Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 代理

SSL 代理充当中介,在客户端和服务器之间执行 SSL 加密和解密。启用 SSL 转发代理后,可以更好地了解应用程序使用情况。

SSL 代理概述

SSL 代理仅在 SRX 系列设备上受支持。

安全套接字层 (SSL) 是一种为互联网提供加密技术的应用程序级协议。SSL 也称为传输层安全 (TLS),它通过隐私、身份验证、机密性和数据完整性的组合,确保客户端和服务器之间的数据安全传输。SSL 依靠证书和私钥-公钥交换对来实现这种安全级别。

SSL 代理是在客户端和服务器之间执行 SSL 加密和解密的透明代理。

SSL 代理的工作原理是什么?

SSL 代理通过以下组合在客户端和服务器之间提供数据安全传输:

  • 认证服务器身份验证可通过启用 Web 浏览器验证 Web 服务器的身份来防止欺诈性传输。

  • 机密性 - SSL 通过对数据进行加密来强制执行机密性,以防止未经授权的用户窃听电子通信:从而确保通信隐私。

  • 完整性 - 消息完整性可确保通信内容不被篡改。

充当 SSL 代理的 SRX 系列设备管理一端的客户端与另一端的服务器之间的 SSL 连接,并请执行以下操作:

  • 客户端与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从客户端启动到服务器时,终止来自客户端的 SSL 连接。SRX 系列设备解密流量,检查其是否有攻击(两个方向),并代表客户端启动到服务器的连接。

  • 服务器与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从外部服务器启动到本地服务器时,终止来自服务器的 SSL 连接。SRX 系列设备从客户端接收明文,并加密数据并将其作为密文传输到 SSL 服务器。另一方面,SRX 系列对来自 SSL 服务器的流量进行解密,检查其是否受到攻击,并将数据作为明文发送到客户端。

  • 允许检测加密流量。

SSL 代理服务器采用加密技术确保数据安全传输。SSL 依靠证书和私钥-公钥交换对提供安全通信。有关更多信息,请参阅 SSL 证书

要建立和维护 SRX 系列设备与其客户端/服务器之间的 SSL 会话,SRX 系列设备会对其接收的流量应用安全策略。当流量与安全策略标准匹配时,SSL 代理作为安全策略中的一个应用程序服务启用。

带有应用程序安全服务的 SSL 代理

图 1 显示了 SSL 代理如何在加密的有效负载上工作。

图 1:加密有效负载 SSL Proxy on an Encrypted Payload上的 SSL 代理

配置高级安全服务(如应用程序防火墙 (AppFW)、入侵检测和防御 (IDP)、应用程序跟踪 (AppTrack)、UTM 和 SkyATP 时,SSL 代理将充当 SSL 服务器,从客户端终止 SSL 会话,并建立与服务器的新 SSL 会话。SRX 系列设备解密,然后重新加密所有 SSL 代理流量。

IDP、AppFW、AppTracking、基于策略的高级路由 (APBR)、UTM、SkyATP 和 ICAP 服务重定向可以使用来自 SSL 代理的解密内容。如果这些服务均未配置,即使 SSL 代理配置文件连接到防火墙策略,SSL 代理服务也会被绕过。

SSL 代理类型

SSL 代理是在客户端和服务器之间执行 SSL 加密和解密的透明代理。SRX 从客户端的角度来看充当服务器,从服务器的角度充当客户端。在 SRX 系列设备上,使用相同的回显系统 SSL-T-SSL [客户端终止器]和 SSL-I-SSL [服务器端的发起器],支持客户端保护(前向代理)和服务器保护(反向代理)。

SRX 系列设备支持以下类型的 SSL 代理:

  • 客户端保护 SSL 代理也称为转发代理 — SRX 系列设备驻留在内部客户端和外部服务器之间。将出站会话(即本地发起的 SSL 会话)代理到互联网。它会解密并检查来自内部用户到 Web 的流量。

  • 服务器保护 SSL 代理也称为反向代理 — SRX 系列设备驻留在内部服务器和外部客户端之间。代理入站会话,即从互联网到本地服务器外部发起的 SSL 会话。

有关 SSL 转发代理和反向代理的详细信息,请参阅 配置 SSL 代理

支持的 SSL 协议

用于 SSL 初始化和终止服务的 SRX 系列设备上支持以下 SSL 协议:

  • TLS 1.0 版 — 在通信应用程序之间提供身份验证和安全通信。

  • TLS 版本 1.1 — 此 TLS 增强版可抵御密码块链 (CBC) 攻击。

  • TLS 版本 1.2 — 此 TLS 增强版提高了密码算法协商的灵活性。

  • TLS 版本 1.3 — 此 TLS 增强版提供了更高的安全性和更好的性能。

从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,SRX 系列设备以及 TLS 1.0 版本支持 TLS 1.1 和 TLS 1.2 版协议。

从 Junos OS 15.1X49-D20 版和 Junos OS 17.3R1 版开始,SSL 协议 3.0 (SSLv3) 支持已弃用。

从 Junos OS 21.2R1 版开始,在 SRX 系列设备上,SSL 代理支持 TLS 1.3 版。

使用 TLS 1.3 时,SRX 系列设备支持使用 secp256r1 组进行密钥交换,以便与服务器建立连接。如果服务器仅支持 secp384r1,则连接将被终止。

SSL 代理的优势

  • 解密 SSL 流量以获取精细的应用程序信息,并使您能够应用高级安全服务保护和检测威胁。

  • 强制客户端和服务器使用强协议和密码。

  • 提供可见性和防护,抵御 SSL 加密流量中嵌入的威胁。

  • 控制需要使用选择性 SSL 代理解密的内容。

逻辑系统支持

可以在使用逻辑系统配置的防火墙策略上启用 SSL 代理;但是,请注意以下限制:

  • 逻辑系统配置中当前不支持“服务”类别。由于 SSL 代理位于“服务”下,因此无法按逻辑系统配置 SSL 代理配置文件。

  • 由于在全局级别(“服务 ssl 代理”内)配置的代理配置文件在逻辑系统配置中可见,因此可以在全局级别配置代理配置文件,然后将它们连接到一个或多个逻辑系统的防火墙策略。

限制

在所有 SRX 系列设备上,当前的 SSL 代理实施都具有以下连接限制:

  • SSLv3.0 协议支持已弃用。

  • 不支持 SSLv2 协议。使用 SSLv2 的 SSL 会话被丢弃。

  • 仅支持 X.509v3 证书。

  • 不支持 SSL 握手的客户端身份验证。

  • 强制进行客户端证书认证的 SSL 会话将被删除。

  • 请求重新协商的 SSL 会话将被删除。

在 SRX 系列设备上,对于特定会话,仅当也启用了与 SSL 流量相关的相关功能时,SSL 代理才会启用。与 SSL 流量相关的功能包括 IDP、应用程序识别、应用程序防火墙、应用程序跟踪、基于策略的高级路由、UTM、SkyATP 和 ICAP 重定向服务。如果会话中没有这些功能处于活动状态,SSL 代理将绕过该会话,并且不会在此场景中生成日志。

另请参阅