Konfigurieren des Reverse-Proxys auf der Firewall der SRX-Serie
Beginnend mit Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 fungiert die Firewall der SRX-Serie als Proxy, sodass sie die SSL-Aushandlung auf RSA herabstufen kann. Weitere Änderungen sind in Tabelle 1 dargestellt.
Merkmal |
Vor 15.1X49-D80 |
Nach 15.1X49-D80 und 17.3R1 |
|---|---|---|
Proxy-Modell |
Läuft nur im Tap-Modus Anstatt am SSL-Handshake teilzunehmen, hört es auf den SSL-Handshake, berechnet die Sitzungsschlüssel und entschlüsselt dann den SSL-Datenverkehr. |
Beendet Client-SSL auf der Firewall der SRX-Serie und initiiert eine neue SSL-Verbindung mit einem Server. Entschlüsselt SSL-Datenverkehr vom Client/Server und verschlüsselt ihn erneut (nach Prüfung), bevor er an den Server/Client gesendet wird. |
Protokollversion |
TLS Version 1.1 und 1.2 wird nicht unterstützt. |
Unterstützt alle gängigen Protokollversionen. |
Die wichtigsten Austauschmethoden |
Unterstützt RSA. |
Unterstützt RSA. |
Echo-System |
Eng gekoppelt mit der IDP-Engine und ihrem Detektor. |
Verwendet einen vorhandenen SSL-Weiterleitungsproxy mit TCP-Proxy darunter. |
Sicherheitsservices |
Entschlüsselter SSL-Datenverkehr kann nur vom IDP überprüft werden. |
Genau wie Forward Proxy ist entschlüsselter SSL-Datenverkehr für alle Sicherheitsdienste verfügbar. |
Unterstützte Chiffren |
Eine begrenzte Anzahl von Chiffren wird unterstützt. |
Alle gängigen Chiffren werden unterstützt. |
Im weiteren Verlauf dieses Themas wird der Begriff SSL-Proxy verwendet, um sowohl den Forward-Proxy als auch den Reverse-Proxy zu bezeichnen.
Wie beim Forward-Proxy muss auch beim Reverse-Proxy ein Profil auf der Ebene der Firewallregeln konfiguriert werden. Darüber hinaus müssen Sie auch Serverzertifikate mit privaten Schlüsseln für den Reverseproxy konfigurieren. Während eines SSL-Handshakes führt der SSL-Proxy eine Suche nach einem übereinstimmenden privaten Serverschlüssel in der Hashtabellendatenbank des privaten Schlüssels des Servers durch. Wenn die Suche erfolgreich ist, wird der Handshake fortgesetzt. Andernfalls beendet der SSL-Proxy den Handshake. Der Reverseproxy verbietet Serverzertifikate nicht. Es leitet das tatsächliche Serverzertifikat/die tatsächliche Serverkette unverändert an den Client weiter, ohne es zu ändern. Das Abfangen des Serverzertifikats erfolgt nur mit Forward-Proxy. Im Folgenden werden Beispiele für die Konfiguration von Forward- und Reverse-Proxyprofilen gezeigt.
# show services ssl
...
proxy {
profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-1 {
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-2 {
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
server-certificate ssl-server-protection;
actions {
log {
all;
}
}
}
}
...
Sie müssen entweder root-ca oder server-certificate in einem SSL-Proxyprofil konfigurieren. Andernfalls schlägt die Commit-Prüfung fehl. Siehe Tabelle 2.
Server-Zertifikat konfiguriert |
root-ca konfiguriert |
Profiltyp |
|---|---|---|
Nein |
Nein |
Die Commit-Prüfung schlägt fehl. Sie müssen entweder |
Ja |
Ja |
Die Commit-Prüfung schlägt fehl. Die Konfiguration von sowohl als auch |
Nein |
Ja |
Proxy weiterleiten |
Ja |
Nein |
Reverse-Proxy |
Die Konfiguration mehrerer Instanzen von Forward- und Reverse-Proxyprofilen wird unterstützt. Für eine bestimmte Firewall-Richtlinie kann jedoch nur ein Profil (entweder ein Forward- oder ein Reverse-Proxy-Profil) konfiguriert werden. Die Konfiguration von Forward- und Reverse-Proxy auf demselben Gerät wird ebenfalls unterstützt.
Sie können die vorherige Reverseproxyimplementierung nicht mit der neuen Reverseproxyimplementierung für eine bestimmte Firewallrichtlinie konfigurieren. Wenn beide konfiguriert sind, erhalten Sie eine Fehlermeldung bei der Commit-Prüfung.
Im Folgenden finden Sie die minimalen Schritte zum Konfigurieren des Reverseproxys: