配置 SSL 代理
配置 SSL 转发代理
SSL 代理配置概述
将 SSL 代理配置文件应用于安全性策略
SSL 代理作为安全策略中的应用服务启用。在安全策略中,指定要启用 SSL 代理的流量作为匹配标准,然后指定要应用于流量的 SSL 代理证书颁发机构配置文件。
要在安全策略中启用 SSL 代理:
此示例假定您已创建信任和不信任安全区域,并为从信任区域到非信任区域的流量创建安全策略。
配置 SSL 代理日志记录
配置 SSL 代理时,可以选择设置接收部分或全部日志的选项。SSL 代理日志包含逻辑系统名称、SSL 代理允许列表、策略信息、SSL 代理信息以及其他有助于在发生错误时进行故障排除的信息。
您可以配置日志记录 all 或特定事件,例如错误、警告和信息事件。您还可以配置在发生错误后被列入允许列表、删除、忽略或允许的会话的日志记录。
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
您可以使用选项启用 enable-flow-tracing 调试跟踪。
忽略服务器身份验证
Junos OS 允许您配置一个选项以完全忽略服务器身份验证。如果将系统配置为忽略身份验证,那么在 SSL 握手时服务器证书验证期间遇到的任何错误都将被忽略。通常被忽略的错误包括无法验证证书颁发机构签名、证书到期日期不正确等。如果未设置此选项,那么在遇到错误时,服务器发送自签名证书的所有会话都将被丢弃。
我们不建议使用此选项进行身份验证,因为配置它会导致网站根本无法通过身份验证。但是,您可以使用此选项有效确定 SSL 会话丢失的根本原因。
在配置模式下,指定以忽略服务器身份验证:
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
SSL 反向代理
概述
代理模型实现(反向代理)增强了服务器保护。它改进了握手并支持更多协议版本。您可以在 SSL 反向代理解密流量上启用第 7 层服务,如应用安全、IPS、内容安全性和 ATP 云。
建议使用 SSL 反向代理以及入侵检测和防御 (IDP),而不是使用 IDP SSL 检测功能。在最近发布的 Junos OS 中,IDP SSL 检测已被弃用,而非立即删除,目的是提供向后兼容性,并让您的配置符合新配置。
反向代理功能:
-
终止防火墙上的客户端 SSL,并发起与服务器的新 SSL 连接。解密来自客户端/服务器的 SSL 流量,并在发送到服务器/客户端之前再次加密(检查后)。
-
支持所有当前协议版本。
-
-
支持 RSA
-
支持 DHE 或 ECDHE
-
-
使用现有 SSL 转发代理,并在其下添加 TCP 代理。
-
与转发代理一样,解密的 SSL 流量可用于所有安全服务。
-
支持所有常用密码。
您必须在 SSL 代理配置文件中进行root-caserver-certificate配置。否则,提交检查将失败。有关支持的配置的详细信息,请参阅下表。
| 已配置服务器证书 |
已配置 root-ca |
配置文件类型 |
|---|---|---|
| 不 |
不 |
提交检查失败。您必须配置 或 。 |
| 是的 |
是的 |
提交检查失败。不支持在同一配置文件中同时 |
| 不 |
是的 |
转发代理 |
| 是的 |
不 |
反向代理 |
支持配置正向和反向代理配置文件的多个实例。但是,对于给定的防火墙策略,只能配置一个配置文件(正向或反向代理配置文件)。还支持在同一设备上配置正向和反向代理。
对于给定的防火墙策略,您不能使用新的反向代理实施来配置之前的反向代理实施。如果同时配置了两者,您将收到一条提交检查失败消息。
以下是配置反向代理的最低步骤:
SSL 转发代理和反向代理需要在防火墙规则级别配置配置文件。此外,还必须使用私钥配置服务器证书,以便进行反向代理。在 SSL 握手期间,SSL 代理在其服务器私钥哈希表数据库中查找匹配的服务器私钥。如果查找成功,则继续握手。否则,SSL 代理将终止握手。反向代理不禁止服务器证书。它将实际的服务器证书/链按原样转发给客户端,而不对其进行修改。拦截服务器证书仅在转发代理时发生。
配置 SSL 反向代理
此示例说明如何配置反向代理以启用服务器保护。此外,为了服务器保护,还必须配置带有私钥的服务器证书。
反向代理通过向客户端隐藏服务器的详细信息来保护服务器,从而增加额外的安全层。
要配置 SSL 反向代理,您必须:
将服务器证书及其密钥加载到防火墙的证书存储库中。
将服务器证书标识符附加到 SSL 代理配置文件。
将 SSL 代理配置文件应用为安全策略中的应用服务。
要配置 SSL 反向代理:
验证设备上的 SSL 反向代理配置
目的
查看防火墙上的 SSL 反向代理统计信息。
行动
您可以使用命令 show services ssl proxy statistics 查看 SSL 代理统计信息。
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
配置具有内容安全性的 SSL 转发代理
在此过程中,您将配置具有内容安全性的 SSL 转发代理配置文件。配置内容安全性时,SSL 代理通过终止来自客户端的 SSL 会话并建立到服务器的新 SSL 会话来充当 SSL 服务器。防火墙会解密然后重新加密所有 SSL 代理流量。内容安全性可以使用来自 SSL 代理的解密内容。
将本地证书生成为 root-ca。
配置具有内容安全性的 SSL 反向代理
在此过程中,您将配置具有内容安全性的 SSL 反向代理配置文件。
为 SSL 代理创建豁免目的地的允许列表
SSL 加密和解密可能会占用防火墙上的内存资源。要限制这种情况,您可以选择性地绕过某些会话的 SSL 代理处理,例如与熟悉的可信服务器或域进行交易的会话。根据法律要求,您还可以免除与金融和银行网站的会话。
要从 SSL 代理中免除会话,您可以通过添加服务器的 IP 地址或域名来创建允许列表。白名单包括您希望免于进行 SSL 代理处理的地址。
使用以下步骤创建允许列表:
在全局地址簿中指定 IP 地址和域名。
请参阅 SSL 代理配置文件中的全局地址簿。
您可以在全局地址簿中配置以下类型的 IP 地址。
IPv4 地址(纯文本)。例如:
set security address-book global address address-4 192.0.2.117
IPv4 地址范围。例如:
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
IPv4 通配符。例如:
set security address-book global address address-3 wildcard-address 203.0.113.0/24
DNS 名称。例如:
set security address-book global address address-1 dns-name www.abc.com
IPv6 地址。例如:
set security address-book global address address-5 FE80::/10
白名单不支持以下类型的 IP 地址:
转换后的 IP 地址。系统会根据实际 IP 地址(而非转换后的 IP 地址)将会话列入允许列表。因此,在 SSL 代理配置文件的允许列表配置中,应提供实际 IP 地址,而不是转换后的 IP 地址。
非连续网络掩码。例如:
支持 IP 地址 -203.0.113.0 和掩码 255.255.255.0,即 203.0.113.0/24。
不支持 IP 地址 - 203.0.113.9 和掩码 255.0.255.0。
以下示例说明如何在 SSL 代理配置文件中使用允许列表。
在此示例中,您将所有会话豁免为 www.mycompany.com。为此,您首先在地址簿中指定域,然后在 SSL 代理配置文件中配置地址。
为 SSL 代理创建豁免 URL 类别的允许列表
您可以在内容安全性模块中设置URL类别,以跳过防火墙上的SSL检查。为此,SRX 将 SSL 代理配置文件与增强型 Web 过滤 (EWF) 功能相链接。启用此功能后,您可以将 URL 类别以及地址簿添加到 SSL 代理配置文件中的允许列表中。您可以从预定义类别中进行选择,也可以创建内容安全性支持的自定义类别。
安全设备使用内容安全性模块提取的服务器名称指示 (SNI) 字段来确定 URL 类别。SSL 代理使用此信息来确定是接受、代理还是忽略会话。
SSL 代理允许列表功能包括内容安全性支持的 URL 类别,SSL 代理允许列表功能将支持扩展到内容安全性支持的自定义 URL 类别。
以下示例说明如何在 SSL 代理配置文件中配置 URL 类别:
创建豁免 URL 类别的允许列表
使用以下步骤在 SSL 代理配置文件中配置预定义的 URL 类别。
创建豁免自定义 URL 类别的允许列表
使用以下步骤在 SSL 代理配置文件中配置自定义 URL 类别。
SSL 代理配置文件的配置限制
我们更新了 SSL 正向代理和 SSL 反向代理配置中可信 证书颁发机构证书、服务器证书和 URL 类别的限制。这些更改可确保符合 56,986 字节的最大配置 blob 大小限制。
限制大小的变化:
-
可信证书颁发机构证书/服务器证书:上限为 400 个(从 1024 个减少)
-
网址类别:上限 800 个(不变)
配置语句:
可信证书颁发机构证书
[edit] user@host# set services ssl proxy profile <profile-name> trusted-ca (all | [ca-profile] )
服务器证书
[edit] user@host# set services ssl proxy profile <profile-name> server-certificate
URL 类别
[edit] user@host# set services ssl proxy profile <profile-name> whitelist-url-categories [whitelist url categories]
ERROR: Maximum blob size (56986 bytes) exceeded...current blob size is 57014 bytes. 400 Server certs are taking 54400 bytes, and 27 URL categories are taking 1728 bytes.
此错误提供了内存使用情况的明细,帮助您相应地调整配置。
代理认证支持
您可以使用代理配置文件通过具有身份验证支持的代理服务器安全地路由出站 HTTPS 流量。您可以直接在代理配置文件中配置代理身份验证。通过设置用户名和密码,您可以确保安全访问外部源和服务。此身份验证机制支持多种服务,以通过代理服务器实现安全、经过身份验证的 HTTPS 通信。
以下支持用于服务器通信的 HTTP 代理的连接现在包括代理身份验证支持:
- SecIntel 连接到 ATP 云以下载和上传源。
- 用于签名数据库下载的 IDP 和应用程序识别连接。
- 以下功能的内容安全(以前称为统一威胁管理):
- Avira AV 病毒数据库和引擎更新连接。
- Sophos AV 扫描查询到云。
- Web 过滤 URL 类别查询到云。
- Web 过滤类别更新。
- Web 过滤 URL 源下载。
-
ATP 云连接:
- 注册流程
- 文件提交连接
- 来自瞻博网络 CDN 的防病毒签名更新。
- 动态地址组源
- 公钥基础架构守护程序:
- 通过 HTTP 和 HTTPS 进行 SCEP 注册。
- 通过 HTTP 和 HTTPS 下载 CRL。
代理身份验证支持的优势
提供对外部源和服务的安全访问,通过防止未经验证的数据源与受保护的网络环境进行交互,改善整体安全态势。
配置示例
要建立安全且经过身份验证的连接,您需要配置以下设置:
在代理配置文件中配置自助凭据
通过在代理配置文件中配置用户名和密码来设置代理身份验证:
[edit] user@host# set services proxy profile <profile-name> protocol http host x.x.x.x port xxxx user@host# set services proxy profile <profile-name> protocol http username <username> user@host# set services proxy profile <profile-name> protocol http password <password>
在安全性服务中指定代理配置文件
示例:
用于应用识别和 IDP 的代理配置文件
创建代理配置文件,并使用它通过代理服务器下载应用程序签名包或 IDP 签名包:
[edit] user@host# set services application-identification download proxy-profile <profile-name>
[edit] user@host# set security idp security-package proxy-profile <profile-name>
请参阅通过显式代理服务器 安装应用签名包 和 Junos OS IDP 签名包。
用于内容安全性的代理配置文件
将代理配置文件配置为 Avira 和 Sophos 防病毒引擎以进行更新,并将代理配置文件配置为瞻博网络 Web 过滤以实现安全的服务器通信
[edit] user@host# set security utm default-configuration anti-virus avira-engine pattern-update proxy-profile <profile-name> user@host# set security utm default-configuration anti-virus sophos-engine server proxy-profile <profile-name> user@host# set security utm default-configuration web-filtering ng-juniper server proxy-profile <profile-name>
请参阅 示例:配置 Avira 防病毒、使用 Web 代理配置 Sophos Antivirus Live Protection 2.0 版 和 配置新一代 Web 过滤 。
瞻博网络 ATP 云的代理配置文件
要通过 SRX 系列防火墙上的 Web 代理启用 HTTP(S) 出站访问,请将瞻博网络 ATP 云配置为使用代理配置文件。这些配置文件应用于反恶意软件和 SecIntel 策略。
[edit] user@host# set services advanced-anti-malware connection url <url> user@host# set services advanced-anti-malware connection authentication tls-profile aamw-ssl user@host# set services advanced-anti-malware connection proxy-profile <profile-name>
[edit] user@host# set services security-intelligence url <url> user@host# set services security-intelligence authentication tls-profile aamw-ssl user@host# set services security-intelligence proxy-profile <profile-name>
有关详细信息,请参阅适用于 瞻博网络 ATP 云的显式 Web 代理 。
PKI
在 CA 配置文件中配置代理证书颁发机构配置文件。在证书注册、验证或吊销期间,设备连接到代理主机而不是证书颁发机构服务器
[edit] user@host# set security pki ca-profile ca-profile-1 proxy-profile <profile-name> user@host# set security pki ca-profile ca-profile-1 ca-identity deviceCA user@host# set security pki ca-profile ca-profile-1 enrollment url http://ca.junipersecurity.net:8080/ejbca/publicweb/apply/scep/SRX/pkiclient.exe user@host# set security pki ca-profile ca-profile-1 revocation-check crl url http://va.junipersecurity.net/ca/deviceCA.crl
请参阅 证书颁发机构
- 仅支持基本身份验证。您需要提供用户名和密码,它们以 Base64 编码格式在标头中
Proxy-Authorization发送。 - 确保同时配置用户名和密码。
- 定期更新密码并监控未经授权的访问尝试,以保持强大的安全性。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。