'أمان بروتوكول إنترنت' (IPSec) هو عبارة عن إطار عمل لمقاييس مفتوحة لضمان إجراء اتصالات آمنة وخاصة عبر شبكات IP من خلال استخدام خدمات أمان التشفير. ويستند تطبيق تنفيذ IPSec بواسطة Microsoft Windows إلى مقاييس تم تطويرها من قبل مجموعة عمل IPsec التابعة لفريق مهام هندسة إنترنت (IETF).

يؤسس IPsec الثقة والأمان من عنوان IP مصدر إلى عنوان IP وجهة. أجهزة الكمبيوتر التي يجب أن تتعرف على معدل نقل البيانات الذي تم تأمينه، هي أجهزة الكمبيوتر المرسلة والمتلقية فقط. كل كمبيوتر يتعامل مع الأمان من جانبه, بفرض أن الوسط الذي تتم من خلاله الاتصالات غير آمن. لا يلزم أن يتم اعتماد IPSec من قبل أجهزة الكمبيوتر التي تقوم فقط بتوجيه البيانات من المصدر إلى الوجهة, إلا إذا تم إجراء تصفية الحزمة من نوع جدار الحماية أو تم ترجمة عنوان الشبكة (NAT) بين جهازي الكمبيوتر.

يمكنك استخدام الأداة الإضافية لنهج أمان IP لإنشاء نُهُج IPsec على هذا الكمبيوتر أو أجهزة الكمبيوتر البعيدة وتحريرها وتعيينها على هذا الكمبيوتر وعلى أجهزة الكمبيوتر عن بعد.

ملاحظة

يقصد من هذه الوثائق توفير معلومات كافية لفهم الأداة الإضافية لنهج أمان IP واستخدامها. أما المعلومات المتعلقة بتصميم النُهُج وتوزيعها فتعد خارج نطاق هذه الوثائق.

حول نُهُج IPsec

تستخدم نُهُج IPsec لتكوين خدمات أمان IPsec. توفر النُهج مستويات متعددة من الحماية لغالبية أنواع معدل نقل البيانات في غالبية الشبكات الحالية. يمكنك تكوين نُهج IPSec بحيث تفي بمتطلبات الأمان لجهاز كمبيوتر أو لوحدة تنظيمية (OU) أو لمجال أو لموقع أو لمؤسسة عمومية. يمكنك استخدام الأداة الإضافية 'نُهُج أمان IP' ‏(IP Security Policies) الموجودة في هذا الإصدار من Windows لتعريف نُهُج IPsec لأجهزة الكمبيوتر من خلال كائنات نهج المجموعة (لأعضاء المجال) أو على الكمبيوتر المحلي أو لأجهزة الكمبيوتر البعيدة.

هام

يمكن استخدام الأداة الإضافية 'نهج أمان IP' ‏(IP Security Policy) لإنشاء نُهج IPsec التي يمكن تطبيقها على أجهزة الكمبيوتر التي تعمل باستخدام Windows Vista والإصدارات الحديثة من Windows، إلا أن هذه الأداة الإضافية لا تستخدم خوارزميات الأمان الجديدة والميزات الجديدة الأخرى المتوفرة في Windows Vista والإصدارات الحديثة من Windows. لإنشاء نُهج IPsec الخاصة بأجهزة الكمبيوتر هذه، استخدم الأداة الإضافية جدار حماية Windows مع أمان متقدم. لا تقوم الأداة الإضافية جدار حماية Windows مع أمان متقدم بإنشاء نُهج يمكن تطبيقها على الإصدارات السابقة من Windows.

يتكون نهج IPsec من الإعدادات والقواعد العامة لنهج IPsec. يتم تطبيق الإعدادات العامة لنهج IPsec، بغض النظر عن القواعد التي تم تكوينها. تحدد هذه الإعدادات اسم النهج، ووصفه لأغراض الإدارة، وإعدادات أساليب تبادل المفاتيح وأساليبه. تحدد قاعدة واحدة أو أكثر من قواعد IPSec أنواع IPsec لمعدل نقل البيانات التي يجب فحصها ومعرفة كيفية التعامل مع معدل نقل البيانات، وكيفية مصادقة أحد نظائر IPsec، وإعدادات أخرى.

بعد إنشاء النُهُج، يمكن تطبيقها على المجال والموقع والوحدة التنظيمية (OU) والمستوى المحلي. نهج واحد فقط يمكن أن يكون نشطاً على الكمبيوتر في كل مرة. تتجاوز النُهُج الموزعة والمطبقة التي تستخدم كائنات نهج المجموعة النُهُج المحلية.

مهام الأداة الإضافية لنهج IPsec

يتضمن هذا القسم بعض المهام الأكثر شيوعاً التي قد تقوم بإجرائها باستخدام الأداة الإضافية لنُهُج الأمان.

إنشاء نهج

إذا لم تقم بإنشاء نهج على كمبيوتر واحد فقط ونظير IPsec الخاص به، فقد تضطر إلى إنشاء مجموعة من نُهُج IPsec لتلائم بيئة تكنولوجيا المعلومات لديك. يمكن أن توصف عملية تصميم النُهُج وإنشائها وتوزيعها بأنها عملية معقدة، استناداً إلى حجم المجال لديك وتجانس أجهزة الكمبيوتر بهذا المجال وغير ذلك من العوامل الأخرى.

وبشكل عام، فإن العملية تتم بالطريقة التالية:

  1. قم بإنشاء قوائم عوامل تصفية IP التي تتطابق مع أجهزة الكمبيوتر والشبكات الفرعية والظروف السائدة في البيئة لديك.

  2. قم بإنشاء إجراءات عامل تصفية تتوافق مع الكيفية التي تريد بها مصادقة الاتصالات وتكامل البيانات المراد تطبيقها، والبيانات المراد تشفيرها. يمكن أيضاً أن يكون إجراء عامل التصفية إما الحظر أو السماح, بغض النظر عن المعايير الأخرى. يكون لإجراء الحظر الأولوية على الإجراءات الأخرى.

  3. قم بإنشاء مجموعة من النُهُج التي تتطابق مع متطلبات التصفية وإجراء عامل التصفية (الأمان) المطلوب.

  4. أولاً, قم بتوزيع النُهُج التي تستخدم إجرائي عاملي التصفية السماح و الحظر ثم مراقبة بيئة IPsec فيما يتعلق بالمسائل التي قد تتطلب تعديل هذه النُهُج.

  5. قم بتوزيع النُهُج باستخدام إجراء عامل التصفية مفاوضة الأمان مع إتاحة خيار العودة لمسح الاتصالات النصية الواضحة. يتيح ذلك إمكانية تشغيل IPsec في البيئة لديك دون مقاطعة الاتصالات.

  6. بمجرد أن تقوم بعمل أية تحسينات مطلوبة للنُهُج، قم بإزالة خيار العودة لمسح الاتصالات النصية، متى كان ذلك مناسباً. سيؤدي ذلك إلى ضرورة مصادقة النهج وتأمينها قبل إنشاء أحد الاتصالات.

  7. راقب البيئة بالنسبة للاتصالات التي لم تحدث، والتي قد يُشار إليها من خلال حدوث زيادة مفاجئة في إحصاء إخفاقات مفاوضات الوضع الرئيسي.

لإنشاء نهج IPsec جديد
  1. انقر بالزر الأيمن للماوس فوق عقدة "نُهُج أمان IP، ثم انقر فوق إنشاء نهج أمان IP.

  2. في معالج نهج أمان IP، انقر فوق التالي.

  3. اكتب اسماً ووصفاً (اختياري) للنهج, ثم انقر فوق التالي.

  4. إما أن تحدد خانة الاختيار تنشيط قاعدة الاستجابة الافتراضية أو تتركها بدون تحديد, ثم انقر فوق التالي.

    ملاحظة

    يمكن استخدام قاعدة الاستجابة الافتراضية فقط من أجل النُهج التي يتم تطبيقها على Windows XP و Windows Server 2003 والإصدارات السابقة. يتعذر على الإصدارات الحديثة من Windows استخدام قاعدة الاستجابة الافتراضية.

  5. إذا كنت تستخدم قاعدة الاستجابة الافتراضية, فحدد أحد أساليب المصادقة ثم انقر فوق التالي.

    للحصول على المزيد من المعلومات حول قاعدة الاستجابة الافتراضية؛ راجع قواعد IPsec‏.

  6. أبق خانة الاختيار تحرير الخصائص محددة, ثم انقر فوق التالي. يمكنك إضافة قواعد إلى النهج حسب الحاجة.

ُإضافة قاعدة إلى أحد النُهُج أو تغييرها

لإضافة قاعدة نهج
  1. انقر بالزر الأيمن للماوس فوق نهج IPsec ثم انقر فوق خصائص.

  2. عند الرغبة في إنشاء القاعدة في مربع الحوار "خصائص", قم بإلغاء تحديد خانة الاختيار استخدام معالج الإضافة. لاستخدام المعالج، أبق خانة الاختيار محددة. انقر فوق إضافة. الإرشادات التالية مخصصة لإنشاء قاعدة باستخدام مربع الحوار.

  3. في مربع الحوار خصائص القاعدة الجديدة في علامة التبويب قائمة عوامل تصفية IP ، حدد قائمة عوامل التصفية المناسبة, وبعد ذلك انقر فوق إضافة لإضافة قائمة عوامل تصفية جديدة. إذا كنت قد قمت بالفعل بإنشاء قوائم عوامل تصفية، فستظهر أمامك في قائمة "قوائم عوامل تصفية IP". لمزيد من المعلومات حول إنشاء قوائم عوامل التصفية واستخدامها, راجع قوائم عوامل التصفية.

    ملاحظة

    يمكن استخدام قائمة عوامل تصفية واحدة فقط لكل قاعدة.

  4. في علامة التبويب إجراء التصفية، حدد إجراء التصفية المناسب, أو انقر فوق إضافة لإضافة إجراء عامل تصفية جديد. لمزيد من المعلومات حول إنشاء إجراءات التصفية واستخدامها, راجع إجراءات التصفية.

    ملاحظة

    يمكن استخدام إجراء تصفية واحد فقط لكل قاعدة.

  5. في علامة التبويب أساليب المصادقة، حدد الأسلوب المناسب, أو انقر فوق إضافة لإضافة أسلوب جديد. لمزيد من المعلومات حول إنشاء أساليب المصادقة واستخدامها, راجع مصادقة IPsec‏.

    ملاحظة

    يمكنك استخدام عدة أساليب لكل قاعدة. تتم محاولة استخدام الأساليب بنفس ترتيب ظهورها في القائمة. إذا حددت الشهادات التي يمكن استخدامها، فضعها معاً في القائمة بنفس الترتيب الذي تريدها أن تُستخدم به.

  6. في علامة التبويب نوع الاتصال، حدد نوع الاتصال الذي تنطبق عليه القاعدة. لمزيد من المعلومات حول أنواع الاتصال, راجع أنواع اتصال IPsec ‏

  7. إذا كنت تستخدم أحد الأنفاق, فحدد نقاط النهاية في علامة التبويب إعدادات النفق. افتراضياً، لا يتم استخدام أية أنفاق. لمزيد من المعلومات حول استخدام الأنفاق، راجع إعدادات نفق IPsec‏. يتعذر نسخ قواعد الأنفاق نسخاً متطابقاً.

  8. حين تكتمل كل الإعدادات, انقر فوق موافق.

لتغيير قاعدة نهج
  1. انقر بزر الماوس الأيمن فوق نهج IPsec ثم انقر فوق Properties.

  2. في مربع الحوار خصائص النهج، حدد القاعدة ثم انقر فوق تحرير.

  3. في مربع الحوار تحرير خصائص القاعدة من علامة التبويب قائمة عوامل تصفية IP ، حدد قائمة عوامل التصفية المناسبة أو انقر فوق إضافة لإضافة قائمة عوامل تصفية جديدة. لمزيد من المعلومات حول إنشاء قوائم عوامل التصفية واستخدامها، راجع قوائم عوامل التصفية.

    ملاحظة

    يمكن استخدام قائمة واحدة فقط لعوامل التصفية لكل قاعدة.

  4. في علامة التبويب إجراء التصفية، حدد إجراء التصفية المناسب, أو انقر فوق إضافة لإضافة قائمة عوامل تصفية جديدة. لمزيد من المعلومات حول إنشاء إجراءات التصفية واستخدامها، راجع إجراءات التصفية.

    ملاحظة

    يمكن استخدام إجراء تصفية واحد فقط لكل قاعدة.

  5. في علامة التبويب أساليب المصادقة، حدد أسلوب المصادقة المناسب أو انقر فوق إضافة لإضافة أسلوب مصادقة جديد. لمزيد من المعلومات حول إنشاء أساليب المصادقة واستخدامها، راجع مصادقة IPsec‏.

    ملاحظة

    يمكنك استخدام أساليب متعددة لكل قاعدة. تتم محاولة استخدام الأساليب بنفس ترتيب ظهورها في القائمة.

  6. في علامة التبويب Connection Type، حدد نوع الاتصال الذي تنطبق عليه القاعدة. لمزيد من المعلومات حول أنواع الاتصال, راجع أنواع اتصال IPsec ‏.

  7. إذا كنت تستخدم نفقاً، حدد نقطتي النهاية في علامة التبويب Tunnel Settings. لا يتم استخدام أية أنفاق بشكل افتراضي. لمزيد من المعلومات حول استخدام الأنفاق، راجع إعدادات نفق IPsec‏.

  8. عند اكتمال كافة الإعدادات، انقر فوق OK.

تعيين نهج

لتعيين نهج لهذا الكمبيوتر
  • انقر بالزر الأيمن للماوس فوق النهج، ثم انقر فوق تعيين.

    ملاحظات
    • يمكن تعيين نهج واحد فقط لأحد أجهزة الكمبيوتر في كل مرة. يؤدي تعيين نهج آخر إلى إلغاء تعيين النهج المعين حالياً تلقائياً. قد يعين "نهج المجموعة" الموجود على المجال لديك نهجاً آخر لهذا الكمبيوتر ويتجاهل النهج المحلي.
    • لكي ينجح نهج IPsec من كمبيوتر إلى كمبيوتر، يلزم إنشاء نسخة متطابقة من النهج على الكمبيوتر الآخر وتعيين هذا النهج إلى هذا الكمبيوتر.
    • لتعيين هذا النهج لكثير من أجهزة الكمبيوتر، استخدم "نهج المجموعة".

راجع أيضاً