显式 Web 代理
显式 Web 代理
显式代理提供了一种将流量从任何客户端设备引导到 SRX 系列的方法。SRX 系列防火墙接受来自客户端的连接,解析 DNS,将连接转发到指定的目标服务器,然后代表客户端从服务器获取响应。在此类配置中,防火墙充当客户端和服务器之间的中介。在这里,客户端和服务器之间的所有通信都通过配置为代理服务器的防火墙。
您可以将 SRX 系列防火墙接口配置为显式 Web 代理,以便为 IPv4 和 IPv6 HTTP 和 HTTPS 流量应用代理。
要部署显式代理,请在客户端设备上手动配置浏览器设置,以将请求发送到 SRX 防火墙。在大多数标准浏览器中,您可以指定代理地址和端口。
SRX 系列防火墙支持本地基础架构方法的显式代理,其中活动目录、身份管理服务器、LDAP 服务器、物理 SRX 系列防火墙和用户可在现场使用。
显式代理如何工作?
让我们考虑一个例子。 在图 1 中,客户端启动 HTTP 连接以达到 www.example.com。客户端设备首先与 SRX 系列连接,在 (10.4.0.254 和端口 8080) 上充当显式代理。
![Explicit Web Proxy](/documentation/us/en/software/junos/security-policies/Other/explicit-web-proxy-sample-image.png)
客户端网络通过 IP 地址为 10.4.0.254 的 ge-0/0/1 接口连接到 SRX 系列防火墙。SRX 系列使用接口 ge-0/0/2(IP 地址为 10.5.0.254)连接到互联网。
对于客户端浏览器启动的每个会话,SRX 系列都会创建两个会话:
S1:源自客户端浏览器到显式 Web 代理的会话
S2:从显式 Web 代理到实际目标服务器的会话。
表 1 提供了有关显式 Web 代理会话的详细信息。
会话类型 | 源 IP/端口 | 目标 IP/端口策略 | 注释 | |
---|---|---|---|---|
客户端到 SRX 系列 (S1) | 客户端 IP/动态端口范围 | SRX 系列接口 IP (10.4.0.254) /固定端口 (8080) | 安全策略/统一策略(在 SRX 系列上显式配置) | 客户端流量直接进入配置了显式代理配置文件的 SRX 系列接口。 |
SRX 系列到实际目标服务器 (S2) | SRX 系列出口接口 IP (10.5.0.254)/动态端口范围 | 通过 DNS (203.0.113.0) 或显式代理请求解析的终端服务器 | 隐式继承自 S1 | SRX 系列与实际服务器 (www.example.com) 建立连接。 |
好处
- 显式 Web 代理通过控制和过滤入站和出站流量来保护网络。
- 显式 Web 代理代表客户端执行 DNS 解析。
在 SRX 系列防火墙上配置显式代理的步骤
要管理网络连接的显式代理,您必须:
- 启用 Web 管理服务并在接口上配置 Web 身份验证功能
- 强制用户先进行身份验证,然后才能连接到您的网络。在显式代理中强制进行身份验证时,未经身份验证的连接将重定向到“防火墙身份验证”页。
- 配置显式代理配置文件。
- 在接口上配置显式代理。此接口必须连接到客户端网络。客户端浏览器使用此 IP 地址将请求转发到 SRX 系列设备。您可以配置多个显式代理配置文件并将其附加到接口中的特定 IP 地址。但是,必须确保显式代理配置文件之间不能有重叠的端口。
- 使用安全策略控制显式 Web 代理流量。
- 将 SSL 代理服务附加到显式代理策略。
- 为显式代理配置默认策略。
显式 Web 代理的安全策略支持
您必须配置和实施安全策略来管理显式代理的流量。显式代理配置文件需要一组唯一的安全策略或统一策略。防火墙根据入口接口和端口组合确定用于策略查找的配置文件。防火墙识别出流的显式代理配置文件后,将执行策略查找。
SRX 系列防火墙使用以下顺序进行策略查找:
- 源 IP 地址、源端口、协议和源标识
- 基于 DNS 的目标 IP 解析
- 网址类别检测
- 动态第 7 层应用匹配
- 基于 DNS 的目标解析 IP 信誉
- 硬编码的目标 IP 地址或硬编码目标 IP 地址的信誉
配置显式代理配置文件策略
您可以使用以下语句配置显式代理配置文件规则库:
[edit] user@host# set security policies explicit-proxy profile <profile-name> policy
您可以注意到,此策略与全局策略类似,不需要安全区域。
要使用显式代理配置文件附加安全策略,策略配置中提到的配置文件名称必须与在 Web 代理服务 ()set services web-proxy explicit-proxy profile <profile-name>
下配置的显式代理配置文件的名称匹配。
例子:
为名为“配置文件站点-A”的显式代理配置文件创建策略。
[edit] user@host# set services web-proxy explicit-proxy profile profile-site-A
确保显式配置文件策略也使用相同的名称:
[edit] user@host# set security policies explicit-proxy profile profile-site-A policy
限制
对于显式代理配置文件策略,匹配条件不支持:
- 源或目标区域
- 源和目标第 3 层 VPN VRF 组
赛后应用程序服务不支持:
- 安全网络代理
- GPRS 隧道协议
- GPRS 流控制传输协议 (SCTP)
- 策略的统一访问控制实施 (UAC)
- WAN 加速(传统 WX)
- 传统入侵检测和防御。
- APBR
显式代理的默认策略
如果流量与任何显式代理配置文件匹配,但与显式代理配置文件下的任何策略不匹配,防火墙将应用默认策略操作。您可以在显式代理配置文件中配置默认策略。
如果未找到给定流量的匹配显式代理配置文件,防火墙将根据配置的区域和全局策略执行策略查找。
您只能为每个显式代理配置文件配置一个默认策略。