Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

SSL-Proxy konfigurieren

Konfigurieren des SSL-Weiterleitungsproxys

Übersicht über die SSL-Proxy-Konfiguration

Die Konfiguration des SSL-Proxys umfasst:

  • Konfigurieren des Root-CA-Zertifikats finden Sie unter Registrieren eines Zertifikats

  • Laden einer CA-Profilgruppe finden Sie unter Registrieren eines Zertifikats

  • Konfigurieren des SSL-Proxyprofils und Zuordnen des Root-CA-Zertifikats und der CA-Profilgruppe

  • Erstellen einer Sicherheitsrichtlinie durch Definieren von Übereinstimmungskriterien für den Eingabedatenverkehr

  • Anwenden eines SSL-Proxyprofils auf eine Sicherheitsrichtlinie

  • Optionale Schritte wie das Erstellen von Zulassungslisten und SSL-Proxy-Protokollierung

Anwenden eines SSL-Proxyprofils auf eine Sicherheitsrichtlinie

SSL-Proxy wird als Anwendungsservice innerhalb einer Sicherheitsrichtlinie aktiviert. In einer Sicherheitsrichtlinie geben Sie den Datenverkehr an, für den der SSL-Proxy aktiviert werden soll, und geben dann das SSL-Proxy-CA-Profil an, das auf den Datenverkehr angewendet werden soll.

So aktivieren Sie den SSL-Proxy in einer Sicherheitsrichtlinie:

In diesem Beispiel wird davon ausgegangen, dass Sie bereits Sicherheitszonen "vertrauenswürdig" und "nicht vertrauenswürdig" erstellt und eine Sicherheitsrichtlinie für den Datenverkehr von der Zone "vertrauenswürdig" in die Zone "nicht vertrauenswürdig" erstellt haben.

  1. Erstellen Sie eine Sicherheitsrichtlinie, und geben Sie die Übereinstimmungskriterien für die Richtlinie an. Geben Sie als Übereinstimmungskriterien den Datenverkehr an, für den Sie den SSL-Proxy aktivieren möchten.

    Beispiel:

  2. Wenden Sie das SSL-Proxyprofil auf die Sicherheitsrichtlinie an.

Konfigurieren der SSL-Proxyprotokollierung

Bei der Konfiguration des SSL-Proxys können Sie die Option festlegen, einige oder alle Protokolle zu erhalten. SSL-Proxy-Protokolle enthalten den logischen Systemnamen, SSL-Proxy-Zulassungslisten, Richtlinieninformationen, SSL-Proxy-Informationen und andere Informationen, die Ihnen bei der Fehlerbehebung helfen, wenn ein Fehler auftritt.

Sie können die Protokollierung von all oder bestimmten Ereignissen konfigurieren, z. B. Fehler-, Warn- und Informationsereignisse. Sie können auch die Protokollierung von Sitzungen konfigurieren, die nach dem Auftreten eines Fehlers auf der Zulassungsliste stehen, verworfen, ignoriert oder zugelassen werden.

Sie können option verwenden enable-flow-tracing , um die Debug-Ablaufverfolgung zu aktivieren.

Ignorieren der Serverauthentifizierung

Mit Junos OS können Sie eine Option konfigurieren, um die Server-Authentifizierung vollständig zu ignorieren. Wenn Sie Ihr System so konfigurieren, dass die Authentifizierung ignoriert wird, werden alle Fehler ignoriert, die bei der Überprüfung des Serverzertifikats zum Zeitpunkt des SSL-Handshakes auftreten. Zu den häufig ignorierten Fehlern gehören die Unfähigkeit, die Signatur der CA zu überprüfen, falsche Ablaufdaten von Zertifikaten usw. Wenn diese Option nicht festgelegt ist, werden alle Sitzungen, in denen der Server selbstsignierte Zertifikate sendet, gelöscht, wenn Fehler auftreten.

Es wird nicht empfohlen, diese Option für die Authentifizierung zu verwenden, da ihre Konfiguration dazu führt, dass Websites überhaupt nicht authentifiziert werden. Sie können diese Option jedoch verwenden, um die Ursache für unterbrochene SSL-Sitzungen effektiv zu identifizieren.

Geben Sie im Konfigurationsmodus an, dass die Server-Authentifizierung ignoriert werden soll:

SSL-Reverse-Proxy

Überblick

Die Implementierung des Proxymodells (Reverse-Proxy) verbessert den Serverschutz. Es verbessert das Handshake und unterstützt mehr Protokollversionen. Sie können Layer-7-Services wie Anwendungssicherheit, IPS, Content Sicherheit und ATP Cloud auf SSL-Reverse-Proxy-entschlüsseltem Datenverkehr aktivieren.

Wir empfehlen die Verwendung des SSL-Reverse-Proxys und der Intrusion Detection and Prevention (IDP) anstelle der IDP-SSL-Inspektionsfunktion. In den letzten Versionen von Junos OS ist die IDP-SSL-Überprüfung veraltet und wurde nicht sofort entfernt, um Abwärtskompatibilität zu gewährleisten und Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen.

Reverse-Proxy-Funktionen:

  • Beendet Client-SSL auf der Firewall und initiiert eine neue SSL-Verbindung mit einem Server. Entschlüsselt SSL-Datenverkehr vom Client/Server und verschlüsselt erneut (nach Prüfung), bevor er an den Server/Client gesendet wird.

  • Unterstützt alle aktuellen Protokollversionen.

    • Unterstützt RSA

    • Unterstützt DHE oder ECDHE

  • Verwendet einen vorhandenen SSL-Weiterleitungsproxy mit TCP-Proxy darunter.

  • Genau wie Forward Proxy ist entschlüsselter SSL-Datenverkehr für alle Sicherheitsdienste verfügbar.

  • Alle gängigen Chiffren werden unterstützt.

Sie müssen entweder root-ca oder server-certificate in einem SSL-Proxyprofil konfigurieren. Andernfalls schlägt die Commit-Prüfung fehl. In der folgenden Tabelle finden Sie Details zu den unterstützten Konfigurationen.

Tabelle 1: Unterstützte SSL-Proxykonfigurationen

Server-Zertifikat konfiguriert

Root-CA konfiguriert

Profiltyp

Nein

Nein

Die Commit-Prüfung schlägt fehl. Sie müssen entweder server-certificate oder konfigurieren root-ca.

Nein

Nein

Die Commit-Prüfung schlägt fehl. Die Konfiguration von und server-certificate root-ca im selben Profil wird nicht unterstützt.

Nein

Nein

Proxy weiterleiten

Nein

Nein

Reverser Proxy

Die Konfiguration mehrerer Instanzen von Forward- und Reverseproxyprofilen wird unterstützt. Für eine bestimmte Firewallrichtlinie kann jedoch nur ein Profil (entweder ein Forward- oder ein Reverse-Proxy-Profil) konfiguriert werden. Die Konfiguration von Forward- und Reverse-Proxy auf demselben Gerät wird ebenfalls unterstützt.

Sie können die vorherige Reverseproxyimplementierung nicht mit der neuen Reverseproxyimplementierung für eine bestimmte Firewallrichtlinie konfigurieren. Wenn beide konfiguriert sind, erhalten Sie eine Fehlermeldung bei der Commitüberprüfung.

Im Folgenden sind die Mindestschritte zum Konfigurieren des Reverseproxys aufgeführt:

  1. Laden Sie die Serverzertifikate und ihre Schlüssel mit dem Befehl request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234CLI in das Repository für Firewall-Zertifikate. Zum Beispiel:
  2. Hängen Sie die Serverzertifikat-ID mit dem Befehl set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234CLI an das SSL-Proxy-Profil an. Zum Beispiel

    user@host# set services ssl proxy profile server-protection-profile server-certificate server2_cert_id

  3. Verwenden Sie die Schaltfläche show services ssl CLI-Befehl, um Ihre Konfiguration zu überprüfen. Zum Beispiel:

Für den SSL-Forward-Proxy und den Reverse-Proxy muss ein Profil auf Firewall-Regelebene konfiguriert werden. Darüber hinaus müssen Sie auch Serverzertifikate mit privaten Schlüsseln für den Reverseproxy konfigurieren. Während eines SSL-Handshakes führt der SSL-Proxy eine Suche nach einem übereinstimmenden privaten Serverschlüssel in seiner Datenbank für die Hashtabelle des privaten Schlüssels des Servers durch. Wenn die Suche erfolgreich ist, wird der Handshake fortgesetzt. Andernfalls beendet der SSL-Proxy den Handshake. Der Reverseproxy verbietet Serverzertifikate nicht. Es leitet das tatsächliche Serverzertifikat/die tatsächliche Serverkette unverändert an den Client weiter, ohne es zu ändern. Das Abfangen des Serverzertifikats erfolgt nur mit Proxy weiterleiten.

SSL-Reverseproxy konfigurieren

In diesem Beispiel wird gezeigt, wie Sie den Reverseproxy konfigurieren, um den Serverschutz zu aktivieren. Für den Serverschutz müssen zusätzlich Serverzertifikate mit privaten Schlüsseln konfiguriert werden.

Ein Reverse-Proxy schützt Server, indem er die Details der Server vor den Clients verbirgt und dort eine zusätzliche Sicherheitsebene hinzufügt.

Um einen SSL-Reverse-Proxy zu konfigurieren, müssen Sie:

  • Laden Sie die Serverzertifikate und ihre Schlüssel in das Zertifikat-Repository der Firewall.

  • Fügen Sie die Serverzertifikat-IDs an das SSL-Proxyprofil an.

  • SSL-Proxyprofil als Anwendungsdienste in einer Sicherheitsrichtlinie anwenden.

So konfigurieren Sie den SSL-Reverse-Proxy:

  1. Laden Sie das Signaturzertifikat und den entsprechenden Schlüssel für das SSL-Proxyprofil in den PKI-Speicher.
  2. Fügen Sie das Serverzertifikat an das SSL-Proxyprofil an.
  3. Erstellen Sie eine Sicherheitsrichtlinie, und geben Sie die Übereinstimmungskriterien für die Richtlinie an. Geben Sie als Übereinstimmungskriterien den Datenverkehr an, für den Sie den SSL-Proxy aktivieren möchten.
  4. Wenden Sie das SSL-Proxyprofil auf die Sicherheitsrichtlinie an. In diesem Beispiel wird davon ausgegangen, dass Sicherheitszonen gemäß den Anforderungen erstellt werden.

Überprüfen der SSL-Reverseproxykonfiguration auf dem Gerät

Zweck

Anzeigen der SSL-Reverseproxystatistik auf der Firewall.

Aktion

Sie können die SSL-Proxystatistik mit dem show services ssl proxy statistics Befehl anzeigen.

Konfigurieren Sie SSL Forward Proxy mit Content Sicherheit

In diesem Verfahren konfigurieren Sie ein SSL-Weiterleitungsproxyprofil mit Content Sicherheit. Wenn Sie Content Sicherheit konfigurieren, fungiert der SSL-Proxy als SSL-Server, indem er die SSL-Sitzung vom Client beendet und eine neue SSL-Sitzung mit dem Server einrichtet. Die Firewall entschlüsselt den gesamten SSL-Proxy-Datenverkehr und verschlüsselt ihn dann erneut. Content Sicherheit kann den entschlüsselten Inhalt des SSL-Proxys verwenden.

Lokales Zertifikat als Stammzertifizierungsstelle generieren.

  1. Generieren Sie im Betriebsmodus ein Schlüsselpaar für ein lokales digitales Zertifikat.
  2. Generieren Sie ein lokales Zertifikat mit dem oben generierten Schlüsselpaar.
  3. Wenden Sie im Konfigurationsmodus das geladene Zertifikat als root-ca im SSL-Proxyprofil an.
  4. SSL-Profil und Content Sicherheit-Richtlinie an Sicherheitsrichtlinie anhängen.

Konfigurieren des SSL-Reverseproxys mit Content Sicherheit

In diesem Verfahren konfigurieren Sie ein SSL-Reverseproxyprofil mit Content Sicherheit.

  1. Laden Sie die Serverzertifikate und ihre Schlüssel in das Firewall-Zertifikatrepository.
  2. Fügen Sie im Konfigurationsmodus die Serverzertifikat-ID an das SSL-Proxyprofil an.
  3. Hängen Sie das SSL-Profil und die Content Sicherheit-Richtlinie an die Sicherheitsrichtlinie für den Datenverkehr aus einer nicht vertrauenswürdigen Zone in die vertrauenswürdige Zone an.

Erstellen einer Zulassungsliste mit ausgenommenen Zielen für SSL-Proxy

Die SSL-Verschlüsselung und -Entschlüsselung kann Speicherressourcen auf den Firewalls verbrauchen. Um dies einzuschränken, können Sie die SSL-Proxyverarbeitung für einige Sitzungen selektiv umgehen, z. B. für Sitzungen, die Transaktionen mit vertrauten vertrauenswürdigen Servern oder Domänen durchführen. Sie können die Sitzungen mit Finanz- und Bankwebsites auch aufgrund gesetzlicher Anforderungen ausnehmen.

Um die Sitzungen vom SSL-Proxy auszunehmen, können Sie eine Zulassungsliste erstellen, indem Sie IP-Adressen oder Domänennamen der Server hinzufügen. Allowlists enthalten Adressen, die Sie von der SSL-Proxy-Verarbeitung ausnehmen möchten.

Führen Sie die folgenden Schritte aus, um eine Zulassungsliste zu erstellen:

  • Geben Sie IP-Adressen und Domänennamen in Ihrem globalen Adressbuch an.

  • Verweisen Sie im SSL-Proxyprofil auf das globale Adressbuch.

Sie können die folgenden Typen der IP-Adressen im globalen Adressbuch konfigurieren.

  • IPv4-Adressen (Klartext). Zum Beispiel:

  • IPv4-Adressbereich. Zum Beispiel:

  • IPv4-Platzhalter. Zum Beispiel:

  • DNS-Name. Zum Beispiel:

  • IPv6-Adresse. Zum Beispiel:

Zulassungslisten unterstützen die folgenden Arten von IP-Adressen nicht:

  • Übersetzte IP-Adressen. Sitzungen werden basierend auf der tatsächlichen IP-Adresse und nicht auf der übersetzten IP-Adresse auf die Zulassungsliste gesetzt. Aus diesem Grund sollte in der Zulassungslistenkonfiguration des SSL-Proxyprofils die tatsächliche IP-Adresse angegeben werden und nicht die übersetzte IP-Adresse.

  • Nicht zusammenhängende Netzmasken. Zum Beispiel:

    • Die IP-Adresse -203.0.113.0 und die Maske 255.255.255.0, dh 203.0.113.0/24, werden unterstützt.

    • IP-Adresse - 203.0.113.9 und Maske 255.0.255.0 wird nicht unterstützt.

Das folgende Beispiel zeigt, wie Sie Zulassungslisten im SSL-Proxyprofil verwenden.

In diesem Beispiel nehmen Sie alle Sitzungen von www.mycompany.comaus. Dazu geben Sie zunächst die Domain im Adressbuch an und konfigurieren dann die Adresse im SSL-Proxy-Profil.

  1. Konfigurieren Sie die Domäne im Adressbuch.
  2. Geben Sie die globale Adressbuchadresse im SSL-Proxyprofil an.

Erstellen einer Zulassungsliste mit ausgenommenen URL-Kategorien für SSL-Proxy

Sie können URL-Kategorien im Modul Content Sicherheit einrichten, um die SSL-Prüfung auf der Firewall zu überspringen. Zu diesem Zweck verknüpft SRX das SSL-Proxyprofil mit der Funktion Enhanced Web Filtering (EWF). Nachdem Sie diese Option aktiviert haben, können Sie URL-Kategorien zusammen mit Adressbüchern zu einer Zulassungsliste im SSL-Proxyprofil hinzufügen. Sie können aus vordefinierten Kategorien auswählen oder benutzerdefinierte Kategorien erstellen, die von Content Sicherheit unterstützt werden.

Das Sicherheitsgerät verwendet das Feld Server Name Indication (SNI), das vom Content Sicherheit-Modul extrahiert wurde, um die URL-Kategorie zu bestimmen. Der SSL-Proxy verwendet diese Informationen, um zu bestimmen, ob die Sitzung akzeptiert und bevollmächtigt oder ignoriert werden soll.

Die SSL-Proxy-Zulassungslistenfunktion umfasst URL-Kategorien, die von Content Sicherheit unterstützt werden, und die SSL-Proxy-Zulassungslistenfunktion erweitert die Unterstützung auf benutzerdefinierte URL-Kategorien, die von Content Sicherheit unterstützt werden.

Die folgenden Beispiele zeigen, wie die URL-Kategorien im SSL-Proxyprofil konfiguriert werden:

Erstellen einer Zulassungsliste mit ausgenommenen URL-Kategorien

Führen Sie die folgenden Schritte aus, um die vordefinierten URL-Kategorien in einem SSL-Proxyprofil zu konfigurieren.

  1. Die vordefinierten URL-Kategorien hängen von der Content Sicherheit ab. Um die URL-basierte Zulassungsliste im SSL-Proxy zu aktivieren, sind die folgenden grundlegenden URL-Konfigurationen erforderlich:
  2. Geben Sie die vordefinierte URL-Kategorie im SSL-Proxyprofil an. In diesem Beispiel verwenden Sie die URL-Kategorie Enhanced_Financial_Data_and_Services.
  3. Erstellen Sie die Sicherheitsrichtlinie, indem Sie die Übereinstimmungsbedingungen angeben, und fügen Sie die Content Sicherheit-Richtlinie an die Sicherheitsrichtlinie an, um URL-Kategorien in der SSL-Zulassungsliste zu verwenden.

Erstellen einer Zulassungsliste mit ausgenommenen benutzerdefinierten URL-Kategorien

Führen Sie die folgenden Schritte aus, um benutzerdefinierte URL-Kategorien in einem SSL-Proxyprofil zu konfigurieren.

  1. Erstellen Sie eine benutzerdefinierte URL-Kategorie.
  2. Konfigurieren Sie eine Content Sicherheit-Richtlinie für das Webfilter-HTTP-Protokoll und ordnen Sie das Profil, das Sie im vorherigen Schritt erstellt haben, der Content Sicherheit-Richtlinie zu.
  3. Geben Sie die benutzerdefinierte URL-Kategorie an, die Sie im vorherigen Schritt im SSL-Proxyprofil erstellt haben.
  4. Erstellen Sie eine Sicherheitsrichtlinie, indem Sie die Übereinstimmungsbedingungen angeben, und fügen Sie die Content Sicherheit-Richtlinie an die Sicherheitsrichtlinie an, um URL-Kategorien in der SSL-Zulassungsliste zu verwenden.

Unterstützung für Proxy-Authentifizierung

Sie können Proxyprofile verwenden, um ausgehenden HTTPS-Datenverkehr sicher über einen Proxyserver mit Unterstützung für die Authentifizierung zu leiten. Sie können die Proxy-Authentifizierung direkt in Proxyprofilen konfigurieren. Durch das Festlegen eines Benutzernamens und eines Passworts gewährleisten Sie einen sicheren Zugriff auf externe Feeds und Dienste. Dieser Authentifizierungsmechanismus unterstützt mehrere Dienste, um eine sichere, authentifizierte HTTPS-Kommunikation über einen Proxyserver zu ermöglichen.

Die folgenden Verbindungen, die HTTP-Proxy für die Serverkommunikation unterstützen, bieten jetzt Unterstützung für die Proxy-Authentifizierung:

  • SecIntel-Verbindung zur ATP-Cloud zum Herunterladen und Hochladen der Feeds.
  • IDP- und Anwendungsidentifikationsverbindung für den Download der Signaturdatenbank.
  • Inhaltssicherheit (früher bekannt als Unified Threat Management) für folgende Funktionalitäten:
    • Avira AV-Virendatenbank und -Engine-Update-Verbindungen.
    • Sophos AV-Scan-Abfragen an die Cloud.
    • Webfilterung URL-Kategorieabfragen an die Cloud.
    • Aktualisierungen der Kategorie Webfilterung.
    • URL-Feed-Downloads für Webfilterung.

  • ATP Clouds-Verbindung für:

    • Registrierungsprozesse
    • Verbindungen zur Dateiübermittlung
    • Updates für Antivirus-Signaturen von Juniper CDN.
    • Dynamische Adressgruppen-Feeds
  • Public Key Infrastructure-Daemon für:
    • SCEP-Registrierung über HTTP und HTTPS.
    • CRL-Downloads über HTTP und HTTPS.

Vorteile der Unterstützung für die Proxyauthentifizierung

Bieten Sie einen sicheren Zugriff auf externe Feeds und Services und verbessern Sie die allgemeine Sicherheitslage, indem verhindert wird, dass ungeprüfte Datenquellen mit geschützten Netzwerkumgebungen interagieren.

Konfigurationsbeispiele

Um sichere und authentifizierte Verbindungen herzustellen, müssen Sie die folgenden Einstellungen konfigurieren:

Konfigurieren von Authentifizierungsanmeldeinformationen im Proxyprofil

Richten Sie die Proxy-Authentifizierung ein, indem Sie einen Benutzernamen und ein Kennwort im Proxyprofil konfigurieren:

Proxyprofil in Sicherheit Services angeben

Beispiele:

Proxy-Profil für Anwendungsidentifikation und IDP

Erstellen Sie ein Proxy-Profil und verwenden Sie es zum Herunterladen des Anwendungssignaturpakets oder des IDP-Signaturpakets über einen Proxy-Server:

Siehe Installieren des Anwendungssignaturpakets und des Junos OS IDP-Signaturpakets über einen expliziten Proxy-Server.

Proxy-Profil für die Sicherheit von Inhalten

Konfigurieren Sie das Proxy-Profil für Avira- und Sophos-Antiviren-Engines für Updates und für Juniper Web Filtering für eine sichere Serverkommunikation

Siehe Beispiel: Konfiguration von Avira Antivirus, Konfiguration von Sophos Antivirus Live Protection Version 2.0 mit Web-Proxy und Konfiguration der Webfilterung der nächsten Generation .

Proxy-Profil für Juniper ATP Cloud

Um den ausgehenden HTTP(S)-Zugriff über einen Web-Proxy auf Firewalls der SRX-Serie zu aktivieren, konfigurieren Sie Juniper ATP Cloud für die Verwendung von Proxy-Profilen. Diese Profile werden in Anti-Malware- und SecIntel-Richtlinien angewendet.

Weitere Informationen finden Sie unter Expliziter Web-Proxy für Juniper ATP Cloud .

PKI

Konfigurieren Sie das Proxyprofil im CA-Profil. Das Gerät stellt während der Registrierung, Überprüfung oder Sperrung des Zertifikats eine Verbindung zum Proxy-Host anstelle des CA-Servers her

Siehe Zertifizierungsstelle

Hinweis:
  • Unterstützung ist nur für die Standard-Authentifizierung verfügbar. Sie müssen einen Benutzernamen und ein Kennwort angeben, die in der Proxy-Authorization Kopfzeile in einem Base64-codierten Format gesendet werden.
  • Stellen Sie sicher, dass Sie Benutzername und Passwort gleichzeitig konfigurieren.
  • Aktualisieren Sie regelmäßig Passwörter und überwachen Sie sie auf unbefugte Zugriffsversuche, um eine robuste Sicherheit zu gewährleisten.