Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 解密镜像

SSL 解密镜像功能使您能够监控进出 SRX 系列设备的 SSL 解密应用程序流量。有关 SSL 解密镜像的详细信息,请阅读本主题。

了解 SSL 解密镜像功能

从Junos OS版本18.4R1,引入了 SSL 转发代理和 SSL 反向代理的 SSL 解密镜像功能。

SSL 解密镜像功能使您能够监控进出 SRX 系列设备的 SSL 解密应用程序流量。启用此功能时,SRX 系列设备将使用以太网接口(配置的 SSL 解密镜像接口)将解密的 SSL 流量副本转发至受信任的流量收集工具或网络分析器进行检测和分析。一般通过交换设备将此外部监控设备连接到 SSL 解密镜像接口。外部镜像流量收集器端口是一个端口(或接口),它从 SRX 系列设备的 SSL 解密镜像接口接收解密流量的副本。

要使用 SSL 解密镜像功能,请定义 SSL 代理配置文件,并应用到安全策略。安全策略规则允许您定义希望设备解密的流量。将 SSL 代理配置文件附加到安全策略规则时,将解密与安全策略规则匹配的流量。SSL 解密镜像接口将解密的 HTTPS 和 STARTTLS (POP3S/SMTPS/IMAPS) 流量的副本发送到受信任的外部设备或流量收集工具进行检测和分析。

解密 IP 数据包的嵌入 5 元组数据与加密 IP 数据包具有相同的值:

  • 源 IP 地址

  • 目标 IP 地址

  • 源端口号

  • 目标端口号

  • 协议编号

在不重新配置的情况下保留相同的 5 元数据可确保解密的流量以数据包捕获格式 (Wireshark) 保存,您可以在以后重放数据。

只有 TCP 序列号和 ACK 编号基于 SSL 解密镜像端口上转发的实际解密有效负载构建。如果解密的数据包大小超过 SSL 解密镜像端口的 最大传输单元 (MTU) 大小,则根据不同大小要求,解密的有效负载将划分为多个 TCP MTU段。

SSL 解密策略实施之前或之后镜像

默认情况下,SRX 系列设备在 Junos OS 实施第 7 层安全服务之前,将 SSL 解密有效负载转发至镜像端口,包括 IDP、瞻博网络 SKY ATP 和 UTM。此选项允许您重播事件并分析生成威胁或触发丢弃操作的流量。

实施安全策略后,您还可以配置解密信息流镜像。使用此选项时,只会镜像通过安全策略转发的流量。但是,如果在实施安全策略时修改了解密有效负载,修改后的解密有效负载将转发到镜像端口上。同样,如果由于策略实施而丢弃解密的流量(例如,在解密的流量中检测到威胁时),特定解密的流量不会在镜像端口上转发。

SSL 解密镜像支持

  • 支持 SSL 转发代理和 SSL 反向代理。

  • IPv4 和 IPv6 流量均受支持。

  • 镜像端口上可用的 SSL 解密流量采用明文格式。SSL 代理支持的所有密码套件都支持 SSL 解密镜像功能。有关受支持的密码套件列表,请参阅 SSL 代理概述

SSL 解密镜像的好处

  • 支持全面数据捕获,用于审核、取证调查和历史目的。

  • 提供数据泄露防护。

  • 支持第三方设备执行的其他安全处理IDP、UTM管理等。

  • 提供对所涉及威胁的见解。

限制

  • 无法在 st0 隧道接口上配置 SSL 解密镜像。

机箱群集中的 SSL 解密镜像支持

从 Junos OS 18.4R1-S2 和 Junos OS 版本 19.2R1 开始,在机箱集群中运营的 SRX 系列设备的冗余以太网 (reth) 接口上支持 SSL 解密镜像功能。

配置 SSL 解密镜像

此示例演示如何在 SRX 系列设备上启用 SSL 解密信息流镜像。

配置

逐步过程

使用以下步骤配置 SSL 解密镜像。

  1. 定义逻辑单元编号 0 的 SSL 解密镜像接口。

  2. 指定 SSL 代理配置文件中的 SSL 解密镜像接口。

    Ge-0/0/2.0 配置为指定 SSL 解密镜像接口。

  3. 指定MAC 地址镜像流量收集器端口的一个端口。

  4. 通过指定流量的匹配标准来创建安全策略。

  5. 将 SSL 代理配置文件附加到安全策略规则。

    此配置允许外部镜像流量收集器端口(或接口)从 SRX 系列设备的 SSL 解密镜像接口接收解密流量的副本。

结果

在配置模式下,输入 和 命令以确认 show services ssl proxy profile 您的 show security policies from-zone trust to-zone untrust policy 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

要求

此示例具有以下硬件和软件组件:

  • 具有更高版本的任何 SRX 系列Junos OS或18.4R1更高版本。本配置示例针对版本Junos OS进行了18.4R1。

配置此功能之前,不需要除设备初始化之外的特殊配置。

开始之前:

  • 配置 SSL 代理。请参阅 SSL 代理概述

  • 您配置的 SSL 解密镜像接口不需要成为任何安全区域的任何一部分。

  • 确保 SSL 解密镜像接口和实际的客户端-服务器 SSL 流量处理接口属于同一路由实例的一部分。

  • 确保 SRX 系列设备和外部镜像流量收集器端口上的 SSL 解密镜像接口必须属于同一广播域。

注意:

无需配置单独的安全策略以允许从 SRX 系列设备到 SSL 解密镜像接口的流量。。

概述

此示例通过指定 SSL 解密镜像接口的名称以及外部镜像信息流收集器端口MAC 地址来配置 SSL 转发代理配置文件。接下来,创建安全策略,在允许的流量上调用 SSL 代理作为应用程序服务。与安全策略规则匹配的流量将解密。然后,解密的 SSL 有效负载的副本封装在 IP 数据包中,并通过 SSL 解密镜像接口转发至外部镜像流量收集器端口上的 。

图 1 说明了此示例中使用的拓扑。

图 1:SSL解密镜像 SSL Decryption Mirroring

表 1 提供了此示例中使用的参数的详细信息。

表 1:SSL解密镜像示例中使用的参数

参数

名字

SRX 系列设备上 SSL 解密镜像接口

ge-0/0/2.0

MAC 地址镜像流量收集器端口的一部分

00:50:56:a6:5f:1f

SSL 代理配置文件

profile-1

安全策略

策略 1

验证

验证 SSL 代理配置

目的

显示 SSL 代理统计信息,以确认配置是否工作正常。

行动

在操作模式下,输入 show services ssl proxy statistics 命令。

版本历史记录表
释放
描述
18.4R1
从Junos OS版本18.4R1,引入了 SSL 转发代理和 SSL 反向代理的 SSL 解密镜像功能