Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

显式 Web 代理

显式 Web 代理

显式代理提供了一种将流量从任何客户端设备引导到 SRX 系列的方法。SRX 系列防火墙接受来自客户端的连接,解析 DNS,将连接转发到指定的目标服务器,然后代表客户端从服务器获取响应。在此类配置中,防火墙充当客户端和服务器之间的中介。在这里,客户端和服务器之间的所有通信都通过配置为代理服务器的防火墙。

您可以将 SRX 系列防火墙接口配置为显式 Web 代理,以便为 IPv4 和 IPv6 HTTP 和 HTTPS 流量应用代理。

要部署显式代理,请在客户端设备上手动配置浏览器设置,以将请求发送到 SRX 防火墙。在大多数标准浏览器中,您可以指定代理地址和端口。

SRX 系列防火墙支持本地基础架构方法的显式代理,其中活动目录、身份管理服务器、LDAP 服务器、物理 SRX 系列防火墙和用户可在现场使用。

显式代理如何工作?

让我们考虑一个例子。 在图 1 中,客户端启动 HTTP 连接以达到 www.example.com。客户端设备首先与 SRX 系列连接,在 (10.4.0.254 和端口 8080) 上充当显式代理。

图 1:显式 Web 代理 Explicit Web Proxy

客户端网络通过 IP 地址为 10.4.0.254 的 ge-0/0/1 接口连接到 SRX 系列防火墙。SRX 系列使用接口 ge-0/0/2(IP 地址为 10.5.0.254)连接到互联网。

对于客户端浏览器启动的每个会话,SRX 系列都会创建两个会话:

S1:源自客户端浏览器到显式 Web 代理的会话

S2:从显式 Web 代理到实际目标服务器的会话。

表 1 提供了有关显式 Web 代理会话的详细信息。

表 1:显式代理会话详细信息
会话类型 源 IP/端口 目标 IP/端口策略 注释
客户端到 SRX 系列 (S1) 客户端 IP/动态端口范围 SRX 系列接口 IP (10.4.0.254) /固定端口 (8080) 安全策略/统一策略(在 SRX 系列上显式配置) 客户端流量直接进入配置了显式代理配置文件的 SRX 系列接口。
SRX 系列到实际目标服务器 (S2) SRX 系列出口接口 IP (10.5.0.254)/动态端口范围 通过 DNS (203.0.113.0) 或显式代理请求解析的终端服务器 隐式继承自 S1 SRX 系列与实际服务器 (www.example.com) 建立连接。

好处

  • 显式 Web 代理通过控制和过滤入站和出站流量来保护网络。
  • 显式 Web 代理代表客户端执行 DNS 解析。

在 SRX 系列防火墙上配置显式代理的步骤

要管理网络连接的显式代理,您必须:

  1. 启用 Web 管理服务并在接口上配置 Web 身份验证功能
  2. 强制用户先进行身份验证,然后才能连接到您的网络。在显式代理中强制进行身份验证时,未经身份验证的连接将重定向到“防火墙身份验证”页。
  3. 配置显式代理配置文件。
  4. 在接口上配置显式代理。此接口必须连接到客户端网络。客户端浏览器使用此 IP 地址将请求转发到 SRX 系列设备。您可以配置多个显式代理配置文件并将其附加到接口中的特定 IP 地址。但是,必须确保显式代理配置文件之间不能有重叠的端口。
  5. 使用安全策略控制显式 Web 代理流量。
  6. 将 SSL 代理服务附加到显式代理策略。
  7. 为显式代理配置默认策略。

显式 Web 代理的安全策略支持

您必须配置和实施安全策略来管理显式代理的流量。显式代理配置文件需要一组唯一的安全策略或统一策略。防火墙根据入口接口和端口组合确定用于策略查找的配置文件。防火墙识别出流的显式代理配置文件后,将执行策略查找。

SRX 系列防火墙使用以下顺序进行策略查找:

  • 源 IP 地址、源端口、协议和源标识
  • 基于 DNS 的目标 IP 解析
  • 网址类别检测
  • 动态第 7 层应用匹配
  • 基于 DNS 的目标解析 IP 信誉
  • 硬编码的目标 IP 地址或硬编码目标 IP 地址的信誉

配置显式代理配置文件策略

您可以使用以下语句配置显式代理配置文件规则库:

您可以注意到,此策略与全局策略类似,不需要安全区域。

要使用显式代理配置文件附加安全策略,策略配置中提到的配置文件名称必须与在 Web 代理服务 ()set services web-proxy explicit-proxy profile <profile-name> 下配置的显式代理配置文件的名称匹配。

例子:

为名为“配置文件站点-A”的显式代理配置文件创建策略。

确保显式配置文件策略也使用相同的名称:

限制

对于显式代理配置文件策略,匹配条件不支持:

  • 源或目标区域
  • 源和目标第 3 层 VPN VRF 组

赛后应用程序服务不支持:

  • 安全网络代理
  • GPRS 隧道协议
  • GPRS 流控制传输协议 (SCTP)
  • 策略的统一访问控制实施 (UAC)
  • WAN 加速(传统 WX)
  • 传统入侵检测和防御。
  • APBR

显式代理的默认策略

如果流量与任何显式代理配置文件匹配,但与显式代理配置文件下的任何策略不匹配,防火墙将应用默认策略操作。您可以在显式代理配置文件中配置默认策略。

如果未找到给定流量的匹配显式代理配置文件,防火墙将根据配置的区域和全局策略执行策略查找。

您只能为每个显式代理配置文件配置一个默认策略。

参见