع IPSec وأجهزة الكمبيوتر المتوافقة مع IPSec والتي ليس لديها نهج IPSec للتفاوض على الأمان مع نظير IPSec هذا. على الرغم من أن اقترانات الأمان البسيطة ليست نتيجة لعمليات تفاوض الوضع السريع والوضع الرئيسي، تتم معاملتها كاقترانات أمان الوضع السريع. |
Invalid Packets Received | عدد رسائل تبادل مفتاح إنترنت (IKE) المتلقاة غير الصالحة، بما فيها رسائل IKE ذات حقول رأس غير صالحة، وأطوال حمل غير صحيحة، وقيم غير صحيحة لملف تعريف ارتباط المستجيب (عندما يجب تعيين القيمة إلى 0). يكون السبب عادة في وجود رسائل تبادل مفتاح إنترنت (IKE) غير صالحة هو رسائل IKE لا معنى لها تم إعادة إرسالها أو بسبب وجود مفتاح غير متطابق تمت مشاركته مسبقاً بين نظائر IPSec. |
ملاحظة | |
بعض هذه الإحصائيات يمكن استخدامها للكشف عن محاولات الهجوم على الشبكة. |
اقترانات الأمان
يظهر هذا العرض اقترانات الأمان النشطة مع هذا الكمبيوتر. اقتران الأمان (SA) هو تركيبة من مفتاح تم التفاوض عليه وبروتوكول أمان وفهرس معلمات أمان (SPI), وهذه التركيبة في مجملها تعرّف الأمان الذي يتم استخدامه لحماية الاتصال من المرسل إلى المتلقي. لهذا، فبالنظر إلى اقترانات الأمان لكمبيوتر بعينه، يمكنك تحديد أجهزة الكمبيوتر المتصلة به ونمط تكامل المعلومات وتشفيرها المستخدم لهذا الاتصال وغير ذلك من المعلومات.
تكمن فائدة هذه المعلومات في اختبار نُهُج أمان بروتوكول إنترنت (IPsec) واستكشاف مشاكل الوصول وإصلاحها.
إضافة الأعمدة وإزالتها وفرزها
يمكنك إضافة هذه الأعمدة الموجودة في جزء النتائج وإزالتها وإعادة ترتيبها والفرز باستخدامها:
- Me . يشير هذا إلى عنوان IP الخاص بالكمبيوتر المحلي.
- My ID. يشير هذا إلى اسم DNS الخاص بالكمبيوتر المحلي.
- Peer. يشير هذا إلى عنوان IP الخاص بالكمبيوتر البعيد أو النظير.
- Peer. يشير هذا إلى اسم DNS الخاص بالكمبيوتر البعيد أو النظير.
- Authentication . يشير هذا إلى أسلوب المصادقة المستخدم في إنشاء اقتران الأمان (SA).
- Encryption. يشير هذا إلى أسلوب التشفير الذي يتم استخدامه بواسطة اقتران الأمان بالنسبة لتغييرات المفتاح الخاصة بالوضع السريع.
- Integrity. يشير هذا إلى أسلوب تكامل البيانات الذي يتم استخدامه بواسطة اقتران الأمان بالنسبة لتغييرات المفتاح الخاصة بالوضع السريع.
- Diffie-Hellman. يشير هذا إلى مجموعة Diffie-Hellman التي يتم استخدامها لإنشاء اقتران أمان الوضع الرئيسي.