Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do proxy SSL

O dispositivo da Série SRX oferece suporte a proxy SSL e proxy reverso SSL.

Configuração do proxy de encaminhamento SSL

Visão geral da configuração de proxy SSL

A configuração do SSL Forward Proxy exibe uma visão geral de como o proxy SSL está configurado. A configuração do proxy SSL inclui:

  • Configurando o certificado de CA raiz

  • Carregando um grupo de perfil ca

  • Configure o perfil de proxy SSL e o certificado de CA raiz associado e o grupo de perfil ca

  • Crie uma política de segurança definindo critérios de correspondência de tráfego de entrada

  • Aplicar um perfil de proxy SSL a uma política de segurança

  • Etapas opcionais, como a criação de listas de permitidores e registro de proxy SSL

Configuração de um certificado de CA raiz

Uma CA pode emitir vários certificados na forma de uma estrutura de árvore. Um certificado raiz é o certificado mais alto da árvore, da qual a chave privada é usada para sign outros certificados. Todos os certificados imediatamente abaixo do certificado raiz herdam a assinatura ou confiabilidade do certificado raiz. Isso é um pouco como a notarizing de uma identidade.

Você pode configurar um certificado ca raiz primeiro obtendo um certificado ca raiz (gerando um auto-assinado ou importando um) e, em seguida, aplicando-o a um perfil de proxy SSL. Você pode obter um certificado ca raiz usando o Junos OS CLI

Gere um certificado de CA raiz com CLI

Para definir um certificado auto-assinado na CLI, você deve fornecer os seguintes detalhes:

  • Identificador de certificado (gerado na etapa anterior)

  • Nome de domínio totalmente qualificado (FQDN) para o certificado

  • endereço de e-mail da entidade que possui o certificado

  • Nome comum e a organização envolvida

Gere um certificado ca raiz usando o Junos OS CLI:

  1. A partir do modo operacional, gere um par de chaves PKI público/privado para um certificado digital local.

    Aqui, você pode selecionar uma das seguintes combinações:

    • 1024 bits (somente RSA/DSA)

    • 2048 bits (somente RSA/DSA)

    • 256 bits (somente ECDSA)

    • 384 bits (somente ECDSA)

    • 4096 bits (somente RSA/DSA)

    • 521 bits (somente ECDSA)

    Exemplo:

    Ou
  2. Defina um certificado auto-assinado.

    Exemplo:

    Ao configurar a opção add-ca-constraint , você garante que o certificado possa ser usado para assinar outros certificados.

  3. A partir do modo de configuração, aplique o certificado carregado como root-ca no perfil de proxy SSL.

    Exemplo:

  4. Importe o CA raiz como um CA confiável para navegadores clientes. Isso é necessário para que os navegadores clientes confiem nos certificados assinados pelo dispositivo da Série SRX. Consulte a importação de um certificado de CA raiz em um navegador.

Configuração de um grupo de perfil ca

O perfil da CA define as informações do certificado para autenticação. Ele inclui a chave pública que o proxy SSL usa ao gerar um novo certificado. O Junos OS permite criar um grupo de perfis de CA e carregar vários certificados em uma ação, visualizar informações sobre todos os certificados em um grupo e excluir grupos de CA indesejados.

Você pode carregar um grupo de perfis de CA obtendo uma lista de certificados de CA confiáveis, definindo um grupo de CA e anexando o grupo CA ao perfil de proxy SSL.

  1. Obtenha uma lista de certificados de CA confiáveis usando um dos seguintes métodos. Quando uma conexão é iniciada, o dispositivo de conexão (como um navegador da Web) verifica se o certificado é emitido por um CA confiável. Sem esses certificados, os navegadores não podem validar a identidade da maioria dos sites e marcá-los como sites não confiáveis.
    • O Junos OS fornece uma lista padrão de certificados de CA confiáveis que você pode carregar em seu sistema. O pacote Junos OS contém os certificados CA padrão como um arquivo PEM (por exemplo, trusted_CA.pem). Depois de baixar o pacote Junos OS, os certificados padrão estão disponíveis em seu sistema.

      Do modo operacional, carregue os certificados CA confiáveis padrão (o nome do grupo identifica o grupo de perfil ca):

      Exemplo:

      Recomendamos o uso deste método.

    • Como alternativa, você pode definir sua própria lista de certificados de CA confiáveis e importá-los em seu sistema. Você obtém a lista de CAs confiáveis em um único arquivo PEM (por exemplo , IE-all.pem) e salva o arquivo PEM em um local específico (por exemplo, /var/tmp).

      Desde o modo operacional, carregue a lista confiável até o dispositivo (o nome do grupo identifica o grupo de perfil ca):

      Exemplo:

    • Baixe a lista de pacotes ca mais recentes de outras terceiros, como Mozilla (https://curl.haxx.se/docs/caextract.html). A lista de autoridades de certificado confiáveis pode mudar ao longo do tempo, garantir que você use o mais recente pacote de CA.

    • Importe seus próprios certificados de CA confiáveis usando a infraestrutura de chave pública (PKI). O PKI ajuda a verificar e autenticar a validade dos certificados de CA confiáveis. Você cria grupos de perfil de CA que incluem certificados de CA confiáveis e depois importa o grupo em seu dispositivo para autenticação de servidor.

  2. Conecte o CA confiável ou o grupo de CA confiável ao perfil de proxy SSL. Você pode anexar todos os CA confiáveis ou um CA confiável de cada vez:
    • Anexe todos os grupos de perfil da CA:

      Exemplo

    • Anexe um grupo de perfil ca (o nome do grupo identifica o grupo de perfil ca).

      Exemplo

Você pode exibir facilmente informações sobre todos os certificados em um grupo de perfil da CA:

Você pode excluir um grupo de perfil da CA. Lembre-se que excluir um grupo de perfil da CA exclui todos os certificados que pertencem a esse grupo:

Importando um certificado de CA raiz em um navegador

Para que seu navegador ou sistema confie automaticamente em todos os certificados assinados pelo CA raiz configurados no perfil de proxy SSL, você deve instruir sua plataforma ou navegador a confiar no certificado raiz do CA.

Para importar um certificado de CA raiz:

  1. Gere um arquivo de formato PEM para o CA raiz configurado.
  2. Importe um certificado CA raiz para um navegador.

    Do Internet Explorer (versão 8.0):

    1. No menu Ferramentas, selecione Opções de Internet.
    2. Na guia Conteúdo, clique em Certificados.
    3. Selecione a guia Autoridades confiáveis de certificação raiz e clique em Importar.
    4. No Assistente de Importação de Certificados, navegue até o certificado de CA raiz necessário e selecione-o.

    Do Firefox (versão 39.0):

    1. No menu Ferramentas, selecione Opções.
    2. No menu Advanced, selecione a guia Certificados e clique em Certificado de visualização.
    3. Na janela do Gerenciador de Certificados, selecione a guia Autoridades e clique em Importar.
    4. Navegue até o certificado de CA raiz necessário e selecione-o.

    Do Google Chrome (45.0):

    1. No menu Configurações, selecione Mostrar configurações avançadas.
    2. No menu Advanced, selecione a guia Certificados e clique em Certificado de visualização.
    3. Em HTTPS/SSL, clique em Gerenciar Certificados.
    4. Na janela do Certificado, selecione Autoridades confiáveis de certificação raiz e clique em Importar.
    5. No Assistente de Importação de Certificados, navegue até o certificado de CA raiz necessário e selecione-o.

Aplicar um perfil de proxy SSL a uma política de segurança

O proxy SSL é habilitado como um serviço de aplicativo dentro de uma política de segurança. Em uma política de segurança, você especifica o tráfego em que deseja que o proxy SSL seja ativado como critério de correspondência e depois especifique o perfil de CA proxy SSL a ser aplicado ao tráfego. A Figura 1 exibe uma visão gráfica do perfil de proxy SSL e configuração de políticas de segurança.

Figura 1: aplicar um perfil de proxy SSL a uma política de segurança

Para habilitar o proxy SSL em uma política de segurança:

Este exemplo pressupõe que você já cria zonas de segurança confiáveis e não confiáveis e cria uma política de segurança para o tráfego da zona de confiança até a zona não confiável.

  1. Crie uma política de segurança e especifique os critérios de correspondência para a política. Como critérios de correspondência, especifique o tráfego para o qual você deseja habilitar o proxy SSL.

    Exemplo:

  2. Aplique o perfil de proxy SSL na política de segurança.

Configuração do registro de proxy SSL

Ao configurar o proxy SSL, você pode optar por definir a opção de receber alguns ou todos os logs. Os registros de proxy SSL contêm o nome do sistema lógico, listas de proxy SSL, informações de políticas, informações de proxy SSL e outras informações que ajudam você a solucionar problemas quando há um erro.

Você pode configurar o registro de all eventos ou eventos específicos, como erros, avisos e eventos de informações. Você também pode configurar o registro de sessões que são permitidas listadas, retiradas, ignoradas ou permitidas após a ocorrência de um erro.

Você pode usar enable-flow-tracing a opção para habilitar o rastreamento de depuração.

Configuração de perfis de autoridade de certificados

Uma configuração de perfil de autoridade de certificado (CA) contém informações específicas de um CA. Você pode ter vários perfis de CA em um dispositivo da Série SRX. Por exemplo, você pode ter um perfil para orgA e outro para orgB. Cada perfil está associado a um certificado ca. Se você quiser carregar um novo certificado de CA sem remover o mais antigo, crie um novo perfil de CA (por exemplo, Microsoft-2008). Você pode agrupar vários perfis de CA em um grupo de CA confiável para uma determinada topologia.

Neste exemplo, você cria um perfil de CA chamado ca-profile-security com identidade CA microsoft-2008. Em seguida, você cria um perfil de proxy para o perfil da CA.

  1. A partir do modo de configuração, configure o perfil ca usado para carregar o certificado.

    Exemplo:

  2. Confirmar a configuração.
  3. Do modo operacional, carregue o certificado usando comandos PKI.

    Exemplo:

  4. Do modo de configuração, desabilize a verificação de revogação (se necessário).

    Exemplo:

  5. A partir do modo de configuração, configure o certificado carregado como um CA confiável no perfil de proxy SSL.

    Exemplo:

    Nota:

    Mais de um CA confiável pode ser configurado para um perfil.

  6. (Opcional) Se você tiver vários certificados de CA confiáveis, você não precisa especificar cada CA confiável separadamente. Você pode carregar all os certificados de CA confiáveis usando o seguinte comando do modo de configuração.
    Nota:

    Como alternativa, você pode importar um conjunto de CAs confiáveis do seu navegador para o dispositivo da Série SRX.

Certificados de exportação para um local especificado

Quando um certificado auto-assinado é gerado usando um comando PKI, o certificado recém-gerado é armazenado em um local predefinido (var/db/certs/common/local).

Use o seguinte comando para exportar o certificado para um local específico (dentro do dispositivo). Você pode especificar o certificado ID, o nome do arquivo e o tipo de formato de arquivo (DER/PEM):

Ignorando a autenticação do servidor

O Junos OS permite configurar uma opção de ignorar completamente a autenticação do servidor. Se você configurar seu sistema para ignorar a autenticação, todos os erros encontrados durante a verificação do certificado de servidor no momento do aperto de mão SSL são ignorados. Erros comumente ignorados incluem a incapacidade de verificar a assinatura do CA, datas de expiração incorretas do certificado e assim por diante. Se essa opção não for definida, todas as sessões em que o servidor envia certificados autografados são retiradas quando erros são encontrados.

Não recomendamos o uso dessa opção de autenticação porque configurá-la resulta em sites que não estão sendo autenticados. No entanto, você pode usar essa opção para identificar efetivamente a causa raiz das sessões de SSL derrubadas.

Do modo de configuração, especifique para ignorar a autenticação do servidor:

Proxy reverso SSL

Visão geral

A implementação do modelo de proxy para proteção de servidor (muitas vezes chamada de proxy reverso) é suportada em dispositivos da Série SRX para fornecer handshaking aprimorado e suporte para mais versões de protocolo. Você pode habilitar serviços de Camada 7 (segurança de aplicativos, IPS, UTM, SKY ATP) no tráfego descriptografado pelo proxy reverso SSL.

A partir do Junos OS Release 15.1X49-D80 e 17.3R1, o proxy reverso SSL é suportado nos dispositivos SRX5000 Series, SRX4100, SRX4200, SRX1500.

A partir do Junos OS Release 15.1X49-D80 e 17.3R1, recomendamos o uso do proxy reverso SSL e detecção e prevenção de invasões (IDP) em vez de usar a funcionalidade de inspeção de SSL IDP.

A partir do Junos OS 15.1X49-D80 e 17.3R1, o IDP SSL Inspection é preterido — em vez de imediatamente removido — para fornecer compatibilidade reversa e uma chance de colocar sua configuração em conformidade com a nova configuração.

#id-overview__rp-compare1 fornece as alterações aplicáveis em dispositivos da Série SRX após versões 15.1X48-D80 e 17.3R1.

Tabela 1: Comparando o proxy reverso antes e depois da versão do Junos OS 15.1X49-D80

Recurso

Antes do 15.1X49-D80

15,1X49-D80 e 17.3R1 depois

Modelo de proxy

É executado apenas no modo tap Em vez de participar do aperto de mão SSL, ele ouve o aperto de mão SSL, computa chaves de sessão e, em seguida, descriptografa o tráfego SSL.

Encerra a SSL do cliente no dispositivo da Série SRX e inicia uma nova conexão SSL com um servidor. Descriptografa o tráfego SSL do cliente/servidor e criptografa novamente (após inspeção) antes de enviar para o servidor/cliente.

Versão do protocolo

Não oferece suporte a TLS versões 1.1 e 1.2.

Oferece suporte a todas as versões de protocolo atuais.

Principais métodos de troca

  • Oferece suporte a RSA

  • Não suporta DHE.

  • Oferece suporte a RSA

  • Suporte a DHE ou ECDHE

Sistema Echo

Acoplado ao mecanismo IDP e ao detector.

Usa o proxy SSL avançado existente com proxy TCP por baixo.

Serviços de segurança

O tráfego SSL descriptografado só pode ser inspecionado pelo IDP.

Assim como o proxy avançado, o tráfego SSL descriptografado está disponível para todos os serviços de segurança.

Cifras suportadas

Um conjunto limitado de cifras é suportado.

Todas as cifras comumente usadas são suportadas.

Você deve configurar um root-ca ou outro server-certificate perfil de proxy SSL. Caso contrário, a verificação de compromisso falha. Consulte #id-overview__profile tipo1.

Tabela 2: Configurações de proxy SSL suportadas

certificado de servidor configurado

configurado root-ca

Tipo de perfil

Não

Não

A verificação de confirmação falha. Você deve configurar ou server-certificate root-ca.

Sim

Sim

A verificação de confirmação falha. A configuração de ambos server-certificate e root-ca no mesmo perfil não é suportada.

Não

Sim

Encaminhe o proxy

Sim

Não

Proxy reverso

A configuração de várias instâncias de perfis de proxy avançados e reversos é suportada. No entanto, para uma determinada política de firewall, apenas um perfil (seja um perfil de proxy avançado ou reverso) pode ser configurado. A configuração de proxy avançado e reverso no mesmo dispositivo também é suportada.

Você não pode configurar a implementação anterior de proxy reverso com a nova implementação de proxy reverso para uma determinada política de firewall. Se ambos estiverem configurados, você receberá uma mensagem de falha de verificação de compromisso.

As seguintes são as etapas mínimas para configurar o proxy reverso:

  1. Carregue os certificados de servidor e suas chaves no repositório de certificados de dispositivos da Série SRX usando o comando request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234CLI. Por exemplo:
  2. Anexe o identificador de certificado de servidor ao perfil SSL Proxy usando o comando set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234CLI. Por exemplo,

    user@host# conjunto de serviços ssl proxy perfil servidor-proteção-perfil servidor certificado server2_cert_id

  3. Use o show services ssl Comando CLI para verificar sua configuração. Por exemplo:

O proxy de encaminhamento ESL e o proxy reverso exigem que um perfil seja configurado no nível de regra do firewall. Além disso, você também deve configurar certificados de servidor com chaves privadas para proxy reverso. Durante um aperto de mão SSL, o proxy SSL realiza uma busca por uma chave privada de servidor correspondente em seu banco de dados de tabela de hash de chave privada do servidor. Se a busca for bem sucedida, o aperto de mão continua. Caso contrário, o proxy SSL encerra o aperto de mão. O proxy reverso não proíbe certificados de servidor. Ele encaminha o certificado/cadeia real do servidor como é para o cliente sem modificá-lo. A interceptação do certificado do servidor ocorre apenas com proxy avançado.

Os seguintes mostram configurações de perfil de proxy reverso e avançado.

Configurando o proxy reverso SSL

Este exemplo mostra como configurar o proxy reverso para habilitar a proteção do servidor. Para a proteção do servidor, além disso, o(s) certificado(s) do servidor com(s) chave(s) privada deve ser configurado.

Um proxy reverso protege os servidores escondendo os detalhes dos servidores dos clientes, adicionando uma camada extra de segurança.

Para configurar um proxy reverso SSL, você deve:

  • Carregue o(s) certificado(s) do servidor e a(s) chave(s) no repositório de certificados do dispositivo da Série SRX.

  • Anexe o(s) identificador(s) de certificados de servidor ao perfil de proxy SSL.

  • Aplique o perfil de proxy SSL como serviços de aplicativo em uma política de segurança.

Para configurar o proxy reverso SSL:

  1. Carregue o certificado de assinatura e a respectiva chave para o perfil de proxy SSL na memória PKI.
  2. Anexe o certificado do servidor ao perfil de proxy SSL.
  3. Crie uma política de segurança e especifique os critérios de correspondência para a política. Como critérios de correspondência, especifique o tráfego para o qual você deseja habilitar o proxy SSL.
  4. Aplique o perfil de proxy SSL na política de segurança. Este exemplo pressupõe que as zonas de segurança sejam criadas conforme os requisitos.

Verificando a configuração de proxy reverso SSL no dispositivo

Propósito

Visualizando as estatísticas de proxy reverso de SSL no dispositivo da Série SRX.

Ação

Você pode ver as estatísticas de proxy SSL usando o show services ssl proxy statistics comando.

Configure o proxy SSL com UTM

Os dispositivos da Série SRX oferecem suporte à proteção do cliente (proxy avançado) e proteção de servidor (proxy reverso). Você pode configurar o perfil de proxy SSL para proxy avançado e proxy reverso com o gerenciamento unificado de ameaças (UTM) habilitado.

Configure o proxy de encaminhamento SSL com UTM

Nesse procedimento, você configura um perfil de proxy de encaminhamento SSL com UTM. Quando você configura a UTM, o proxy SSL atua como um servidor SSL, encerrando a sessão SSL do cliente e estabelecendo uma nova sessão SSL para o servidor. O dispositivo da Série SRX descriptografa e rescriptografa todo o tráfego proxy SSL. A UTM pode usar o conteúdo descriptografado do proxy SSL.

Gere certificado local como root-ca.

  1. A partir do modo operacional, gere um par-chave para um certificado digital local.
  2. Gere certificado local usando o par-chave gerado acima.
  3. A partir do modo de configuração, aplique o certificado carregado como root-ca no perfil de proxy SSL.
  4. Anexe o perfil SSL e a política de UTM à política de segurança.

Configure o proxy reverso SSL com UTM

Nesse procedimento, você configura um perfil de proxy reverso SSL com UTM.

  1. Carregue os certificados de servidor e suas chaves no repositório de certificados de dispositivos da Série SRX.
  2. Desde o modo de configuração, anexe o identificador de certificados de servidor ao perfil SSL Proxy.
  3. Anexe o perfil SSL e a política de UTM à política de segurança para o tráfego de uma zona não confiável até a zona de confiança.

Criação de uma lista de destinos isentos para proxy SSL

A criptografia e a descriptografia SSL podem consumir recursos de memória nos dispositivos da Série SRX. Para limitar isso, você pode contornar seletivamente o processamento de proxy SSL para algumas sessões, como sessões que fazem transações com servidores ou domínios confiáveis familiares. Você também pode isentar as sessões com sites financeiros e bancários devido a requisitos legais.

Para isentar as sessões do proxy SSL, você pode criar uma lista de habilitação adicionando endereços IP ou nomes de domínio dos servidores. As listas de permitem incluir endereços que você deseja isentar de passar por processamento de proxy SSL.

Use as seguintes etapas para criar a lista de permitidores:

  • Especifique endereços IP e nome de domínio em sua lista de endereços global.

  • Consulte a lista de endereços global no perfil de proxy SSL.

Você pode configurar os seguintes tipos de endereços IP na lista de endereços global.

  • Endereços IPv4 (texto simples). Por exemplo:

  • Faixa de endereço IPv4. Por exemplo:

  • Curinga IPv4. Por exemplo:

  • Nome da DNS. Por exemplo:

  • Endereço IPv6. Por exemplo:

As listas de permitem não dar suporte aos seguintes tipos de endereços IP:

  • Endereços IP traduzidos. As sessões são permitidas listadas com base no endereço IP real e não no endereço IP traduzido. Por causa disso, na configuração de lista de habilitação do perfil de proxy SSL, o endereço IP real deve ser fornecido e não o endereço IP traduzido.

  • Máscaras de rede nãotiguosas. Por exemplo:

    • É suportado endereço IP -203.0.113.0 e máscara 255.255.255.0 que é 203.0.113.0/24.

    • Endereço IP - 203.0.113.9 e máscara 255.0.255.0 não é suportado.

O exemplo a seguir mostra como usar listas de acesso no perfil de proxy SSL.

Neste exemplo, você isenta todas as sessões para www.mycompany.com. Para isso, primeiro você especifica o domínio na lista de endereços e, em seguida, configura o endereço no perfil de proxy SSL.

  1. Configure o domínio na lista de endereços.
  2. Especifique o endereço da lista de endereços global no perfil de proxy SSL.

Criação de uma lista de categorias de URL isentas para proxy SSL

Você pode configurar as categorias de URL suportadas no módulo UTM para isentar a inspeção de SSL no dispositivo da Série SRX. Para usar categorias de URL da UTM, o dispositivo da Série SRX integra o perfil de proxy SSL com o recurso EWF. Com isso agora, você pode configurar uma lista de categorias de URL em um perfil de proxy SSL como allowlist, juntamente com os livros de endereços. Você pode configurar a lista a partir do conjunto predefinido de categorias de URL ou categorias de URL personalizadas suportadas pela UTM.

O dispositivo de segurança usa o campo De indicação de nome do servidor (SNI) extraído pelo módulo UTM para determinar a categoria URL. O proxy SSL usa essas informações para determinar se aceita e procuração ou ignora a sessão.

Esse recurso é suportado em instâncias SRX340, SRX345, SRX5400, SRX5600, SRX5800 e vSRX.

Começando com o Junos OS Release 15.1X49-D80 e o Junos OS Release 17.3R1, o recurso de lista de proxy SSL inclui categorias de URL suportadas pela UTM.

A partir do Junos OS Release 17.4R1, o recurso de proxy SSL permite que a lista estenda o suporte a categorias de URL personalizadas suportadas pela UTM.

Exemplos a seguir mostram como configurar as categorias de URL no perfil de proxy SSL:

Criação de uma lista de categorias de URL isentas

Use as etapas a seguir para configurar as categorias de URL predefinidas em um perfil de proxy SSL.

  1. As categorias de URL predefinidas dependem da UTM. Para habilitar a lista de permitidores baseadas em URL no proxy SSL, são necessárias as seguintes configurações básicas de URL:
  2. Especifique a categoria de URL predefinida no perfil de proxy SSL. Neste exemplo, você está usando a categoria URL Enhanced_Financial_Data_and_Services.
  3. Crie a política de segurança especificando as condições de correspondência e anexe a política de UTM à política de segurança para usar categorias de URL na lista de permitidores de SSL.

Criação de uma lista de categorias de URL personalizadas isentas

Use as etapas a seguir para configurar categorias de URL personalizadas em um perfil de proxy SSL.

  1. Crie uma categoria de URL personalizada.

    [edit]
    user@host# set security utm custom-objects url-pattern URL-1 value www.example.com 
    user@host# set security utm custom-objects custom-url-category CATEGORY-1 value URL-1
    user@host#  set security utm feature-profile web-filtering juniper-local profile PROFILE-1 category CATEGORY-1 action permit
    

  2. Configure uma política de UTM para o protocolo HTTP de filtragem da Web e associe o perfil que você criou em etapa anterior à política de UTM.
  3. Especifique a categoria de URL personalizada que você criou em etapa anterior no perfil de proxy SSL.
  4. Crie uma política de segurança especificando as condições de correspondência e anexe a política de UTM à política de segurança para usar categorias de URL na lista de permitidores de SSL.
Tabela de histórico de lançamento
Lançamento
Descrição
17.4R1
A partir do Junos OS Release 17.4R1, o recurso de proxy SSL permite que a lista estenda o suporte a categorias de URL personalizadas suportadas pela UTM.
15,1X49-D80
A partir do Junos OS Release 15.1X49-D80 e 17.3R1, o proxy reverso SSL é suportado nos dispositivos SRX5000 Series, SRX4100, SRX4200, SRX1500
15,1X49-D80
A partir do Junos OS Release 15.1X49-D80 e 17.3R1, recomendamos o uso do proxy reverso SSL e detecção e prevenção de invasões (IDP) em vez de usar a funcionalidade de inspeção de SSL IDP.
15,1X49-D80
A partir do Junos OS 15.1X49-D80 e 17.3R1, o IDP SSL Inspection é preterido — em vez de imediatamente removido — para fornecer compatibilidade reversa e uma chance de colocar sua configuração em conformidade com a nova configuração.
15,1X49-D80
Começando com o Junos OS Release 15.1X49-D80 e o Junos OS Release 17.3R1, o recurso de lista de proxy SSL inclui categorias de URL suportadas pela UTM.