Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL-Proxy

Der SSL-Proxy fungiert als Vermittler und führt die SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durch. Die Aktivierung der SSL-Proxyweiterleitung kann die Visibilität bei der Anwendungsnutzung verbessern.

SSL-Proxy – Übersicht

Eine vollständige Liste der unterstützten Funktionen und Plattformen finden Sie unter SSL-Proxy im Funktions-Explorer.

Secure Sockets Layer (SSL) ist ein Protokoll auf Anwendungsebene, das Verschlüsselungstechnologie für das Internet bereitstellt. SSL, auch Transportschicht Security (TLS) genannt, gewährleistet die sichere Übertragung von Daten zwischen einem Client und einem Server durch eine Kombination aus Datenschutz, Authentifizierung, Vertraulichkeit und Datenintegrität. SSL stützt sich für diese Sicherheitsstufe auf Zertifikate und private und öffentliche Schlüsselaustauschpaare.

SSL-Proxy ist ein transparenter Proxy, der die SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durchführt.

Wie funktioniert SSL-Proxy?

SSL-Proxy ermöglicht die sichere Übertragung von Daten zwischen einem Client und einem Server durch eine Kombination der folgenden Komponenten:

  • Die Authentifizierungsserver-Authentifizierung schützt vor betrügerischen Übertragungen, indem sie es einem Webbrowser ermöglicht, die Identität eines Webservers zu überprüfen.

  • Vertraulichkeit - SSL erzwingt die Vertraulichkeit durch Verschlüsselung von Daten, um zu verhindern, dass unbefugte Benutzer die elektronische Kommunikation belauschen. Gewährleistet somit die Vertraulichkeit der Kommunikation.

  • Integrität- Nachrichtenintegrität stellt sicher, dass der Inhalt einer Kommunikation nicht manipuliert wird.

Die Firewall der SRX-Serie verwaltet als SSL-Proxy die SSL-Verbindungen zwischen dem Client auf der einen Seite und dem Server auf der anderen Seite und führt folgende Aktionen aus:

  • SSL-Sitzung zwischen Client und SRX-Serie: Beendet eine SSL-Verbindung von einem Client, wenn die SSL-Sitzungen vom Client zum Server initiiert werden. Die Firewall der SRX-Serie entschlüsselt den Datenverkehr, untersucht ihn auf Angriffe (in beide Richtungen) und initiiert im Namen der Clients die Verbindung zum Server.

  • SSL-Sitzung zwischen Server und SRX-Serie: Beendet eine SSL-Verbindung von einem Server, wenn die SSL-Sitzungen vom externen Server zum lokalen Server initiiert werden. Die Firewall der SRX-Serie empfängt Klartext vom Client, verschlüsselt die Daten und überträgt sie als Chiffretext an den SSL-Server. Auf der anderen Seite entschlüsselt die SRX-Serie den Datenverkehr vom SSL-Server, überprüft ihn auf Angriffe und sendet die Daten als Klartext an den Client.

  • Ermöglicht die Überprüfung von verschlüsseltem Datenverkehr.

Der SSL-Proxy-Server sorgt für eine sichere Übertragung von Daten mit Verschlüsselungstechnologie. SSL stützt sich auf Zertifikate und private-public-Key-Exchange-Paare, um die sichere Kommunikation zu gewährleisten. Weitere Informationen finden Sie unter SSL-Zertifikate.

Um eine SSL-Sitzung zwischen der Firewall der SRX-Serie und ihrem Client/Server einzurichten und aufrechtzuerhalten, wendet die Firewall der SRX-Serie Sicherheitsrichtlinien auf den empfangenen Datenverkehr an. Wenn der Datenverkehr den Kriterien der Sicherheitsrichtlinie entspricht, wird der SSL-Proxy als Anwendungsdienst innerhalb einer Sicherheitsrichtlinie aktiviert.

SSL-Proxy mit Anwendungssicherheitsservices

Abbildung 1 zeigt, wie der SSL-Proxy mit einer verschlüsselten Nutzlast funktioniert.

Abbildung 1: SSL-Proxy auf einer verschlüsselten Nutzlast SSL Proxy on an Encrypted Payload

Wenn erweiterte Sicherheitsservices wie Application Firewall (AppFW), Intrusion Detection and Prevention (IDP), Anwendungsverfolgung (AppTrack), Content Security und ATP Cloud konfiguriert sind, fungiert der SSL-Proxy als SSL-Server, indem er die SSL-Sitzung vom Client aus beendet und eine neue SSL-Sitzung mit dem Server einrichtet. Die Firewall der SRX-Serie entschlüsselt den gesamten SSL-Proxy-Datenverkehr und verschlüsselt ihn anschließend erneut.

IDP, AppFW, AppTracking, erweitertes richtlinienbasiertes Routing (APBR), Content Security, ATP-Cloud und ICAP-Serviceumleitung können den entschlüsselten Inhalt vom SSL-Proxy verwenden. Wenn keiner dieser Services konfiguriert ist, werden SSL-Proxydienste auch dann umgangen, wenn ein SSL-Proxyprofil an eine Firewall-Richtlinie angehängt ist.

Arten von SSL-Proxy

SSL-Proxy ist ein transparenter Proxy, der die SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durchführt. SRX fungiert aus der Perspektive des Clients als Server und aus der Serverperspektive als Client. Auf Firewalls der SRX-Serie werden Client-Schutz (Forward-Proxy) und Server-Schutz (Reverse-Proxy) unterstützt, indem sie dasselbe Echosystem SSL-T-SSL [Terminator auf der Clientseite] und SSL-I-SSL [Initiator auf der Serverseite]) verwenden.

Die Firewalls der SRX-Serie unterstützen die folgenden Arten von SSL-Proxys:

  • Client-Schutz SSL-Proxy, auch bekannt als Forward-Proxy: Die Firewall der SRX-Serie befindet sich zwischen dem internen Client und dem externen Server. Ausgehende Proxysitzung, d. h. lokal initiierte SSL-Sitzung mit dem Internet. Es entschlüsselt und untersucht den Datenverkehr von internen Benutzern zum Web.

  • Serverschutz SSL-Proxy, auch Reverse Proxy genannt: Die Firewall der SRX-Serie befindet sich zwischen dem internen Server und dem externen Client. Proxying eingehender Sitzungen, d. h. extern initiierte SSL-Sitzungen aus dem Internet zum lokalen Server.

Weitere Informationen zu SSL-Forward-Proxy und Reverse-Proxy finden Sie unter Konfigurieren des SSL-Proxys.

Unterstützte SSL-Protokolle

Die folgenden SSL-Protokolle werden von Firewalls der SRX-Serie für SSL-Initiierungs- und -Beendigungsdienste unterstützt:

  • TLS Version 1.0: Bietet Authentifizierung und sichere Kommunikation zwischen kommunizierenden Anwendungen.

  • TLS Version 1.1: Diese erweiterte Version von TLS bietet Schutz vor Cipher Block Chaining (CBC)-Angriffen.

  • TLS Version 1.2 – Diese erweiterte Version von TLS bietet mehr Flexibilität bei der Aushandlung kryptografischer Algorithmen.

  • TLS-Version 1.3 – Diese verbesserte Version von TLS bietet verbesserte Sicherheit und bessere Leistung.

Beginnend mit Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 werden die Protokolle TLS Version 1.1 und TLS Version 1.2 auf Firewalls der SRX-Serie zusammen mit TLS Version 1.0 unterstützt.

Ab Junos OS Version 15.1X49-D20 und Junos OS Version 17.3R1 wird das SSL-Protokoll 3.0 (SSLv3) nicht mehr unterstützt.

Ab Junos OS Version 21.2R1 unterstützt der SSL-Proxy auf Firewalls der SRX-Serie TLS Version 1.3.

Wenn Sie TLS 1.3 verwenden, unterstützt die Firewall der SRX-Serie die secp256r1-Gruppe für den Schlüsselaustausch zum Verbindungsaufbau mit dem Server. Wenn der Server nur secp384r1 unterstützt, wird die Verbindung beendet.

Ab Junos OS Version 24.2R1 unterstützen Firewalls der SRX-Serie den SSL-I-Prozess (SNI for SSL Initiation). Server Name Indication (SNI) ist eine Erweiterung des SSL/TLS-Headers, der den Hostnamen des Zielservers während des HTTPS-Austauschs "Client Hello" im Klartext trägt, bevor der SSL-Handshake abgeschlossen ist.

Vorteile von SSL-Proxy

  • Entschlüsselt SSL-Datenverkehr, um granulare Anwendungsinformationen zu erhalten und Ihnen die Anwendung erweiterter Sicherheitsservices sowie die Erkennung von Bedrohungen zu ermöglichen.

  • Erzwingt die Verwendung starker Protokolle und Verschlüsselungen durch den Client und den Server.

  • Bietet Visibilität und Schutz vor Bedrohungen, die im SSL-verschlüsselten Datenverkehr eingebettet sind.

  • Steuert, was mithilfe des selektiven SSL-Proxys entschlüsselt werden muss.

Unterstützung logischer Systeme

Es ist möglich, SSL-Proxy für Firewall-Richtlinien zu aktivieren, die mit logischen Systemen konfiguriert sind. Beachten Sie jedoch die folgenden Einschränkungen:

  • Die Kategorie "Dienste" wird derzeit in der Konfiguration logischer Systeme nicht unterstützt. Da sich SSL-Proxy unter "Dienste" befindet, können Sie SSL-Proxyprofile nicht pro logischem System konfigurieren.

  • Da Proxy-Profile, die auf globaler Ebene konfiguriert sind (innerhalb von "Services SSL Proxy"), in logischen Systemkonfigurationen sichtbar sind, ist es möglich, Proxy-Profile auf globaler Ebene zu konfigurieren und sie dann an die Firewall-Richtlinien eines oder mehrerer logischer Systeme anzuhängen.

Begrenzungen

Auf allen Firewalls der SRX-Serie weist die aktuelle SSL-Proxy-Implementierung die folgenden Konnektivitätseinschränkungen auf:

  • Die Unterstützung des SSLv3.0-Protokolls ist veraltet.

  • Das SSLv2-Protokoll wird nicht unterstützt. SSL-Sitzungen, die SSLv2 verwenden, werden abgebrochen.

  • Es wird nur das X.509v3-Zertifikat unterstützt.

  • Die Clientauthentifizierung von SSL-Handshake wird nicht unterstützt.

  • SSL-Sitzungen, bei denen die Clientzertifikatauthentifizierung obligatorisch ist, werden gelöscht.

  • SSL-Sitzungen, bei denen eine Neuverhandlung angefordert wird, werden abgebrochen.

  • Bei Firewalls der SRX-Serie wird der SSL-Proxy für eine bestimmte Sitzung nur aktiviert, wenn eine relevante Funktion im Zusammenhang mit SSL-Datenverkehr ebenfalls aktiviert ist. Funktionen im Zusammenhang mit SSL-Datenverkehr sind IDP, Anwendungsidentifikation, Anwendungs-Firewall, Anwendungsverfolgung, erweitertes richtlinienbasiertes Routing, Inhaltssicherheit, ATP-Cloud und ICAP-Umleitungsdienst. Wenn keine dieser Funktionen in einer Sitzung aktiv ist, umgeht der SSL-Proxy die Sitzung, und in diesem Szenario werden keine Protokolle generiert.
  • Firewalls der SRX-Serie, die in einem Multinode-Hochverfügbarkeits-Setup betrieben werden, unterstützen die SSL-Proxy-Funktionalität nicht.

Siehe auch