Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 代理

SSL 代理用作中介,在客户端和服务器之间执行 SSL 加密和解密。启用 SSL 转发代理时,可以更好地了解应用程序使用情况。

SSL 代理概述

SSL 代理仅在 SRX 系列设备上受支持。

安全套接字层 (SSL) 是一种应用程序级协议,可为互联网提供加密技术。SSL 又称为 传输层 安全 (TLS),通过结合隐私、认证、机密性和数据完整性,确保在客户端和服务器之间安全地传输数据。SSL 依赖证书和私钥交换对实现此安全级别。

SSL 代理是在客户端与服务器之间执行 SSL 加密和解密的透明代理。

SSL 代理如何工作?

SSL 代理通过以下组合在客户端和服务器之间提供安全数据传输:

  • 通过使 Web 浏览器验证 Web 服务器的身份,身份验证-服务器身份验证可防范欺诈传输。

  • 机密性 - SSL 通过加密数据加强机密性,防止未经授权的用户窃听电子通信;从而确保通信的隐私性。

  • 完整性 - 消息完整性可确保通信的内容不会篡改。

充当 SSL 代理的 SRX 系列设备管理一端客户端与另一端服务器之间的 SSL 连接,并执行以下操作:

  • 客户端与 SRX 系列之间的 SSL 会话 - 当 SSL 会话从客户端启动至服务器时,终止客户端的 SSL 连接。SRX 系列设备解密流量,检查流量是否有攻击(两个方向),并代表客户端启动与服务器的连接。

  • 服务器与 SRX 系列之间的 SSL 会话 - 在 SSL 会话从外部服务器启动至本地服务器时,从服务器终止 SSL 连接。SRX 系列设备从客户端接收明文,并加密数据并作为密码文本传输至 SSL 服务器。另一方面,SRX 系列会解密 SSL 服务器的流量,检查流量是否有攻击,并将数据以纯文本格式发送给客户端。

  • 允许检查加密的流量。

SSL 代理服务器使用加密技术确保数据安全传输。SSL 依靠证书和私钥交换对提供安全通信。有关详细信息,请参阅 SSL 证书

要建立并维护 SRX 系列设备及其客户端/服务器之间的 SSL 会话,SRX 系列设备将安全策略应用于其接收的流量。当流量符合安全策略标准时,SSL 代理将在安全策略中作为应用程序服务启用。

SSL 代理与应用程序安全服务

图 1 显示 SSL 代理如何在加密有效负载上工作。

图 1:加密有效负载上的 SSL 代理 SSL Proxy on an Encrypted Payload

配置应用程序防火墙 (AppFW)、入侵检测和防御 (IDP)、应用程序跟踪 (AppTrack)、UTM 和 SkyATP 等高级安全服务时,SSL 代理将终止客户端的 SSL 会话并建立新的 SSL 会话以作为 SSL 服务器。SRX 系列设备解密,然后重新加密所有 SSL 代理流量。

IDP、AppFW、AppTracking、基于策略的高级路由 (APBR)、UTM、SkyATP 和 ICAP 服务重定向可以使用 SSL 代理中的解密内容。如果未配置这些服务,则 SSL 代理服务将绕过,即使 SSL 代理配置文件已连接到防火墙策略。

SSL 代理类型

SSL 代理是在客户端与服务器之间执行 SSL 加密和解密的透明代理。从客户端的角度来看,SRX 充当服务器,从服务器的角度来看,它充当客户端。在 SRX 系列设备上,使用相同的回应系统 SSL-T-SSL [客户端上的终端程序] 和 SSL-I-SSL [服务器端发起方] ,支持客户端保护(转发代理)和服务器保护(反向代理)。

SRX 系列设备支持以下类型的 SSL 代理:

  • 客户端保护 SSL 代理也称为转发代理 — SRX 系列设备驻留在内部客户端和外部服务器之间。代理出站会话,即在本地启动到 Internet 的 SSL 会话。它可以解密并检测从内部用户到 Web 的流量。

  • 服务器保护 SSL 代理也称为反向代理 — SRX 系列设备驻留在内部服务器和外部客户端之间。代理入站会话,即从互联网到本地服务器从外部发起的 SSL 会话。

有关 SSL 转发代理和反向代理的信息,请参阅 配置 SSL 代理

支持的 SSL 协议

SRX 系列设备上支持以下 SSL 协议进行 SSL 初始化和终止服务:

  • TLS 版本 1.0 — 在通信应用程序之间提供身份验证和安全通信。

  • TLS 版本 1.1 — 此增强型 TLS 版本可防范密码组链接 (CBC) 攻击。

  • TLS 版本 1.2 — 这种增强的 TLS 版本提高了协商加密算法的灵活性。

  • TLS 版本 1.3 — 此增强版本的 TLS 提高了安全性并提高了性能。

从 Junos OS 15.1X49-D30 和 Junos OS 版本 17.3R1 开始,SRX 系列设备和 TLS 版本 1.0 均支持 TLS 版本 1.1 和 TLS 版本 1.2 协议。

从 Junos OS 15.1X49-D20 Junos OS版本 17.3R1开始,将弃用 SSL 协议 3.0 (SSLv3) 支持。

从 21.2R1 Junos OS版本开始,SSL 代理在 SRX 系列设备上支持 TLS 版本 1.3。

SSL 代理的好处

  • 解密 SSL 流量以获取细粒度应用程序信息,并使您能够应用高级安全服务保护并检测威胁。

  • 由客户端和服务器强制使用强协议和密码。

  • 提供对 SSL 加密信息流中嵌入威胁的可见性和防护。

  • 控制需要使用选择性 SSL 代理解密的内容。

逻辑系统支持

在使用逻辑系统配置的防火墙策略上启用 SSL 代理是可能的;但是,请注意以下限制:

  • "服务"类别当前在逻辑系统配置中不受支持。由于 SSL 代理在"服务"下,因此您不能按逻辑系统配置 SSL 代理配置文件。

  • 由于在全局级别配置的代理配置文件(在"服务 ssl 代理"中)在逻辑系统配置中可见,因此可以在全球范围内配置代理配置文件,然后将代理配置文件附加到一个或多个逻辑系统的防火墙策略。

限制

在所有 SRX 系列设备上,当前的 SSL 代理实施具有以下连接限制:

  • SSLv3.0 协议支持已弃用。

  • 不支持 SSLv2 协议。使用 SSLv2 的 SSL 会话将丢弃。

  • 仅支持 X.509v3 证书。

  • 不支持 SSL 握手的客户端认证。

  • 在必须执行客户端证书验证的 SSL 会话中。

  • 将放弃请求重新协商的 SSL 会话。

在 SRX 系列设备上,对于特定会话,只有在启用与 SSL 流量相关的相关功能时,SSL 代理才启用。与 SSL 流量相关的功能包括IDP识别、应用程序防火墙、应用程序跟踪、基于策略的高级路由、UTM、SkyATP 和 ICAP 重定向服务。如果会话中没有这些功能处于活动状态,SSL 代理将绕过会话,并且此方案中不会生成日志。