SSL 反向代理概述
反向代理是一种常见的代理服务器类型,可以从公共网络访问。反向代理由 Web 服务管理,客户端从公共 Internet 访问它们。
您可以配置 SSL 反向代理,以保护启用了 SSL 的 Web 服务器免受恶意客户端的客户端到服务器攻击。此功能通过将 Web 服务器的 SSL 私钥加载到 SRX 系列设备上来保护您的 Web 服务器免受来自您无法控制的客户端的威胁。例如,如果互联网上的外部用户正在尝试访问公司 Web 服务器,他们将启动与 Web 服务器的 HTTPS 连接。SSL 反向代理配置文件具有私钥详细信息,它会拦截流量并将解密的有效负载信息发送到安全策略中启用的其他 L7 服务,例如用于攻击检测的 IDP。
与正向代理一样,反向代理需要在防火墙规则级别配置配置文件。此外,还必须为反向代理配置具有私钥的服务器证书。在 SSL 握手期间,SSL 代理会在其服务器私钥哈希表数据库中查找匹配的服务器私钥。如果查找成功,握手将继续。否则,SSL 代理将终止握手。反向代理不会截获服务器证书。它将实际的服务器证书/链按原样转发到客户端,而无需对其进行修改。只有使用转发代理才会拦截服务器证书。
图 1 显示了 SSL 反向代理如何在加密的有效负载上工作。配置应用程序防火墙 (AppFW)、入侵防御系统 (IPS) 或应用程序跟踪 (AppTrack) 后,SSL 反向代理将充当 SSL 服务器,终止来自客户端的 SSL 会话,并建立到服务器的新 SSL 会话。设备解密然后重新加密所有 SSL 反向代理流量。SSL 反向代理使用以下服务:
客户端上的 SSL-T-SSL 终结符
服务器端的 SSL-I-SSL 启动器
已配置的 AppFW、IPS 或 AppTrack 服务使用解密的 SSL 会话
上的 SSL 反向代理
反向代理的好处
反向代理可以隐藏源服务器的存在和特征。
反向代理可以将传入请求的负载分发到多个服务器,每个服务器都支持自己的应用程序区域。