SSL 代理
SSL 代理充当中介,在客户端和服务器之间执行 SSL 加密和解密。启用 SSL 转发代理后,可以更好地了解应用程序使用情况。
SSL 代理概述
SSL 代理仅在 SRX 系列设备上受支持。
安全套接字层 (SSL) 是一种为互联网提供加密技术的应用程序级协议。SSL 也称为传输层安全 (TLS),它通过隐私、身份验证、机密性和数据完整性的组合,确保客户端和服务器之间的数据安全传输。SSL 依靠证书和私钥-公钥交换对来实现这种安全级别。
SSL 代理是在客户端和服务器之间执行 SSL 加密和解密的透明代理。
SSL 代理的工作原理是什么?
SSL 代理通过以下组合在客户端和服务器之间提供数据安全传输:
认证服务器身份验证可通过启用 Web 浏览器验证 Web 服务器的身份来防止欺诈性传输。
机密性 - SSL 通过对数据进行加密来强制执行机密性,以防止未经授权的用户窃听电子通信:从而确保通信隐私。
完整性 - 消息完整性可确保通信内容不被篡改。
充当 SSL 代理的 SRX 系列设备管理一端的客户端与另一端的服务器之间的 SSL 连接,并请执行以下操作:
客户端与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从客户端启动到服务器时,终止来自客户端的 SSL 连接。SRX 系列设备解密流量,检查其是否有攻击(两个方向),并代表客户端启动到服务器的连接。
服务器与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从外部服务器启动到本地服务器时,终止来自服务器的 SSL 连接。SRX 系列设备从客户端接收明文,并加密数据并将其作为密文传输到 SSL 服务器。另一方面,SRX 系列对来自 SSL 服务器的流量进行解密,检查其是否受到攻击,并将数据作为明文发送到客户端。
允许检测加密流量。
SSL 代理服务器采用加密技术确保数据安全传输。SSL 依靠证书和私钥-公钥交换对提供安全通信。有关更多信息,请参阅 SSL 证书。
要建立和维护 SRX 系列设备与其客户端/服务器之间的 SSL 会话,SRX 系列设备会对其接收的流量应用安全策略。当流量与安全策略标准匹配时,SSL 代理作为安全策略中的一个应用程序服务启用。
带有应用程序安全服务的 SSL 代理
图 1 显示了 SSL 代理如何在加密的有效负载上工作。
配置高级安全服务(如应用程序防火墙 (AppFW)、入侵检测和防御 (IDP)、应用程序跟踪 (AppTrack)、UTM 和 SkyATP 时,SSL 代理将充当 SSL 服务器,从客户端终止 SSL 会话,并建立与服务器的新 SSL 会话。SRX 系列设备解密,然后重新加密所有 SSL 代理流量。
IDP、AppFW、AppTracking、基于策略的高级路由 (APBR)、UTM、SkyATP 和 ICAP 服务重定向可以使用来自 SSL 代理的解密内容。如果这些服务均未配置,即使 SSL 代理配置文件连接到防火墙策略,SSL 代理服务也会被绕过。
SSL 代理类型
SSL 代理是在客户端和服务器之间执行 SSL 加密和解密的透明代理。SRX 从客户端的角度来看充当服务器,从服务器的角度充当客户端。在 SRX 系列设备上,使用相同的回显系统 SSL-T-SSL [客户端终止器]和 SSL-I-SSL [服务器端的发起器],支持客户端保护(前向代理)和服务器保护(反向代理)。
SRX 系列设备支持以下类型的 SSL 代理:
客户端保护 SSL 代理也称为转发代理 — SRX 系列设备驻留在内部客户端和外部服务器之间。将出站会话(即本地发起的 SSL 会话)代理到互联网。它会解密并检查来自内部用户到 Web 的流量。
服务器保护 SSL 代理也称为反向代理 — SRX 系列设备驻留在内部服务器和外部客户端之间。代理入站会话,即从互联网到本地服务器外部发起的 SSL 会话。
有关 SSL 转发代理和反向代理的详细信息,请参阅 配置 SSL 代理。
支持的 SSL 协议
用于 SSL 初始化和终止服务的 SRX 系列设备上支持以下 SSL 协议:
TLS 1.0 版 — 在通信应用程序之间提供身份验证和安全通信。
TLS 版本 1.1 — 此 TLS 增强版可抵御密码块链 (CBC) 攻击。
TLS 版本 1.2 — 此 TLS 增强版提高了密码算法协商的灵活性。
-
TLS 版本 1.3 — 此 TLS 增强版提供了更高的安全性和更好的性能。
从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,SRX 系列设备以及 TLS 1.0 版本支持 TLS 1.1 和 TLS 1.2 版协议。
从 Junos OS 15.1X49-D20 版和 Junos OS 17.3R1 版开始,SSL 协议 3.0 (SSLv3) 支持已弃用。
从 Junos OS 21.2R1 版开始,在 SRX 系列设备上,SSL 代理支持 TLS 1.3 版。
使用 TLS 1.3 时,SRX 系列设备支持使用 secp256r1 组进行密钥交换,以便与服务器建立连接。如果服务器仅支持 secp384r1,则连接将被终止。
SSL 代理的优势
解密 SSL 流量以获取精细的应用程序信息,并使您能够应用高级安全服务保护和检测威胁。
强制客户端和服务器使用强协议和密码。
提供可见性和防护,抵御 SSL 加密流量中嵌入的威胁。
控制需要使用选择性 SSL 代理解密的内容。
逻辑系统支持
可以在使用逻辑系统配置的防火墙策略上启用 SSL 代理;但是,请注意以下限制:
逻辑系统配置中当前不支持“服务”类别。由于 SSL 代理位于“服务”下,因此无法按逻辑系统配置 SSL 代理配置文件。
由于在全局级别(“服务 ssl 代理”内)配置的代理配置文件在逻辑系统配置中可见,因此可以在全局级别配置代理配置文件,然后将它们连接到一个或多个逻辑系统的防火墙策略。
限制
在所有 SRX 系列设备上,当前的 SSL 代理实施都具有以下连接限制:
SSLv3.0 协议支持已弃用。
不支持 SSLv2 协议。使用 SSLv2 的 SSL 会话被丢弃。
仅支持 X.509v3 证书。
不支持 SSL 握手的客户端身份验证。
强制进行客户端证书认证的 SSL 会话将被删除。
请求重新协商的 SSL 会话将被删除。
在 SRX 系列设备上,对于特定会话,仅当也启用了与 SSL 流量相关的相关功能时,SSL 代理才会启用。与 SSL 流量相关的功能包括 IDP、应用程序识别、应用程序防火墙、应用程序跟踪、基于策略的高级路由、UTM、SkyATP 和 ICAP 重定向服务。如果会话中没有这些功能处于活动状态,SSL 代理将绕过该会话,并且不会在此场景中生成日志。