Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 SSL 代理

配置 SSL 转发代理

SSL 代理配置概述

配置 SSL 代理包括:

  • 配置根证书颁发机构证书,请参阅注册 证书

  • 加载 证书颁发机构配置文件组,请参阅注册 证书

  • 配置 SSL 代理配置文件并关联根证书颁发机构证书和 CA 证书颁发机构配置文件组

  • 通过定义输入流量匹配标准创建安全策略

  • 将 SSL 代理配置文件应用于安全策略

  • 可选步骤,例如创建允许列表和 SSL 代理日志记录

将 SSL 代理配置文件应用于安全性策略

SSL 代理作为安全策略中的应用服务启用。在安全策略中,指定要启用 SSL 代理的流量作为匹配标准,然后指定要应用于流量的 SSL 代理证书颁发机构配置文件。

要在安全策略中启用 SSL 代理:

此示例假定您已创建信任和不信任安全区域,并为从信任区域到非信任区域的流量创建安全策略。

  1. 创建安全策略并指定策略的匹配标准。作为匹配标准,指定要为其启用 SSL 代理的流量。

    示例:

  2. SSL 代理配置文件应用于安全策略。

配置 SSL 代理日志记录

配置 SSL 代理时,可以选择设置接收部分或全部日志的选项。SSL 代理日志包含逻辑系统名称、SSL 代理允许列表、策略信息、SSL 代理信息以及其他有助于在发生错误时进行故障排除的信息。

您可以配置日志记录 all 或特定事件,例如错误、警告和信息事件。您还可以配置在发生错误后被列入允许列表、删除、忽略或允许的会话的日志记录。

您可以使用选项启用 enable-flow-tracing 调试跟踪。

忽略服务器身份验证

Junos OS 允许您配置一个选项以完全忽略服务器身份验证。如果将系统配置为忽略身份验证,那么在 SSL 握手时服务器证书验证期间遇到的任何错误都将被忽略。通常被忽略的错误包括无法验证证书颁发机构签名、证书到期日期不正确等。如果未设置此选项,那么在遇到错误时,服务器发送自签名证书的所有会话都将被丢弃。

我们不建议使用此选项进行身份验证,因为配置它会导致网站根本无法通过身份验证。但是,您可以使用此选项有效确定 SSL 会话丢失的根本原因。

在配置模式下,指定以忽略服务器身份验证:

SSL 反向代理

概述

代理模型实现(反向代理)增强了服务器保护。它改进了握手并支持更多协议版本。您可以在 SSL 反向代理解密流量上启用第 7 层服务,如应用安全、IPS、内容安全性和 ATP 云。

建议使用 SSL 反向代理以及入侵检测和防御 (IDP),而不是使用 IDP SSL 检测功能。在最近发布的 Junos OS 中,IDP SSL 检测已被弃用,而非立即删除,目的是提供向后兼容性,并让您的配置符合新配置。

反向代理功能:

  • 终止防火墙上的客户端 SSL,并发起与服务器的新 SSL 连接。解密来自客户端/服务器的 SSL 流量,并在发送到服务器/客户端之前再次加密(检查后)。

  • 支持所有当前协议版本。

    • 支持 RSA

    • 支持 DHE 或 ECDHE

  • 使用现有 SSL 转发代理,并在其下添加 TCP 代理。

  • 与转发代理一样,解密的 SSL 流量可用于所有安全服务。

  • 支持所有常用密码。

您必须在 SSL 代理配置文件中进行root-caserver-certificate配置。否则,提交检查将失败。有关支持的配置的详细信息,请参阅下表。

表 1:支持的 SSL 代理配置

已配置服务器证书

已配置 root-ca

配置文件类型

提交检查失败。您必须配置 或 。server-certificate root-ca

是的

是的

提交检查失败。不支持在同一配置文件中同时 server-certificate 配置 和 root-ca

是的

转发代理

是的

反向代理

支持配置正向和反向代理配置文件的多个实例。但是,对于给定的防火墙策略,只能配置一个配置文件(正向或反向代理配置文件)。还支持在同一设备上配置正向和反向代理。

对于给定的防火墙策略,您不能使用新的反向代理实施来配置之前的反向代理实施。如果同时配置了两者,您将收到一条提交检查失败消息。

以下是配置反向代理的最低步骤:

  1. 使用 CLI 命令request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234将服务器证书及其密钥加载到防火墙证书存储库中。例如:
  2. 使用 CLI 命令 set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234将服务器证书标识符附加到 SSL 代理配置文件。举例来说

    user@host# set services ssl proxy profile server-protection-profile server-certificate server2_cert_id

  3. 使用 show services ssl CLI 命令来验证您的配置。例如:

SSL 转发代理和反向代理需要在防火墙规则级别配置配置文件。此外,还必须使用私钥配置服务器证书,以便进行反向代理。在 SSL 握手期间,SSL 代理在其服务器私钥哈希表数据库中查找匹配的服务器私钥。如果查找成功,则继续握手。否则,SSL 代理将终止握手。反向代理不禁止服务器证书。它将实际的服务器证书/链按原样转发给客户端,而不对其进行修改。拦截服务器证书仅在转发代理时发生。

配置 SSL 反向代理

此示例说明如何配置反向代理以启用服务器保护。此外,为了服务器保护,还必须配置带有私钥的服务器证书。

反向代理通过向客户端隐藏服务器的详细信息来保护服务器,从而增加额外的安全层。

要配置 SSL 反向代理,您必须:

  • 将服务器证书及其密钥加载到防火墙的证书存储库中。

  • 将服务器证书标识符附加到 SSL 代理配置文件。

  • 将 SSL 代理配置文件应用为安全策略中的应用服务。

要配置 SSL 反向代理:

  1. PKI 内存中加载 SSL 代理配置文件的签名证书和相应密钥。
  2. 服务器证书附加到 SSL 代理配置文件。
  3. 创建安全策略并指定策略的匹配标准。作为匹配标准,指定要为其启用 SSL 代理的流量。
  4. SSL 代理配置文件应用于安全策略。此示例假定安全区域是根据要求创建的。

验证设备上的 SSL 反向代理配置

目的

查看防火墙上的 SSL 反向代理统计信息。

行动

您可以使用命令 show services ssl proxy statistics 查看 SSL 代理统计信息。

配置具有内容安全性的 SSL 转发代理

在此过程中,您将配置具有内容安全性的 SSL 转发代理配置文件。配置内容安全性时,SSL 代理通过终止来自客户端的 SSL 会话并建立到服务器的新 SSL 会话来充当 SSL 服务器。防火墙会解密然后重新加密所有 SSL 代理流量。内容安全性可以使用来自 SSL 代理的解密内容。

将本地证书生成为 root-ca。

  1. 在作模式下,为本地数字证书生成密钥对。
  2. 使用上面生成的密钥对生成本地证书。
  3. 在配置模式下,将加载的证书作为 SSL 代理配置文件中的 root-ca 应用。
  4. 将 SSL 配置文件和内容安全性策略附加到安全策略。

配置具有内容安全性的 SSL 反向代理

在此过程中,您将配置具有内容安全性的 SSL 反向代理配置文件。

  1. 将服务器证书及其密钥加载到防火墙证书存储库中。
  2. 在配置模式下,将服务器证书标识符连接到 SSL 代理配置文件。
  3. 将 SSL 配置文件和内容安全性策略附加到从不信任区域到信任区域的流量的安全策略。

为 SSL 代理创建豁免目的地的允许列表

SSL 加密和解密可能会占用防火墙上的内存资源。要限制这种情况,您可以选择性地绕过某些会话的 SSL 代理处理,例如与熟悉的可信服务器或域进行交易的会话。根据法律要求,您还可以免除与金融和银行网站的会话。

要从 SSL 代理中免除会话,您可以通过添加服务器的 IP 地址或域名来创建允许列表。白名单包括您希望免于进行 SSL 代理处理的地址。

使用以下步骤创建允许列表:

  • 在全局地址簿中指定 IP 地址和域名。

  • 请参阅 SSL 代理配置文件中的全局地址簿。

您可以在全局地址簿中配置以下类型的 IP 地址。

  • IPv4 地址(纯文本)。例如:

  • IPv4 地址范围。例如:

  • IPv4 通配符。例如:

  • DNS 名称。例如:

  • IPv6 地址。例如:

白名单不支持以下类型的 IP 地址:

  • 转换后的 IP 地址。系统会根据实际 IP 地址(而非转换后的 IP 地址)将会话列入允许列表。因此,在 SSL 代理配置文件的允许列表配置中,应提供实际 IP 地址,而不是转换后的 IP 地址。

  • 非连续网络掩码。例如:

    • 支持 IP 地址 -203.0.113.0 和掩码 255.255.255.0,即 203.0.113.0/24。

    • 不支持 IP 地址 - 203.0.113.9 和掩码 255.0.255.0。

以下示例说明如何在 SSL 代理配置文件中使用允许列表。

在此示例中,您将所有会话豁免为 www.mycompany.com。为此,您首先在地址簿中指定域,然后在 SSL 代理配置文件中配置地址。

  1. 通讯簿中配置域。
  2. SSL 代理配置文件中指定全局地址簿地址。

为 SSL 代理创建豁免 URL 类别的允许列表

您可以在内容安全性模块中设置URL类别,以跳过防火墙上的SSL检查。为此,SRX 将 SSL 代理配置文件与增强型 Web 过滤 (EWF) 功能相链接。启用此功能后,您可以将 URL 类别以及地址簿添加到 SSL 代理配置文件中的允许列表中。您可以从预定义类别中进行选择,也可以创建内容安全性支持的自定义类别。

安全设备使用内容安全性模块提取的服务器名称指示 (SNI) 字段来确定 URL 类别。SSL 代理使用此信息来确定是接受、代理还是忽略会话。

SSL 代理允许列表功能包括内容安全性支持的 URL 类别,SSL 代理允许列表功能将支持扩展到内容安全性支持的自定义 URL 类别。

以下示例说明如何在 SSL 代理配置文件中配置 URL 类别:

创建豁免 URL 类别的允许列表

使用以下步骤在 SSL 代理配置文件中配置预定义的 URL 类别。

  1. 预定义的 URL 类别取决于内容安全性。要在 SSL 代理中启用基于 URL 的允许列表,需要以下基本 URL 配置:
  2. 在 SSL 代理配置文件中指定预定义的 URL 类别。在此示例中,您使用的是 URL 类别Enhanced_Financial_Data_and_Services。
  3. 通过指定匹配条件创建安全策略,并将内容安全性策略附加到安全策略,以使用 SSL 允许列表中的 URL 类别。

创建豁免自定义 URL 类别的允许列表

使用以下步骤在 SSL 代理配置文件中配置自定义 URL 类别。

  1. 创建自定义 URL 类别。
  2. 为 Web 过滤 HTTP 协议配置内容安全性策略,并将在上一步中创建的配置文件与内容安全性策略相关联。
  3. 在 SSL 代理配置文件中指定您在上一步中创建的自定义 URL 类别。
  4. 通过指定匹配条件创建安全策略,并将内容安全性策略附加到安全策略,以使用 SSL 允许列表中的 URL 类别。

代理认证支持

您可以使用代理配置文件通过具有身份验证支持的代理服务器安全地路由出站 HTTPS 流量。您可以直接在代理配置文件中配置代理身份验证。通过设置用户名和密码,您可以确保安全访问外部源和服务。此身份验证机制支持多种服务,以通过代理服务器实现安全、经过身份验证的 HTTPS 通信。

以下支持用于服务器通信的 HTTP 代理的连接现在包括代理身份验证支持:

  • SecIntel 连接到 ATP 云以下载和上传源。
  • 用于签名数据库下载的 IDP 和应用程序识别连接。
  • 以下功能的内容安全(以前称为统一威胁管理):
    • Avira AV 病毒数据库和引擎更新连接。
    • Sophos AV 扫描查询到云。
    • Web 过滤 URL 类别查询到云。
    • Web 过滤类别更新。
    • Web 过滤 URL 源下载。

  • ATP 云连接:

    • 注册流程
    • 文件提交连接
    • 来自瞻博网络 CDN 的防病毒签名更新。
    • 动态地址组源
  • 公钥基础架构守护程序:
    • 通过 HTTP 和 HTTPS 进行 SCEP 注册。
    • 通过 HTTP 和 HTTPS 下载 CRL。

代理身份验证支持的优势

提供对外部源和服务的安全访问,通过防止未经验证的数据源与受保护的网络环境进行交互,改善整体安全态势。

配置示例

要建立安全且经过身份验证的连接,您需要配置以下设置:

在代理配置文件中配置身份验证凭据

通过在代理配置文件中配置用户名和密码来设置代理身份验证:

在安全性服务中指定代理配置文件

示例:

用于应用识别和 IDP 的代理配置文件

创建代理配置文件,并使用它通过代理服务器下载应用程序签名包或 IDP 签名包:

请参阅通过显式代理服务器 安装应用签名包Junos OS IDP 签名包

用于内容安全性的代理配置文件

将代理配置文件配置为 Avira 和 Sophos 防病毒引擎以进行更新,并将代理配置文件配置为瞻博网络 Web 过滤以实现安全的服务器通信

请参阅 示例:配置 Avira 防病毒、使用 Web 代理配置 Sophos Antivirus Live Protection 2.0 版配置新一代 Web 过滤

瞻博网络 ATP 云的代理配置文件

要通过 SRX 系列防火墙上的 Web 代理启用 HTTP(S) 出站访问,请将瞻博网络 ATP 云配置为使用代理配置文件。这些配置文件应用于反恶意软件和 SecIntel 策略。

有关详细信息,请参阅适用于 瞻博网络 ATP 云的显式 Web 代理

PKI

在 CA 配置文件中配置代理证书颁发机构配置文件。在证书注册、验证或吊销期间,设备连接到代理主机而不是证书颁发机构服务器

请参阅 证书颁发机构

注意:
  • 仅支持基本身份验证。您需要提供用户名和密码,它们以 Base64 编码格式在标头中 Proxy-Authorization 发送。
  • 确保同时配置用户名和密码。
  • 定期更新密码并监控未经授权的访问尝试,以保持强大的安全性。