ICAP-Dienstumleitung
Sie können Datenverluste aus Ihrem Netzwerk durch den Einsatz von Internet Content Adaptation Protocol (ICAP)-Weiterleitungsdiensten verhindern. Geräte der SRX-Serie unterstützen ICAP-Umleitungsfunktionen, um HTTP- oder HTTPS-Datenverkehr an einen beliebigen Drittanbieterserver weiterzuleiten. Weitere Informationen finden Sie in diesem Thema.
Data Loss Prevention (DLP) mit ICAP Service Redirect
Sie können Datenverluste aus Ihrem Netzwerk durch den Einsatz von Internet Content Adaptation Protocol (ICAP)-Weiterleitungsdiensten verhindern. ICAP ist ein einfaches HTTP-basiertes Protokoll für Remote-Prozeduren. ICAP ermöglicht es seinen Clients, HTTP-basierte Inhalte (HTML) an die ICAP-Server weiterzuleiten, um Dienste wie Virenscan, Inhaltsübersetzung oder Inhaltsfilterung usw. für die zugehörigen Clientanfragen auszuführen.
- Junos OS ICAP-Unterstützung für Geräte der SRX-Serie
- ICAP-Profil
- Service Redirect für dynamische Layer 7-Anwendungen mit einheitlichen Richtlinien
- Vorteile von ICAP Redirect Service Support
Junos OS ICAP-Unterstützung für Geräte der SRX-Serie
Geräte der SRX-Serie unterstützen ICAP-Umleitungsfunktionen, um HTTP- oder HTTPS-Datenverkehr an einen beliebigen Drittanbieterserver weiterzuleiten. Das Gerät der SRX-Serie fungiert als SSL-Proxyserver und entschlüsselt den Pass-Through-Datenverkehr mit dem richtigen SSL-Profil im Rahmen einer Sicherheitsrichtlinie. Das Gerät der SRX-Serie entschlüsselt den HTTPS-Datenverkehr und leitet die HTTP-Nachricht über einen ICAP-Kanal an einen drittanbieterinternen Server weiter. Nach der DLP-Verarbeitung wird der Datenverkehr zurück zum Gerät der SRX-Serie umgeleitet und gemäß den Ergebnissen des ICAP-Servers gehandelt. Wenn gemäß den Richtlinien sensible Daten erkannt werden, protokolliert, leitet oder blockiert das Gerät der SRX-Serie den Datenverkehr gemäß der Konfiguration im Profil weiter.
Die folgenden Sequenzen sind an einem typischen ICAP-Umleitungsszenario beteiligt:
Der Benutzer öffnet eine Verbindung zu einer Website im Internet.
Die Anforderung geht über das Gerät der SRX-Serie, das als Proxyserver fungiert.
Das Gerät der SRX-Serie empfängt Informationen vom Endhost, verkapselt die Nachricht und leitet die eingekapselte ICAP-Nachricht an den lokalen ICAP-Server eines Drittanbieters weiter.
Der ICAP-Server empfängt die ICAP-Anforderung und analysiert sie.
Wenn die Anfrage keine vertraulichen Informationen enthält, sendet der ICAP-Server sie zurück an den Proxyserver und leitet den Proxyserver an, das HTTP an das Internet zu senden.
Wenn die Anfrage vertrauliche Informationen enthält, können Sie gemäß Ihren Anforderungen Maßnahmen ergreifen (Blockieren, Zulassen, Protokollieren).
Der HTTP-Durchsatz hängt von den Verbindungen zwischen dem Gerät der SRX-Serie und dem ICAP-Kanal ab.
Ab Junos OS Version 19.3R1 werden in einer ICAP-Nachricht X-Client-IPzusätzliche , X-Server-IP, X-Authenticated-Userund Header-Erweiterungen hinzugefügt, und X-Authenticated-Groups Header-Erweiterungen bereitgestellt, um Informationen zur Quelle der verkapselten HTTP-Nachricht bereitzustellen.
ICAP-Profil
Wenn Sie den ICAP-Weiterleitungsdienst auf Geräten der SRX-Serie konfigurieren, müssen Sie die ICAP-Serverinformationen konfigurieren. Dieses Profil wird als Anwendungsservices für den zulässigen Datenverkehr auf eine Sicherheitsrichtlinie angewendet. Das ICAP-Profil definiert die Einstellungen, mit denen der ICAP-Server Anforderungsmeldungen, Antwortmeldungen, Fallback-Optionen (im Falle eines Timeouts), Konnektivitätsprobleme, zu viele Anforderungen oder andere Bedingungen verarbeiten kann.
Service Redirect für dynamische Layer 7-Anwendungen mit einheitlichen Richtlinien
Geräte der SRX-Serie unterstützen ab Junos OS Version 18.2R1 die ICAP-Dienstumleitungsfunktion, wenn das Gerät mit einheitlichen Richtlinien konfiguriert ist.
Einheitliche Richtlinien sind die Sicherheitsrichtlinien, die es Ihnen ermöglichen, dynamische Anwendungen als Übereinstimmungsbedingungen als Teil des vorhandenen 5-Tupels oder 6-Tupels (5-Tupel mit Benutzer-Firewall) zu verwenden, um Anwendungsänderungen im Laufe der Zeit zu erkennen.
In einer einheitlichen Richtlinie mit dynamischen Anwendungen als Übereinstimmungsbedingung konfigurieren Sie ein ICAP-Weiterleitungsprofil und ein SSL-Proxyprofil und wenden diese Profile als Anwendungsservices in der Sicherheitsrichtlinie für den zulässigen Datenverkehr an. Wenn der Datenverkehr mit der Richtlinie übereinstimmt, wird das als Anwendungsservices konfigurierte ICAP-Weiterleitungs-Dienstprofil angewendet. Das ICAP-Serverprofil definiert das Verhalten von Umleitungs- und Serverspezifikationen. Der ICAP-Server führt den Richtlinienscan durch und der Datenverkehr wird an das Gerät der SRX-Serie weitergeleitet, und die angegebene Aktion wird gemäß dem ICAP-Umleitungsprofil ausgeführt.
Beachten Sie bei der Verwendung des ICAP-Weiterleitungsdiensts mit einheitlicher Richtlinie folgendes Verhalten:
Wenn die ICAP-Weiterleitung in einer einheitlichen Richtlinie konfiguriert ist und die Daten, die umgeleitet werden müssen, eingetroffen sind und die endgültige Richtlinie nicht bestimmt wird, wird die Anforderung vom ICAP-Weiterleitungsdienst ignoriert.
Da es sich bei der ICAP-Umleitung um einen Dienst in der Servicekette handelt, unterscheiden sich die vom ICAP-Weiterleitungsdienst empfangenen Daten möglicherweise von den ursprünglichen Daten. Die von der ICAP-Weiterleitung gesendeten Daten können sich auf Downstream-Services auswirken.
Vorteile von ICAP Redirect Service Support
Verhindert, dass sensible Daten das Netzwerk verlassen.
Unterstützt den gemeinsamen Lokalen Serverpool zur Umleitung und verbessert so die Verwaltung, Sicherheit und Kontrolle des Inhalts.
Der HTTP-Durchsatz hängt von den Verbindungen zwischen dem Gerät der SRX-Serie und SRX ICAP ab.
Beispiel: Konfigurieren des ICAP-Weiterleitungsdiensts auf SRX-Geräten
Dieses Beispiel zeigt, wie Sie ein ICAP-Weiterleitungsprofil für ein Gerät der SRX-Serie definieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Gerät der SRX-Serie mit Junos OS Version 18.1R1 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 18.1R1 getestet.
ICAP-Weiterleitungsprofil für ein Gerät der SRX-Serie mit einem einheitlichen Richtlinienbeispiel wird für Junos OS Version 18.2R1 getestet.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.
Übersicht
In diesem Beispiel konfigurieren Sie ein ICAP-Weiterleitungsprofil und ein SSL-Proxyprofil und wenden diese Profile als Anwendungsservices in der Sicherheitsrichtlinie für den zulässigen Datenverkehr an.
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Um die Dienstumleitung mithilfe von ICAP zu aktivieren, müssen Sie ein SSL-Profil konfigurieren, um die Verbindung zum ICAP-Server zu sichern. Als nächstes konfigurieren Sie eine Sicherheitsrichtlinie für die Verarbeitung des Datenverkehrs und geben die Aktion für den zulässigen Datenverkehr an.
Tabelle 1 listet die Details der in diesem Beispiel verwendeten Parameter auf.
Parameter |
Namen |
Beschreibung |
|---|---|---|
Profil |
ICAP-PF1 |
Das ICAP-Serverprofil ermöglicht es dem ICAP-Server, Anforderungsmeldungen, Antwortmeldungen, Fallback-Optionen usw. für den zulässigen Datenverkehr zu verarbeiten. Dieses Profil wird als Anwendungsdienst in der Sicherheitsrichtlinie angewendet. |
Servername |
ICAP-SVR1 ICAP-SVR2 |
Der Maschinenname des Remote-ICAP-Hosts. Die Anfrage des Clients wird an diesen ICAP-Server weitergeleitet. |
Server-IP-Adresse |
5.0.0.2 5.0.0.179 |
Die IP-Adresse des Remote-ICAP-Hosts. Die Anfrage des Clients wird an diesen ICAP-Server weitergeleitet. |
SSL-Proxy-Profil |
SSL-Prüfungsprofil |
Ein SSL-Proxy-Profil definiert das SSL-Verhalten für das Gerät der SRX-Serie. Das SSL-Proxyprofil wird als Anwendungsdienst auf die Sicherheitsrichtlinie angewendet. |
SSL-Profil |
dlp_ssl |
Das Gerät der SRX-Serie, das als SSL-Proxy-Client fungiert, initiiert und verwaltet SSL-Sitzungen mit einem SSL-Server. Mit dieser Konfiguration können Sie die Verbindung zum ICAP-Server sichern. |
Sicherheitspolitik |
SP1 |
Wenden Sie in einer Sicherheitsrichtlinie das SSL-Proxyprofil und das ICAP-Weiterleitungsprofil an. auf den zulässigen Datenverkehr zu übertragen. |
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set services ssl initiation profile dlp_ssl trusted-ca all set services ssl initiation profile dlp_ssl actions ignore-server-auth-failure set services ssl initiation profile dlp_ssl actions crl disable set services icap-redirect profile icap-pf1 server icap-svr1 host 5.0.0.2 set services icap-redirect profile icap-pf1 server icap-svr1 reqmod-uri echo set services icap-redirect profile icap-pf1 server icap-svr1 respmod-uri echo set services icap-redirect profile icap-pf1 server icap-svr1 sockets 64 set services icap-redirect profile icap-pf1 server icap-svr2 host 5.0.0.179 set services icap-redirect profile icap-pf1 server icap-svr2 reqmod-uri echo set services icap-redirect profile icap-pf1 server icap-svr2 respmod-uri echo set services icap-redirect profile icap-pf1 server icap-svr2 sockets 64 set services icap-redirect profile icap-pf1 server icap-svr2 tls-profile dlp_ssl set services icap-redirect profile icap-pf1 http redirect-request set services icap-redirect profile icap-pf1 http redirect-response set security policies from-zone trust to-zone untrust policy sec_policy match source-address any set security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set security policies from-zone trust to-zone untrust policy sec_policy match application any set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services ssl-proxy profile-name ssl-inspect-profile set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services icap-redirect icap-pf1 set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces xe-2/0/0.0 set security zones security-zone trust interfaces xe-2/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces xe-2/0/1.0 set interfaces xe-2/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces xe-2/0/0 unit 0 family inet6 address 2001:db8::1/64 set interfaces xe-2/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces xe-2/0/1 unit 0 family inet6 address 2001:db8::2/64 set interfaces xe-2/0/2 unit 0 family inet address 198.51.100.2/24 set interfaces xe-2/0/2 unit 0 family inet6 address 2001:db8::3/64
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den ICAP-Weiterleitungsdienst:
Konfigurieren Sie das SSL-Profil für eine gesicherte Verbindung mit dem ICAP-Server.
[edit services] user@host# set ssl initiation profile dlp_ssl trusted-ca all user@host# set ssl initiation profile dlp_ssl actions ignore-server-auth-failure user@host# set ssl initiation profile dlp_ssl actions crl disable
Konfigurieren Sie das ICAP-Weiterleitungsprofil für den ersten Server (icap-svr1).
[edit services] user@host# set icap-redirect profile icap-pf1 server icap-svr1 host 5.0.0.2 user@host# set icap-redirect profile icap-pf1 server icap-svr1 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 sockets 64
Konfigurieren Sie das ICAP-Weiterleitungsprofil für den zweiten Server (icap-svr2).
[edit services] user@host# set icap-redirect profile icap-pf1 server icap-svr2 host 5.0.0.179 user@host# set icap-redirect profile icap-pf1 server icap-svr2 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 sockets 64 user@host# set icap-redirect profile icap-pf1 server icap-svr2 tls-profile dlp_ssl
Konfigurieren Sie die Weiterleitungsanforderung und die Weiterleitungsantwort für den HTTP-Datenverkehr.
[edit services] user@host# set icap-redirect profile icap-pf1 http redirect-request user@host# set icap-redirect profile icap-pf1 http redirect-response
Konfigurieren Sie eine Sicherheitsrichtlinie, um Anwendungsservices für die ICAP-Umleitung auf den zulässigen Datenverkehr anzuwenden.
[edit security] user@host# set policies from-zone trust to-zone untrust policy sec_policy match source-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match destination-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match application any user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services ssl-proxy profile-name ssl-inspect-profile user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services icap-redirect icap-pf1 user@host# set policies default-policy permit-all
Konfigurieren Sie Schnittstellen und Zonen.
[edit] user@host# set interfaces xe-2/0/0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces xe-2/0/0 unit 0 family inet6 address 2001:db8::1/64 user@host# set interfaces xe-2/0/1 unit 0 family inet address 198.51.100.1/24 user@host# set interfaces xe-2/0/1 unit 0 family inet6 address 2001:db8::2/64 user@host# set interfaces xe-2/0/2 unit 0 family inet address 198.51.100.2/24 user@host# set interfaces xe-2/0/2 unit 0 family inet6 address 2001:db8::3/64 user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces xe-2/0/0.0 user@host# set zones security-zone trust interfaces xe-2/0/2.0 user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces xe-2/0/1.0
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show services sslBefehle , , show services icap-redirectshow security policies, show security zonesund eingebenshow interfaces. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show services ssl
initiation {
profile dlp_ssl {
trusted-ca all;
actions {
ignore-server-auth-failure;
crl {
disable;
}
}
}
}
user@host# show services icap-redirect
profile icap-pf1 {
server icap-svr1 {
host 5.0.0.2;
reqmod-uri echo;
respmod-uri echo;
sockets 64;
}
server icap-svr2 {
host 5.0.0.179;
reqmod-uri echo;
respmod-uri echo;
sockets 10;
tls-profile dlp_ssl;
}
http {
redirect-request;
redirect-response;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy sec_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-inspect-profile;
}
icap-redirect icap-pf1;
}
}
}
}
}
default-policy {
permit-all;
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
xe-2/0/0.0;
xe-2/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
xe-2/0/1.0;
}
}
user@host# show interfaces
xe-2/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family inet6 {
address 2001:db8::1/64;
}
}
}
xe-2/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
family inet6 {
address 2001:db8::2/64;
}
}
}
xe-2/0/2 {
unit 0 {
family inet {
address 198.51.100.2/24;
}
family inet6 {
address 2001:db8::3/64;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren der ICAP-Dienstumleitung für einheitliche Richtlinie
Schritt-für-Schritt-Verfahren
Sie können die folgende Vorgehensweise befolgen, wenn Sie eine einheitliche Richtlinie konfiguriert haben (wird von Junos OS Version 18.2R1 unterstützt).
Im folgenden Beispiel müssen Sie zu verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den ICAP-Weiterleitungsdienst:
Konfigurieren Sie das SSL-Profil für gesicherte Verbindung mit dem ICAP-Server.
[edit services] user@host# set ssl initiation profile dlp_ssl trusted-ca all user@host# set ssl initiation profile dlp_ssl actions ignore-server-auth-failure user@host# set ssl initiation profile dlp_ssl actions crl disable
Konfigurieren Sie das ICAP-Weiterleitungsprofil für den ersten Server (icap-svr1).
[edit services] user@host# set icap-redirect profile icap-pf1 server icap-svr1 host 5.0.0.2 user@host# set icap-redirect profile icap-pf1 server icap-svr1 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 sockets 64
Konfigurieren Sie das ICAP-Weiterleitungsprofil für den zweiten Server (icap-svr2).
[edit services] user@host# set icap-redirect profile icap-pf1 server icap-svr2 host 5.0.0.179 user@host# set icap-redirect profile icap-pf1 server icap-svr2 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 sockets 64 user@host# set icap-redirect profile icap-pf1 server icap-svr2 tls-profile dlp_ssl
Konfigurieren Sie die Weiterleitungsanforderung für HTTP-Datenverkehr.
[edit services] user@host# set icap-redirect profile icap-pf1 http redirect-request user@host# set icap-redirect profile icap-pf1 http redirect-response
Konfigurieren Sie eine Sicherheitsrichtlinie, um Anwendungsservices für die ICAP-Umleitung auf den zulässigen Datenverkehr anzuwenden.
[edit security] user@host# set policies from-zone trust to-zone untrust policy sec_policy match source-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match destination-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match application any user@host# set policies from-zone trust to-zone untrust policy sec_policy match dynamic-application junos:HTTP user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services ssl-proxy profile-name ssl-inspect-profile user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services icap-redirect icap-pf1 user@host# set policies default-policy permit-all
Überprüfung
Überprüfen der ICAP-Umleitungskonfiguration
Zweck
Vergewissern Sie sich, dass der ICAP-Weiterleitungsdienst auf dem Gerät konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus die show services icap-redirect status Befehle ein show services icap-redirect statistic .
user@host> show services icap-redirect status
ICAP Status :
Spu-1 Profile: icap-pf1 Server: icap-svr1 : UP
ICAP Status :
Spu-1 Profile: icap-pf1 Server: icap-svr2 : UP
ICAP Status :
Spu-2 Profile: icap-pf1 Server: icap-svr1 : UP
ICAP Status :
Spu-2 Profile: icap-pf1 Server: icap-svr2 : UP
ICAP Status :
Spu-3 Profile: icap-pf1 Server: icap-svr1 : UP
ICAP Status :
Spu-3 Profile: icap-pf1 Server: icap-svr2 : UP
user@host> show services icap-redirect statistic
ICAP Redirect statistic:
Message Redirected : 2
Message REQMOD Redirected : 1
Message RESPMOD Redirected : 1
Message Received : 2
Message REQMOD Received : 1
Message RESPMOD Received : 1
Fallback: permit log-permit reject
Timeout 0 0 0
Connectivity 0 0 0
Default 0 0 0
Bedeutung
Der Status Up gibt an, dass der ICAP-Weiterleitungsdienst aktiviert ist. Die Message Redirected Felder und die Message Received Felder zeigen die Anzahl der HTTP-Anfragen an, die den ICAP-Kanal durchlaufen haben.
X-Client-IPzusätzliche ,
X-Server-IP,
X-Authenticated-Userund Header-Erweiterungen hinzugefügt, und
X-Authenticated-Groups Header-Erweiterungen bereitgestellt, um Informationen zur Quelle der verkapselten HTTP-Nachricht bereitzustellen.