Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 SSL 反向代理配置文件

使用“SSL 反向代理配置文件”页可以配置 SSL 反向代理,以保护启用了 SSL 的 Web 服务器免受恶意客户端的客户端到服务器攻击。此功能通过将 SSL 私钥加载到 SRX 系列设备上来保护您的客户端免受来自您无法控制的 Web 服务器的威胁。例如,如果互联网上的外部用户正在尝试访问公司 Web 服务器,他们将启动与 Web 服务器的 HTTPS 连接。具有 Web 服务器私钥的 IPS 策略拦截流量,检查其是否存在攻击,如果没有攻击,则将其转发到目标 Web 服务器上。

注意:

从 Junos Space Security Director 21.2 版开始,逻辑系统 (LSYS) 设备也支持 SSL 反向代理。

要创建 SSL 反向代理配置文件,请执行以下操作:

  1. 选择配置 > SSL 配置文件>SSL 代理配置文件

    此时将显示“SSL 代理配置文件”页面。

  2. 从“创建”列表中选择“ 反向代理 ”。
  3. 根据 表 1 中提供的指南完成配置。
  4. 单击“确定”。

将创建一个 SSL 反向代理配置文件,该配置文件可分配给高级安全选项的防火墙策略。

表 1:创建 SSL 反向代理配置文件页面上的字段

领域

描述

General Information

名字

输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。不允许有空格;最大长度为 63 个字符。

描述

输入 SSL 转发代理配置文件的说明;最大长度为 1024 个字符。

首选密码

选择首选密码。密码根据其密钥强度分为以下几类。

  • 自定义 - 配置自定义密码套件和首选项顺序。

  • 中 - 使用密钥强度为 128 位或更高的密码。

  • 强 — 使用密钥强度为 168 位或更高的密码。

  • 弱 — 使用密钥强度为 40 位或更高的密码。

自定义密码

选择 SSH 服务器可用于执行加密和解密功能的密码集。如果未配置此选项,服务器将接受任何可用的受支持套件。

可用的自定义密码包括:

  • rsa-with-RC4-128-md5—RSA,128 位 RC4,MD5 哈希

  • rsa-with-RC4-128-sha—RSA、128 位 RC4、SHA 散列

  • rsa-with-des-cbc-sha—RSA、DES/CBC、SHA 哈希

  • rsa-with-3DES-ede-cbc-sha—RSA, 3DES EDE/CBC, SHA 哈希

  • rsa-with-aes-128-cbc-sha—RSA,128 位 AES/CBC,SHA 哈希

  • rsa-with-aes-256-cbc-sha—RSA,256 位 AES/CBC,SHA 哈希

  • rsa-export-with-rc4-40-md5—RSA-export,40 位 RC4,MD5 散列

  • rsa-export-with-des40-cbc-sha—rsa-export, 40 bit DES/CBC, SHA 哈希

  • rsa-export1024-with-des-cbc-sha—RSA 1024 位导出、DES/CBC、SHA 哈希

  • rsa-export1024-with-rc4-56-md5 — RSA 1024 位导出、56 位 RC4、MD5 散列

  • rsa-export1024-with-rc4-56-sha—RSA 1024 位导出、56 位 RC4、SHA 散列

  • rsa-with-aes-256-gcm-sha384—RSA,256 位 AES/GCM,SHA384 哈希

  • rsa-with-aes-256-cbc-sha256—RSA,256 位 AES/CBC,SHA256 哈希

  • rsa-with-aes-128-gcm-sha256—RSA,128 位 AES/GCM,SHA256 哈希

  • rsa-with-aes-128-cbc-sha256—RSA,256 位 AES/CBC,SHA256 哈希

  • ecdhe-rsa-with-aes-256-gcm-sha384—ecdhe、RSA、256 位 AES/GCM、SHA384 哈希

  • ecdhe-rsa-with-aes-256-cbc-sha384—ecdhe, rsa, 256 bit AES/CBC, SHA384 哈希

  • ecdhe-rsa-with-aes-256-cbc-sha—ecdhe, rsa, 256 bit AES/CBC, SHA 哈希

  • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ecdhe, rsa, 3DES, EDE/CBC, SHA 哈希

  • ecdhe-rsa-with-aes-128-gcm-sha256—ecdhe, rsa, 128 bit AES/GCM, SHA256 哈希

  • ecdhe-rsa-with-aes-128-cbc-sha256—ecdhe, rsa, 128 bit AES/CBC, SHA256 哈希

  • ecdhe-rsa-with-aes-128-cbc-sha—ecdhe, rsa, 128 bit AES/CBC, SHA 哈希

流跟踪

选择此选项可启用流跟踪以解决与策略相关的问题。

服务器证书

指定服务器证书标识符。

从列表中选择所需的 SRX 系列设备并分配服务器证书标识符。

注意:

若要在 Security Director 中查看 SSL 证书,请选择“设备>安全设备”,选择相关设备,右键单击该设备或从“更多”菜单中选择刷新证书”。刷新证书作业完成后,您可以看到 SSL 证书。

确保设备配置与 Security Director 同步。如果安全设备中的设备配置不同步,请重新同步网络,然后继续刷新证书。

豁免地址

选择地址以创建绕过 SSL 转发代理处理的允许列表。

由于 SSL 加密和解密过程复杂且成本高昂,因此网络管理员可以有选择地绕过某些会话的 SSL 代理处理。此类会话主要包括与网络管理员非常熟悉的受信任服务器或域的连接和事务。还有豁免金融和银行网站的法律要求。此类豁免是通过在允许列表下配置服务器的 IP 地址或域名来实现的。

豁免的网址类别

从 Junos Space Security Director 16.2 版开始,您可以选择 URL 类别来创建绕过 SSL 转发代理处理的允许列表。

这些 URL 类别在 SSL 检查期间被豁免。只能为豁免选择预定义的 URL 类别。

Actions

会话恢复

如果不希望会话恢复,请选择“禁用会话恢复”选项。

为了提高吞吐量并仍然保持适当的安全级别,SSL 会话恢复提供了一种会话缓存机制,以便可以为客户端和服务器缓存会话信息,例如主密钥和商定的密码。

日志

选择此选项可生成日志。您可以选择记录所有事件、警告、常规信息、错误或不同的会话(列入允许列表、允许、丢弃或忽略)。

重新谈判

创建会话并建立 SSL 隧道传输后,需要重新协商 SSL 参数的更改。SSL 转发代理支持安全 (RFC 5746) 和非安全(TLS v1.0 和 SSL v3)重新协商。

如果 SSL 参数的更改需要重新协商,请选择以下选项之一:

  • 无(默认选中)

  • 允许

  • 允许安全

  • 下降

启用会话恢复后,会话重新协商在以下情况下非常有用:

  • 长时间的 SSL 会话后,需要刷新密码密钥。

  • 需要应用更强的密码来实现更安全的连接。

相关文档

版本历史记录表
释放
描述
16.2
从 Junos Space Security Director 16.2 版开始,您可以选择 URL 类别来创建绕过 SSL 转发代理处理的允许列表。