创建 SSL 转发代理配置文件
开始之前
阅读 SSL 转发代理概述主题。
查看 SSL 转发代理配置文件主页,了解您当前的数据集。有关字段说明,请参阅 SSL 转发代理配置文件主页字段 。
使用 SSL 转发代理配置文件页面可以查看和管理 SSL 代理 配置文件详细信息。SSL 代理作为安全策略中的应用程序服务启用。指定要启用 SSL 代理的流量作为匹配标准,然后指定要应用于流量的 SSL 代理 配置文件 。
从 Junos Space Security Director 21.2 版开始,逻辑系统 (LSYS) 设备也支持 SSL 转发代理。
要创建 SSL 转发代理配置文件,请执行以下操作:
将创建一个 SSL 转发代理配置文件,该配置文件可分配给高级安全选项的防火墙策略。
如果未配置任何服务(AppFW、IDP 或 AppTrack),则即使将 SSL 代理配置文件附加到防火墙策略,也会绕过 SSL 代理服务。
设置 |
指引 |
---|---|
General Information |
|
名字 |
输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。不允许有空格;最大长度为 63 个字符。 |
描述 |
输入 SSL 转发代理配置文件的说明;最大长度为 1024 个字符。 |
首选密码 |
选择首选密码。密码根据其密钥强度分为以下几类。
|
自定义密码 |
选择 SSH 服务器可用于执行加密和解密功能的密码集。如果未配置此选项,服务器将接受任何可用的受支持套件。 可用的自定义密码包括:
|
流跟踪 |
选择此选项可启用流跟踪以解决与策略相关的问题。 |
根证书 |
选择或添加 根证书。您可以选择一个或多个根证书。在公钥基础结构 (PKI) 层次结构中,根 CA 位于信任路径的顶部。根 CA 将服务器证书标识为受信任的证书。 单击 添加 以获取新的根证书。在“添加”页上,选择要与根证书关联的设备和受信任的 CA。
注意:
若要在 Security Director 中查看 SSL 证书,请选择 “设备>安全设备”,选择相关设备,右键单击该设备或从“更多”菜单中选择“ 刷新证书 ”。刷新证书作业完成后,您可以看到 SSL 证书。 确保设备配置与 Security Director 同步。如果安全设备中的设备配置不同步,请重新同步网络,然后继续刷新证书。 |
豁免地址 |
选择地址以创建绕过 SSL 转发代理处理的允许列表。 由于 SSL 加密和解密过程复杂且成本高昂,因此网络管理员可以有选择地绕过某些会话的 SSL 代理处理。此类会话主要包括与网络管理员非常熟悉的受信任服务器或域的连接和事务。还有豁免金融和银行网站的法律要求。此类豁免是通过在允许列表下配置服务器的 IP 地址或域名来实现的。 |
豁免的网址类别 |
从 Junos Space Security Director 16.2 版开始,您可以选择 URL 类别来创建绕过 SSL 转发代理处理的允许列表。 这些 URL 类别在 SSL 检查期间被豁免。只能为豁免选择预定义的 URL 类别。
注意:
确保在 SSL 配置文件中选择豁免的 URL 类别时,使用增强进行过滤。 |
Actions |
|
服务器身份验证失败 |
选择此选项可完全忽略服务器身份验证。 在这种情况下,SSL 转发代理会忽略服务器证书验证过程中遇到的错误(例如 CA 签名验证失败、自签名证书和证书过期)。 我们不建议使用此选项进行身份验证,因为配置它会导致网站根本不进行身份验证。但是,您可以使用此选项有效地确定 SSL 会话丢弃的根本原因。 |
会话恢复 |
如果不希望会话恢复,请选择“禁用会话恢复”选项。 为了提高吞吐量并仍然保持适当的安全级别,SSL 会话恢复提供了一种会话缓存机制,以便可以为客户端和服务器缓存会话信息,例如主密钥和商定的密码。 |
日志 |
选择此选项可生成日志。您可以选择记录所有事件、警告、常规信息、错误或不同的会话(列入允许列表、允许、丢弃或忽略)。 |
重新谈判 |
创建会话并建立 SSL 隧道传输后,需要重新协商 SSL 参数的更改。SSL 转发代理支持安全 (RFC 5746) 和非安全(TLS v1.0 和 SSL v3)重新协商。 如果 SSL 参数的更改需要重新协商,请选择以下选项之一:
启用会话恢复后,会话重新协商在以下情况下非常有用:
|
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。