Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 SSL 转发代理配置文件

开始之前

使用 SSL 转发代理配置文件页面可查看和管理 SSL 代理 配置文件详细信息。SSL 代理作为安全策略中的应用服务启用。指定要启用 SSL 代理的流量作为匹配标准,然后指定要应用于流量的 SSL 代理 配置文件

注意:

从 Junos Space Security Director 21.2 版开始,逻辑系统 (LSYS) 设备也支持 SSL 转发代理。

要创建 SSL 转发代理配置文件:

  1. 选择 配置> SSL 配置文件> SSL 代理配置文件

    此时将显示 SSL 代理配置文件页面。

  2. 从 Create 列表中选择 Forward Proxy
  3. 根据 表 1 中提供的准则完成配置。
  4. 单击 确定

将创建一个 SSL 转发代理配置文件,可将其分配给防火墙策略以获取高级安全选项。

注意:

如果未配置任何服务(AppFW、IDP 或 AppTrack),则即使 SSL 代理配置文件已附加到防火墙策略,也会绕过 SSL 代理服务。
表 1:SSL 转发代理配置文件设置

设置

指南

General Information

姓名

输入由字母数字字符、冒号、句点、破折号和下划线组成的唯一字符串。不允许空格;最大长度为 63 个字符。

描述

输入 SSL 转发代理配置文件的说明;最大长度为 1024 个字符。

首选密码

选择首选密码。密码根据其关键强度分为以下几类。

  • 自定义 — 配置自定义密码套件和优先顺序。

  • 中等 — 使用密钥强度为 128 位或更高的密码。

  • 强 — 使用密钥强度为 168 位或更高的密码。

  • 弱 - 使用密钥强度为 40 位或更高的密码。

自定义密码

选择 SSH 服务器可用于执行加密和解密功能的密码集。如果未配置此选项,则服务器接受任何可用的受支持套件。

可用的自定义密码包括:

  • rsa-with-RC4-128-md5—RSA、128 位 RC4、MD5 散列

  • rsa-with-RC4-128-sha—RSA,128 位 RC4,SHA 哈希

  • rsa-with-des-cbc-sha—RSA、DES/CBC、SHA 哈希

  • rsa-with-3DES-EDE-CBC-SHA—RSA、3DES EDE/CBC、SHA 散列

  • rsa-with-aes-128-cbc-sha—RSA、128 位 AES/CBC、SHA 散列

  • rsa-with-aes-256-cbc-sha—RSA、256 位 AES/CBC、SHA 散列

  • rsa-export-with-rc4-40-md5—RSA 导出,40 位 RC4,MD5 散列

  • rsa-export-with-des40-cbc-sha—RSA 导出,40 位 DES/CBC,SHA 散列

  • rsa-export1024-with-des-cbc-sha—RSA 1024 位导出、DES/CBC、SHA 散列

  • rsa-export1024-with-rc4-56-md5—RSA 1024 位导出、56 位 RC4、MD5 散列

  • rsa-export1024-with-rc4-56-sha—RSA 1024 位导出、56 位 RC4、SHA 哈希

  • rsa-with-aes-256-gcm-sha384—RSA,256 位 AES/GCM,SHA384 哈希

  • rsa-with-aes-256-cbc-sha256 — RSA、256 位 AES/CBC、SHA256 哈希

  • rsa-with-aes-128-gcm-sha256—RSA,128 位 AES/GCM,SHA256 哈希

  • rsa-with-aes-128-cbc-sha256—RSA、256 位 AES/CBC、SHA256 散列

  • ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE,RSA,256 位 AES/GCM,SHA384 哈希

  • ecdhe-rsa-with-aes-256-cbc-sha384 — ECDHE、RSA、256 位 AES/CBC、SHA384 散列

  • ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 位 AES/CBC、SHA 哈希

  • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA 散列

  • ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE,RSA,128 位 AES/GCM,SHA256 哈希

  • ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 位 AES/CBC、SHA256 哈希

  • ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 位 AES/CBC、SHA 散列

流跟踪

选择此选项以启用流跟踪以排除与策略相关的问题。

根证书

选择或添加 根证书。您可以选择一个或多个根证书。在公钥基础架构 (PKI) 层次结构中,根证书颁发机构位于信任路径的顶层。根证书颁发机构将服务器证书标识为受信任的证书。

单击 “添加” 以获取新的根证书。在 Add 页面上,选择要与根证书关联的设备和可信 CA。

注意:

要查看 Security Director 中的 SSL 证书,请选择 设备>安全性设备,选择相关设备,右键单击设备或从更多菜单中选择 刷新证书 。刷新证书作业完成后,您可以看到 SSL 证书。

确保设备配置与 Security Director 同步。如果设备配置在安全设备中不同步,请重新同步网络,然后继续刷新证书。

豁免地址

选择地址以创建绕过 SSL 转发代理处理的允许列表。

由于 SSL 加密和解密过程复杂且成本高昂,网络管理员可以选择性地绕过某些会话的 SSL 代理处理。此类会话主要包括与网络管理员非常熟悉的可信服务器或域的连接和事务。还有豁免金融和银行网站的法律要求。此类豁免是通过在允许列表中配置服务器的 IP 地址或域名来实现的。

豁免的 URL 类别

从 Junos Space Security Director 版 16.2 开始,您可以选择 URL 类别来创建绕过 SSL 转发代理处理的允许列表。

在 SSL 检查期间,这些 URL 类别是豁免的。只能选择预定义的 URL 类别进行豁免。

注意:

在 SSL 配置文件中选择豁免的 URL 类别时,请确保使用增强进行筛选。

Actions

服务器身份验证失败

选择此选项可完全忽略服务器身份验证。

在这种情况下,SSL 转发代理会忽略服务器证书验证过程中遇到的错误(例如 证书颁发机构签名验证失败、自签名证书和证书过期)。

我们不建议使用此选项进行身份验证,因为配置它会导致网站根本无法通过身份验证。但是,您可以使用此选项有效确定 SSL 会话丢失的根本原因。

会话恢复

如果不想恢复会话,请选择禁用会话恢复选项。

为了提高吞吐量并仍然保持适当的安全级别,SSL 会话恢复提供了会话缓存机制,以便可以为客户端和服务器缓存会话信息,例如预主密钥和商定的密码。

日志

选择此选项以生成日志。您可以选择记录所有事件、警告、一般信息、错误或不同的会话(列入允许列表、允许、删除或忽略)。

重新协商

创建会话并建立 SSL 隧道传输后,SSL 参数的更改需要重新协商。SSL 转发代理支持安全 (RFC 5746) 和非安全(TLS v1.0 和 SSL v3)重新协商。

如果 SSL 参数的更改需要重新协商,请选择以下选项之一:

  • 无(默认选中)

  • 允许

  • 允许安全

  • 丢弃

启用会话恢复后,会话重新协商在以下情况下很有用:

  • 在长时间的 SSL 会话之后,需要刷新密码密钥。

  • 为了实现更安全的连接,需要应用更强的密码。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
16.2
从 Junos Space Security Director 版 16.2 开始,您可以选择 URL 类别来创建绕过 SSL 转发代理处理的允许列表。