Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 代理

SSL 代理充当中介,在客户端和解密客户端与服务器之间执行 SSL 加密和解密。启用 SSL 转发代理后,可以更好地了解应用程序使用情况。

SSL 代理概述

有关支持的功能和平台的完整列表,请参阅功能浏览器中的 SSL 代理

安全套接字层 (SSL) 是一种应用级协议,为互联网提供加密技术。SSL,也称为传输层安全 (TLS),通过隐私、身份验证、机密性和数据完整性的组合来确保客户端和服务器之间的数据安全传输。SSL 依靠证书和私钥-公钥交换对来实现这种级别的安全性。

SSL 代理是在客户端与服务器之间执行 SSL 加密和解密的透明代理。

SSL代理如何工作?

SSL 代理通过以下组合在客户端和服务器之间提供安全的数据传输:

  • 身份验证服务器身份验证通过启用 Web 浏览器来验证 Web 服务器的身份,以防止欺诈性传输。

  • 机密性 - SSL通过加密数据来加强机密性,以防止未经授权的用户窃听电子通信;从而确保通信的隐私。

  • 完整性 - 消息完整性可确保通信内容不被篡改。

SRX 系列防火墙作为 SSL 代理,管理一端客户端与另一端服务器之间的 SSL 连接,并执行以下操作:

  • 客户端与 SRX 系列之间的 SSL 会话 - 当从客户端到服务器启动 SSL 会话时,终止来自客户端的 SSL 连接。SRX 系列防火墙解密流量,检查其是否存在攻击(双向),并代表客户端启动与服务器的连接。

  • 服务器与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从外部服务器启动到本地服务器时,终止从服务器的 SSL 连接。SRX 系列防火墙从客户端接收明文,对数据进行加密并将其作为密文传输到 SSL 服务器。另一方面,SRX 系列解密来自 SSL 服务器的流量,检查其是否存在攻击,并以明文形式将数据发送到客户端。

  • 允许检查加密流量。

SSL代理服务器通过加密技术确保数据的安全传输。SSL 依靠证书和私钥-公钥交换对来提供安全通信。有关详细信息,请参阅 SSL 证书

要在 SRX 系列防火墙与其客户端/服务器之间建立和维护 SSL 会话,SRX 系列防火墙会将安全策略应用于它接收到的流量。当流量与安全策略标准匹配时,将 SSL 代理作为安全策略中的应用服务进行启用。

具有应用安全性服务的 SSL 代理

图 1 显示了 SSL 代理如何处理加密的有效负载。

图 1:加密有效负载 SSL Proxy on an Encrypted Payload上的 SSL 代理

配置高级安全服务,如应用防火墙 (AppFW)、入侵检测和防御 (IDP)、应用跟踪 (AppTrack)、内容安全性和 ATP 云时,SSL 代理通过终止客户端的 SSL 会话并与服务器建立新的 SSL 会话来充当 SSL 服务器。SRX 系列防火墙解密并重新加密所有 SSL 代理流量。

IDP、AppFW、AppTracking、基于策略的高级路由 (APBR)、内容安全、ATP 云和 ICAP 服务重定向可以使用来自 SSL 代理的解密内容。如果这些服务均未配置,则即使将 SSL 代理配置文件附加到防火墙策略,也会绕过 SSL 代理服务。

SSL代理的类型

SSL 代理是在客户端与服务器之间执行 SSL 加密和解密的透明代理。SRX 从客户端的角度充当服务器,从服务器的角度充当客户端。在 SRX 系列防火墙上,使用相同的回显系统 SSL-T-SSL [客户端端的终结符] 和 SSL-I-SSL [服务器端的启动器]),支持客户端保护(正向代理)和服务器保护(反向代理)。

SRX 系列防火墙支持以下类型的 SSL 代理:

  • 客户端保护 SSL 代理,也称为转发代理 — SRX 系列防火墙驻留在内部客户端和外部服务器之间。将出站会话(即本地启动的 SSL 会话)代理到 Internet。它解密并检查从内部用户到 Web 的流量。

  • 服务器保护 SSL 代理,也称为反向代理 — SRX 系列防火墙驻留在内部服务器和外部客户端之间。代理入站会话,即从 Internet 到本地服务器的外部发起的 SSL 会话。

有关 SSL 转发代理和反向代理的详细信息,请参阅 配置 SSL 代理

支持的 SSL 协议

SRX 系列防火墙支持以下 SSL 协议,用于 SSL 启动和终止服务:

  • TLS 版本 1.0 — 在通信应用程序之间提供身份验证和安全通信。

  • TLS 版本 1.1 — 此增强版 TLS 可防御密码字组链接 (CBC) 攻击。

  • TLS 版本 1.2 — TLS 的此增强版本为加密算法协商提供了更高的灵活性。

  • TLS 版本 1.3 — TLS 的此增强版本提供了改进的安全性和更好的性能。

从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,SRX 系列防火墙以及 TLS 1.0 版支持 TLS 1.1 版和 TLS 1.2 版协议。

从 Junos OS 15.1X49-D20 版和 Junos OS 17.3R1 版开始,SSL 协议 3.0 (SSLv3) 支持已弃用。

从 Junos OS 21.2R1 版开始,在 SRX 系列防火墙上,SSL 代理可支持 TLS 1.3 版。

使用 TLS 1.3 时,SRX 系列防火墙支持使用 secp256r1 组进行密钥交换,以便与服务器建立连接。如果服务器仅支持 secp384r1,则连接将终止。

从 Junos OS 24.2R1 版开始,SRX 系列防火墙可支持 SNI 进行 SSL 初始化 (SSL-I) 处理。服务器名称指示 (SNI) 是 SSL/TLS 标头的扩展,在 SSL 握手完成之前,它在 HTTPS“客户端查询”交换期间以明文形式携带目标服务器的主机名。

SSL 代理的好处

  • 解密 SSL 流量以获取精细的应用信息,并使您能够应用高级安全服务保护和检测威胁。

  • 强制客户端和服务器使用强协议和密码。

  • 提供对 SSL 加密流量中嵌入威胁的可见性和防御。

  • 使用选择性 SSL 代理控制需要解密的内容。

逻辑系统支持

可以在使用逻辑系统配置的防火墙策略上启用 SSL 代理;但是,请注意以下限制:

  • 逻辑系统配置当前不支持“服务”类别。由于 SSL 代理位于“服务”下,因此无法按逻辑系统配置 SSL 代理配置文件。

  • 由于在全局级别(在“服务 SSL 代理”中)配置的代理配置文件在逻辑系统配置中可见,因此可以在全局级别配置代理配置文件,然后将它们附加到一个或多个逻辑系统的防火墙策略。

局限性

在所有 SRX 系列防火墙上,当前的 SSL 代理实施都具有以下连接限制:

  • 不推荐使用 SSLv3.0 协议支持。

  • 不支持 SSLv2 协议。使用 SSLv2 的 SSL 会话将被丢弃。

  • 仅支持 X.509v3 证书。

  • 不支持 SSL 握手的客户端身份验证。

  • 强制客户端证书身份验证的 SSL 会话将被丢弃。

  • 请求重新协商的 SSL 会话将被丢弃。

  • 在 SRX 系列防火墙上,对于特定会话,仅当同时启用了与 SSL 流量相关的功能时,才会启用 SSL 代理。与 SSL 流量相关的功能包括 IDP、应用标识、应用防火墙、应用跟踪、基于策略的高级路由、内容安全性、ATP 云和 ICAP 重定向服务。如果这些功能在会话上均未处于活动状态,则 SSL 代理将绕过会话,并且在这种情况下不会生成日志。
  • 在多节点高可用性设置中运行的 SRX 系列防火墙不支持 SSL 代理功能。

另见