SSL 反向代理概述
反向代理是一种常见的代理服务器类型,可从公共网络访问。反向代理由 Web 服务管理,它们由客户端从公共 Internet 访问。
您可以配置 SSL 反向代理,以保护启用 SSL 的 Web 服务器免受来自恶意客户端的客户端到服务器攻击。其功能是将 Web 服务器的 SSL 私有密钥加载到 SRX 系列设备上,以保护 Web 服务器免受不受您控制的客户端的威胁。例如,如果 Internet 上的外部用户正在尝试访问公司 Web 服务器,他们将启动与 Web 服务器的 HTTPS 连接。SSL 反向代理配置文件具有私钥详细信息,它会拦截流量并将解密的有效负载信息发送到安全策略中启用的其他 L7 服务,例如用于攻击检测的 IDP。
与正向代理类似,反向代理要求在防火墙规则级别配置配置文件。此外,您还必须使用私钥为反向代理配置服务器证书。在 SSL 握手期间,SSL 代理在其服务器私钥哈希表数据库中查找匹配的服务器私钥。如果查找成功,握手将继续。否则,SSL 代理将终止握手。反向代理不会拦截服务器证书。它将实际的服务器证书/链按原样转发给客户端,而不对其进行修改。仅通过转发代理才会截获服务器证书。
图 1 显示了 SSL 反向代理如何处理加密的有效负载。配置应用防火墙 (AppFW)、入侵防御系统 (IPS) 或应用跟踪 (AppTrack) 后,SSL 反向代理将充当 SSL 服务器,从客户端终止 SSL 会话,并在服务器上建立新的 SSL 会话。设备解密,然后重新加密所有 SSL 反向代理流量。SSL 反向代理使用以下服务:
-
客户端的 SSL-T-SSL 终结器
-
服务器端的 SSL-I-SSL 发起器
-
配置的 AppFW、IPS 或 AppTrack 服务使用解密的 SSL 会话
上的 SSL 反向代理
反向代理的好处
-
反向代理可以隐藏源服务器的存在和特征。
-
反向代理可以将来自传入请求的负载分发到多个服务器,每个服务器支持自己的应用程序区域。