Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加 SSL 代理配置文件

您在这里: 安全服务 > SSL 配置文件 > SSL 代理

要添加 SSL 代理配置文件:

  1. 单击 SSL 代理配置文件页面右上角的 +

    此时将显示“创建 SSL 代理配置文件”页面。

  2. 根据 表 1 中提供的指南完成配置。
  3. 单击 “确定 ”保存更改。如果要放弃更改,请单击 “取消”。
表 1:创建 SSL 代理配置文件页面上的字段

行动

基本信息

名字

输入 SSL 代理配置文件的名称。

字符串必须包含字母数字字符、冒号、句点、短划线和下划线。不允许有空格;最大长度为 63 个字符。

首选密码

根据密钥强度指定密码。从列表中选择首选密码:

  • 中 - 使用密钥强度为 128 位或更高的密码。

  • 强 — 使用密钥强度为 168 位或更高的密码。

  • 弱 — 使用密钥强度为 40 位或更高的密码。

  • 自定义 - 配置自定义密码套件和首选项顺序。

自定义密码

指定 SSH 服务器可用于执行加密和解密功能的密码集。如果未配置此选项,服务器将接受任何可用的受支持套件。

从列表中选择密码集:

  1. rsa-with-RC4-128-md5—RSA、128 位 RC4、MD5 哈希

  2. rsa-with-RC4-128-sha—RSA、128 位 RC4、SHA 散列

  3. rsa-with-des-cbc-sha—RSA、DES/CBC、SHA 哈希

  4. rsa-with-3DES-ede-cbc-sha—RSA, 3DES EDE/CBC, SHA 哈希

  5. rsa-with-aes-128-cbc-sha—RSA,128 位 AES/CBC,SHA 哈希

  6. rsa-with-aes-256-cbc-sha—RSA,256 位 AES/CBC,SHA 哈希

  7. rsa-export-with-rc4-40-md5 - RSA-export,40 位 RC4,MD5 哈希

  8. rsa-export-with-des40-cbc-sha—RSA-export、40 位 DES/CBC、SHA 哈希

  9. rsa-with-aes-256-gcm-sha384—RSA,256 位 AES/GCM,SHA384 散列

  10. rsa-with-aes-256-cbc-sha256—RSA,256 位 AES/CBC,SHA256 哈希

  11. rsa-with-aes-128-gcm-sha256—RSA,128 位 AES/GCM,SHA256 哈希

  12. rsa-with-aes-128-cbc-sha256—RSA,256 位 AES/CBC,SHA256 哈希

  13. ecdhe-rsa-with-aes-256-gcm-sha384—ecdhe, rsa, 256-bit AES/GCM, SHA384 hash

  14. ecdhe-rsa-with-aes-256-cbc-sha—ecdhe, rsa, 256-bit AES/CBC, SHA 哈希

  15. ecdhe-rsa-with-aes-256-cbc-sha384—ecdhe, rsa, 256-bit AES/CBC, SHA384 哈希

  16. ecdhe-rsa-with-aes-3des-ede-cbc-sha—ecdhe, rsa, 3DES, EDE/CBC, SHA 哈希

  17. ecdhe-rsa-with-aes-128-gcm-sha256—ecdhe, rsa, 128-bit AES/GCM, SHA256 hash

  18. ecdhe-rsa-with-aes-128-cbc-sha—ecdhe, rsa, 128-bit AES/CBC, SHA 哈希

  19. ecdhe-rsa-with-aes-128-cbc-sha256—ecdhe, rsa, 128-bit AES/CBC, SHA256 哈希

流跟踪

选中该复选框以启用流跟踪以解决与策略相关的问题。否则将其留空。

证书类型

指定要与此配置文件关联的证书是根 CA 证书还是服务器证书。服务器证书用于 SSL 反向代理。如果选择服务器证书,则受信任的 CA、CRL 和服务器身份验证失败选项将不可用。对于转发代理配置文件,请选择根 CA

在公钥基础结构 (PKI) 层次结构中,根 CA 位于信任路径的顶部。根 CA 将服务器证书标识为受信任的证书。

证书

从列表中选择要与此 SSL 代理配置文件关联的证书。

指定您在 J-Web 的“管理>证书管理”页面中创建的证书。在公钥基础结构 (PKI) 层次结构中,CA 位于信任路径的顶部。CA 将服务器证书标识为受信任的证书。

受信任的证书颁发机构

从以下选项中选择设备上可用的受信任 CA:全部、无、选择特定。

如果选择“特定”,则需要从“可用”列中选择“证书颁发机构”,然后将其移动到“已选择”列。

豁免地址

指定用于创建绕过 SSL 转发代理处理的白名单的地址。

从“可用”列中选择地址,然后将其移动到“已选择”列。

由于 SSL 加密和解密过程复杂且成本高昂,因此网络管理员可以有选择地绕过某些会话的 SSL 代理处理。此类会话主要包括与网络管理员非常熟悉的受信任服务器或域的连接和事务。还有豁免金融和银行网站的法律要求。此类豁免是通过在白名单下配置服务器的IP地址或域名来实现的。

豁免的网址类别

指定用于创建绕过 SSL 转发代理处理的白名单的 URL 类别。

从“可用”列中选择 URL 类别,然后将其移动到“已选择”列。

这些 URL 类别在 SSL 检查期间被豁免。只能为豁免选择预定义的 URL 类别。

行动

服务器身份验证失败

选中该复选框可完全忽略服务器身份验证。

在这种情况下,SSL 转发代理会忽略服务器证书验证过程中遇到的错误(例如 CA 签名验证失败、自签名证书和证书过期)。

我们不建议使用此选项进行身份验证,因为配置它会导致网站根本不进行身份验证。但是,您可以使用此选项有效地确定 SSL 会话丢弃的根本原因。

会话恢复

如果不希望恢复会话,请选中该复选框。

为了提高吞吐量并仍然保持适当的安全级别,SSL 会话恢复提供了一种会话缓存机制,以便可以为客户端和服务器缓存会话信息,例如预主密钥和商定的密码。

伐木

从列表中选择一个选项以生成日志。

您可以选择记录所有事件、警告、信息、错误或不同的会话(列入白名单、允许、丢弃或忽略)。

重新谈判

创建会话并建立 SSL 隧道传输后,需要重新协商 SSL 参数的更改。SSL 转发代理支持安全 (RFC 5746) 和非安全(TLS v1.0 和 SSL v3)重新协商。

可以指定是“允许不安全重新协商”、“允许安全重新协商”还是“删除重新协商”。

启用会话恢复后,会话重新协商在以下情况下非常有用:

  • 长时间的 SSL 会话后,需要刷新密码密钥。

  • 需要应用更强的密码来实现更安全的连接。

选择 SSL 参数中的更改是否需要重新协商。选项包括:“无”(默认选中)、“允许”、“允许安全”和“丢弃”。

证书吊销

如果要吊销证书,请选中该复选框。

如果 CRL 信息不存在

指定在 CRL 信息不存在时是要允许还是删除。

如果 CRL 信息不存在,请从列表中选择以下操作:“允许会话”、“删除会话”或“无”。

持有指示代码

如果要保留指令代码,请选择忽略。

镜像解密流量

接口

从列表中选择一个 SSL 解密端口镜像接口。这是 SRX 系列防火墙上的以太网接口,SSL 解密流量的副本通过该接口转发到镜像端口。

仅在实施安全策略之后

选中该复选框可在通过安全策略强制执行第 7 层安全服务后,将解密流量的副本转发到外部镜像流量收集器。

MAC地址

输入外部镜像流量收集器端口的 MAC 地址。