SSL リバース プロキシ プロファイルの作成
[SSL リバース プロキシ プロファイル] ページを使用して、悪意のあるクライアントからのクライアント間攻撃から SSL 対応 Web サーバーを保護するように SSL リバース プロキシを構成します。この機能は、SSLプライベートキーをSRXシリーズデバイスにロードすることで、自社管理していないWebサーバーからの脅威からクライアントを保護します。たとえば、インターネット上の外部ユーザーが企業の Web サーバーにアクセスしようとすると、Web サーバーへの HTTPS 接続が開始されます。Webサーバーの秘密鍵を持つIPSポリシーは、トラフィックを傍受して攻撃がないか検査し、攻撃が存在しない場合は、宛先Webサーバーにトラフィックを転送します。
Junos Space Security Director リリース 21.2 以降、論理システム(LSYS)デバイスでも SSL リバース プロキシがサポートされています。
SSL リバース プロキシ プロファイルを作成するには:
高度なセキュリティオプションのファイアウォールポリシーに割り当てることができるSSLリバースプロキシプロファイルが作成されます。
フィールド |
説明 |
---|---|
General Information |
|
名前 |
英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。 |
説明 |
SSL 転送プロキシプロファイルの説明を入力します。最大長は 1024 文字です。 |
優先暗号 |
優先する暗号を選択します。暗号は、キーの強度に応じて次のカテゴリに分類されます。
|
カスタム暗号 |
SSH サーバーが暗号化および復号化機能を実行するために使用できる暗号のセットを選択します。このオプションが構成されていない場合、サーバーは使用可能なサポートされているスイートをすべて受け入れます。 使用可能なカスタム暗号は次のとおりです。
|
フロートレース |
ポリシー関連の問題のトラブルシューティングでフロー トレースを有効にするには、このオプションを選択します。 |
サーバー証明書 |
サーバー証明書識別子を指定します。 必要なSRXシリーズ デバイスをリストから選択し、サーバー証明書識別子を割り当てます。
メモ:
Security DirectorでSSL証明書を表示するには、 デバイス>セキュリティデバイスを選択し、関連するデバイスを選択してデバイスを右クリックするか、詳細メニューから 証明書の更新 を選択します。証明書の更新ジョブが完了すると、SSL 証明書が表示されます。 デバイスの設定がSecurity Directorと同期していることを確認します。セキュリティデバイスでデバイス設定が同期されていない場合は、ネットワークを再同期してから、証明書の更新を続行します。 |
免除された住所 |
アドレスを選択して、SSL フォワードプロキシ処理をバイパスする許可リストを作成します。 SSL の暗号化と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションで SSL プロキシ処理を選択的にバイパスできます。このようなセッションには、ほとんどの場合、ネットワーク管理者に精通している信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。金融および銀行のサイトを免除するための法的要件もあります。このような除外は、許可リストの下でサーバーのIPアドレスまたはドメイン名を構成することで実現されます。 |
除外URLカテゴリ |
Junos Space Security Director リリース 16.2 以降、URL カテゴリを選択して、SSL フォワード プロキシ処理をバイパスする許可リストを作成できます。 これらの URL カテゴリは、SSL インスペクション中は除外されます。除外対象として選択できるのは、定義済みの URL カテゴリのみです。 |
Actions |
|
セッションの再開 |
セッションを再開しない場合は、[セッション再開を無効にする] オプションを選択します。 スループットを向上させながら適切なレベルのセキュリティーを維持するために、SSL セッション再開はセッション・キャッシング・メカニズムを提供し、事前 1 次秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方でキャッシュできます。 |
ログ |
ログを生成するには、このオプションを選択します。すべてのイベント、警告、一般情報、エラー、または異なるセッション (許可リスト、許可、ドロップ、または無視) をログに記録することを選択できます。 |
交渉 |
セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメーターの変更には再ネゴシエーションが必要です。SSL フォワード プロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0 および SSL v3)の両方の再ネゴシエーションをサポートします。 SSL パラメーターの変更で再ネゴシエーションが必要な場合は、以下のいずれかのオプションを選択します。
セッション再開が有効になっている場合、セッションの再ネゴシエーションは以下の状況で有効です。
|