Sicherer Web-Proxy
ZUSAMMENFASSUNG Sie können ein Gerät der SRX-Serie von Juniper Networks verwenden, um einen sicheren Web-Proxy so zu konfigurieren, dass der externe Proxyserver für den Datenverkehr basierend auf Anwendungstypen selektiv umgangen wird. In diesem Thema erfahren Sie, wie sichere Web-Proxys funktionieren und wie Sie ihn auf Ihrem Gerät der SRX-Serie konfigurieren können.
Secure Web Proxy – Übersicht
Sie können sicheren Web-Proxy verwenden, um Datenverkehr an einen externen Proxyserver zu senden und den Proxyserver für den ausgewählten Anwendungsdatenverkehr zu umgehen. Der umgangene Anwendungsdatenverkehr wird direkt an den Ziel-Webserver gesendet.
Um einen sicheren Web-Proxy auf einem Gerät der SRX-Serie zu verwenden, müssen Sie ein sicheres Web-Proxy-Profil mit Details zu externen Proxyservern und einer dynamischen Anwendung konfigurieren, die Sie den externen Proxyserver umgehen möchten. Wenn das Sicherheitsgerät eine Anfrage von einem Client empfängt, überprüft das Gerät den HTTP-Header für die Anwendung. Das Gerät wendet ein Web-Proxy-Profil für den Datenverkehr an, der den Sicherheitsrichtlinienregeln entspricht. Zulässiger Anwendungsdatenverkehr, der der im Web-Proxy-Profil angegebenen dynamischen Anwendung entspricht, wird an den Webserver geleitet. Andernfalls wird der zulässige Datenverkehr erneut an den konfigurierten externen Proxyserver geleitet.
Infolgedessen führt Ihr Sicherheitsgerät einen transparenten Proxy zwischen dem Client und dem Webserver für die angegebenen Anwendungen aus und bietet eine bessere Quality of Service für den Anwendungsdatenverkehr.
Ab Junos OS Version 19.2R1 können Sie einen sicheren Web-Proxy auf den folgenden Geräten der SRX-Serie konfigurieren: SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, SRX4100, SRX4200 und vSRX.
Profitieren
-
Secure Web Proxy bietet eine bessere Quality of Service für den ausgewählten Anwendungsdatenverkehr durch direkte Verbindungen zum Webserver
Einschränkungen
-
Ein Gerät der SRX-Serie, das im Gehäuse-Cluster-Modus arbeitet, unterstützt die sicheren Web-Proxy-Funktionen nicht.
-
Erweitertes richtlinienbasiertes Routing (APBR) funktioniert gut, wenn es zusammen mit sicherem Web-Proxy angewendet wird. Andere Layer-7-Services funktionieren jedoch möglicherweise nicht wie erwartet zusammen mit Secure Web Proxy.
-
Wenn Sie einheitliche Richtlinien (Sicherheitsrichtlinien mit dynamischen Anwendungen) auf Ihrem Gerät der SRX-Serie konfiguriert haben, funktioniert die Secure Web Proxy-Funktion möglicherweise nicht ordnungsgemäß.
- Die Sichere Web-Proxy-Funktion wird nicht unterstützt, wenn das Gerät im Transparent-Bridge-Modus betrieben wird.
- Secure Web Proxy-Funktion funktioniert nicht, wenn das Clientgerät und sein Proxyserver im selben Netzwerksegment bereitgestellt werden.
Funktionsweise eines sicheren Web-Proxys auf Geräten der SRX-Serie
Abbildung 1 und Abbildung 3 zeigen, wie ein Gerät der SRX-Serie den sicheren Web-Proxy-Service bereitstellt.
der SRX-Serie
Um einen sicheren Web-Proxy auf Ihrem Gerät der SRX-Serie zu verwenden, müssen Sie:
-
Erstellen Sie ein sicheres Web-Proxy-Profil, das Details zum externen Proxyserver und zur dynamischen Anwendung oder Anwendungsgruppe enthält, die den externen Proxyserver umgehen kann.
-
Erstellen Sie eine Sicherheitsrichtlinie zur Verwaltung des Datenverkehrs, der das Gerät passiert.
-
Fügen Sie das sichere Web-Proxy-Profil der Sicherheitsrichtlinie an, und wenden Sie das Profil als Anwendungsservice für den zulässigen Datenverkehr an.
Wenn ein Client eine Anfrage initiiert, untersucht das Gerät der SRX-Serie den Anwendungsdatenverkehr und identifiziert anhand des sicheren Web-Proxyprofils und der Sicherheitsrichtlinien, welcher Datenverkehr den externen Proxyserver umgehen kann.
Wenn Sie beispielsweise Microsoft Office 365 verwenden, können Sie im sicheren Web proxy-Profil eine Office 365-Anwendungsgruppe wie junos:OUTLOOK oder junos:OFFICE365-CREATE-CONVERSATION angeben. Das Gerät der SRX-Serie leitet den Office 365-Anwendungsdatenverkehr direkt an den Office 365-Server weiter, unter Umgehung des externen Proxyservers. Verbindungen, die nicht mit den Anwendungen übereinstimmen, werden an den externen Proxyserver geroutet.
Das Gerät der SRX-Serie führt einen sicheren Web-Proxy durch die folgenden Schritte aus:
-
Der Browser des Clients sendet eine HTTP-Verbindungsanfrage an den externen Proxyserver.
-
Das Gerät der SRX-Serie fängt die TCP-Verbindungen ab. Das Gerät identifiziert die Anwendung im HTTP-Header und führt eine DNS-Auflösung aus.
-
Wenn die Datenverkehrsparameter mit den Sicherheitsrichtlinienregeln und den Spezifikationen für sichere Web-Proxy-Profile übereinstimmen, arbeitet das Gerät der SRX-Serie im transparenten Modus. Das Gerät nutzt die IP-Adresse des Clients im transparenten Modus, um eine neue Verbindung mit dem Webserver zu initiieren und den externen Proxyserver zu umgehen.
-
Das Gerät der SRX-Serie sendet die Verbindungsantwort vom Webserver an den Client.
-
Für den verbleibenden Datenverkehr arbeitet das Gerät der SRX-Serie im Pass-Through-Modus und ermöglicht es der HTTP-Verbindungsanfrage, an den externen Proxy-Server zu gehen.
Beispiel: Konfigurieren eines sicheren Web-Proxys auf einem Gerät der SRX-Serie
Dieses Beispiel zeigt, wie Sie einen sicheren Web-Proxy auf Geräten der SRX-Serie konfigurieren.
Hardware- und Softwareanforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Ein Gerät der SRX-Serie von Juniper Networks (SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, SRX4100, SRX4200 oder vSRX).
-
Junos OS Version 19.2R1 oder höher. Wir haben dieses Beispiel mit Junos OS Version 19.2R1 getestet.
-
IP-Adresse und Portnummer des externen Proxyservers.
Topologie
#overview198__TopologyForSecureWebProxyConfigurat-4A804809 zeigt die in diesem Beispiel verwendete Topologie.
In diesem Beispiel befinden sich die Schnittstellen ge-0/0/1 und ge-0/0/2 in der Vertrauenszone und sind mit dem Client bzw. externen Proxyserver verbunden. Die Schnittstelle ge-0/0/0 befindet sich in der nicht vertrauenswürdigen Zone und ist über das Internet-Gateway mit dem Webserver verbunden. Sie konfigurieren ein sicheres Web-Proxyprofil und geben Office 365-Anwendungen und externe Proxydetails an.
Nach Abschluss der Konfiguration leitet das Gerät der SRX-Serie den Office 365-Datenverkehr direkt an den Webserver weiter, unter Umgehung des externen Proxyservers für Office 365-Datenverkehr.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen sie auf Hierarchieebene [bearbeiten] in die CLI ein, und geben Sie dann commit aus dem Konfigurationsmodus ein.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.2 set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all set services application-identification application-group office-365-group applications junos:OUTLOOK set services application-identification application-group office-365-group applications junos:OFFICE365-CREATE-CONVERSATION set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy ip 5.0.0.1/32 set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy port 8080 set services web-proxy secure-proxy profile office365-profile dynamic-web-application junos:office-365 set services web-proxy secure-proxy profile office365-profile dynamic-web-application-group office-365-group set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services web-proxy profile-name office365-profile
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
In diesem Verfahren konfigurieren Sie Schnittstellen und Sicherheitszonen.
-
Konfigurieren Sie die Schnittstellen.
[edit]user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.0 user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1 user@host# set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.2 -
Weisen Sie den Sicherheitszonen die Schnittstellen zu und konfigurieren Sie den eingehenden Datenverkehr für alle Systemservices.
[edit]user@host#set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services alluser@host#set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services alluser@host#set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all -
Konfigurieren Sie eine benutzerdefinierte Anwendungsgruppe für Office 365.
[edit]user@host# set services application-identification application-group office-365-group applications junos:OUTLOOK user@host# set services application-identification application-group office-365-group applications junos:OFFICE365-CREATE-CONVERSATION -
Erstellen Sie ein Sicherheits-Proxyprofil, indem Sie die Office 365-Anwendungsdetails sowie die IP-Adresse und Portdetails des externen Proxyservers angeben.
[edit]user@host#set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy ip 5.0.0.1/32user@host#set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy port 8080user@host#set services web-proxy secure-proxy profile office365-profile dynamic-web-application junos:office-365user@host#set services web-proxy secure-proxy profile office365-profile dynamic-web-application-group office-365-group -
Definieren Sie die Sicherheitsrichtlinie für den Datenverkehr, der vom Client zum Internet-Gateway-Gerät stammt.
[edit]user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application any -
Definieren Sie die Richtlinienaktion, um das sichere Web-Proxy-Profil auf den zulässigen Datenverkehr anzuwenden.
[edit]user@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services web-proxy profile-name office365-profile
Das Gerät der SRX-Serie leitet den Office 365-Anwendungsdatenverkehr direkt an den Office 365-Server weiter, unter Umgehung des externen Proxyservers. Andere Sitzungen, die nicht mit der Office 365-Anwendung übereinstimmen, werden an den externen Proxyserver geroutet.
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show services web-proxy secure-proxyBefehle und show security zones show security policiesdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit ]user@host# show services web-proxy secure-proxyprofile office365-profile { proxy-address external_proxy { ip 5.0.0.1/32; port 8080; } dynamic-web-application junos:office-365 dynamic-web-application-group office-365-group }
[edit]user@host# show security policiesfrom-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { web-proxy { profile-name office365-profile; } } } } } }
[edit]user@host# show security zonessecurity-zone untrust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { all; } } } } } security-zone trust { interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { all; } } } ge-0/0/2.0 { host-inbound-traffic { system-services { all; } } } } }
Überprüfung
Sitzungsdetails überprüfen
Zweck
Überprüfen Sie die Details der Sitzung, in der der sichere Web-Proxy angewendet wird.
Aktion
Geben Sie im Betriebsmodus den show security flow session Befehl ein.
Session ID: 477, Policy name: 1/5, Timeout: 1796, Valid In: 6.0.0.1/63638 --> 5.0.0.1/8080;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 22, Bytes: 2451, Out: 5.0.0.1/8080 --> 6.0.0.1/63638;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 478, Policy name: 1/5, Timeout: 1796, Valid In: 6.0.0.1/63638 --> 13.107.7.190/443;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 44, Out: 13.107.7.190/443 --> 6.0.0.1/63638;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 31, Bytes: 28898,
Bedeutung
In der Beispielausgabe ist die ID-477 die Client-Sitzung und die ID-478 die Proxy-Sitzung. In der zweiten Sitzung, beachten Sie, dass der Datenverkehr vom Client 6.0.0.1 direkt an den Webserver 13.107.7.190 geht.
Anzeigen von Statistiken zur Sicheren Web-Proxy-Sitzung
Zweck
Zeigt die Details der Sitzung an, in der der sichere Web-Proxy angewendet wird.
Aktion
Geben Sie im Betriebsmodus die show services web-proxy session detail Befehle ein show services web-proxy session summary .
user@host> show services web-proxy session detail
Web Proxy sessions:
Client Session ID: 38569, Proxy Session ID: 38570
Client: 6.0.0.1/53454 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53454 ---> 13.107.7.190/443
Proxy Request: CONNECT:www.office.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38562, Proxy Session ID: 38564
Client: 6.0.0.1/53451 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53451 ---> 40.126.5.35/443
Proxy Request: CONNECT:login.microsoftonline.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38567, Proxy Session ID: 38568
Client: 6.0.0.1/53453 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53453 ---> 13.107.246.10/443
Proxy Request: CONNECT:aadcdn.msauth.net:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38571, Proxy Session ID: 0
Client: 6.0.0.1/53455 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53455 ---> 52.96.40.242/443
Proxy Request: CONNECT:outlook.office365.com:443
Dynamic Web App: junos:OWA
Client Session ID: 38561, Proxy Session ID: 38565
Client: 6.0.0.1/53450 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53450 ---> 40.126.5.35/443
Proxy Request: CONNECT:login.microsoftonline.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
user@host> show services web-proxy session summary
Web Proxy sessions:
Client Session Proxy Session
[477] 6.0.0.1/63638 ---> 5.0.0.1/8080 [478] 6.0.0.1/63638 ---> 13.107.7.190/443
Bedeutung
In diesen Beispielen beachten Sie die Details der Client- und Proxysitzung. Sie können auch Proxyanfragen und dynamische Webanwendungen sehen.