Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Erstellen von SSL-Forward-Proxyprofilen

Vorbereitungen

  • Lesen Sie das Thema SSL Forward Proxy – Übersicht.

  • Sehen Sie sich die Hauptseite des SSL-Weiterleitungs-Proxyprofils an, um sich einen Überblick über Ihren aktuellen Datensatz zu verschaffen. Feldbeschreibungen finden Sie unter Felder für SSL-Weiterleitungs-Proxyprofil-Hauptseiten .

Verwenden Sie die Seite SSL-Forward-Proxyprofil , um Details zum SSL-Proxyprofil anzuzeigen und zu verwalten. Der SSL-Proxy wird als Anwendungsdienst innerhalb einer Sicherheitsrichtlinie aktiviert. Sie geben den Datenverkehr, für den der SSL-Proxy aktiviert werden soll, als Übereinstimmungskriterien an und geben dann das SSL-Proxyprofil an, das auf den Datenverkehr angewendet werden soll.

Hinweis:

Ab Junos Space Security Director, Version 21.2, wird SSL Forward Proxy auch für LSYS-Geräte (Logical Systems) unterstützt.

So erstellen Sie ein SSL-Forward-Proxy-Profil:

  1. Wählen Sie > SSL-Profile konfigurieren> SSL-Proxy-Profile aus.

    Die Seite SSL-Proxy-Profile wird angezeigt.

  2. Wählen Sie in der Liste Erstellen die Option Proxy weiterleiten aus.
  3. Schließen Sie die Konfiguration gemäß den Richtlinien in Tabelle 1 ab.
  4. Klicken Sie auf OK.

Es wird ein SSL-Forward-Proxyprofil erstellt, das einer Firewall-Richtlinie zugewiesen werden kann, um erweiterte Sicherheitsoptionen zu erhalten.

Hinweis:

Wenn keiner der Dienste (AppFW, IDP oder AppTrack) konfiguriert ist, werden SSL-Proxydienste auch dann umgangen, wenn ein SSL-Proxyprofil an eine Firewallrichtlinie angefügt ist.
Tabelle 1: Einstellungen für SSL-Forward-Proxy-Profile

Einstellung

Richtlinie

General Information

Namen

Geben Sie eine eindeutige Zeichenfolge aus alphanumerischen Zeichen, Doppelpunkten, Punkten, Bindestrichen und Unterstrichen ein. Leerzeichen sind nicht erlaubt; Die maximale Länge beträgt 63 Zeichen.

Beschreibung

Geben Sie eine Beschreibung für das SSL-Forward-Proxyprofil ein. Die maximale Länge beträgt 1024 Zeichen.

Bevorzugte Chiffre

Wählen Sie eine bevorzugte Chiffre aus. Chiffren werden je nach Schlüsselstärke in die folgenden Kategorien eingeteilt.

  • Benutzerdefiniert: Konfigurieren Sie eine benutzerdefinierte Verschlüsselungssammlung und die gewünschte Reihenfolge.

  • Mittel: Verwenden Sie Chiffren mit einer Schlüsselstärke von 128 Bit oder mehr.

  • Stark: Verwenden Sie Chiffren mit einer Schlüsselstärke von 168 Bit oder mehr.

  • Schwach: Verwenden Sie Chiffren mit einer Schlüsselstärke von 40 Bit oder mehr.

Benutzerdefinierte Chiffren

Wählen Sie den Satz von Verschlüsselungen aus, die der SSH-Server zum Ausführen von Verschlüsselungs- und Entschlüsselungsfunktionen verwenden kann. Wenn diese Option nicht konfiguriert ist, akzeptiert der Server alle unterstützten Suiten, die verfügbar sind.

Folgende benutzerdefinierte Verschlüsselungen stehen zur Verfügung:

  • rsa-with-RC4-128-md5—RSA, 128-bit-RC4-, MD5-Hash

  • rsa-with-RC4-128-sha – RSA, 128-Bit-RC4, SHA-Hash

  • rsa-with-des-cbc-sha – RSA-, DES/CBC-, SHA-Hash

  • rsa-with-3DES-ede-cbc-sha—RSA-, 3DES EDE/CBC-, SHA-Hash

  • rsa-with-aes-128-cbc-sha – RSA, 128-Bit-AES/CBC, SHA-Hash

  • rsa-with-aes-256-cbc-sha – RSA, 256-Bit-AES/CBC, SHA-Hash

  • rsa-export-with-rc4-40-md5—RSA-export, 40-Bit-RC4-, MD5-Hash

  • rsa-export-with-des40-cbc-sha – RSA-Export, 40-Bit-DES/CBC, SHA-Hash

  • rsa-export1024-with-des-cbc-sha—RSA-1024-Bit-Export, DES/CBC, SHA-Hash

  • rsa-export1024-with-rc4-56-md5—RSA-Export (1024-bit-Export, 56-bit-RC4-, MD5-Hash)

  • rsa-export1024-with-rc4-56-sha—RSA-Export mit 1024 Bit, 56-Bit-RC4, SHA-Hash

  • rsa-with-aes-256-gcm-sha384—RSA, 256 bit AES/GCM, SHA384-Hash

  • rsa-with-aes-256-cbc-sha256 – RSA, 256 Bit AES/CBC, SHA256-Hash

  • rsa-with-aes-128-gcm-sha256 – RSA, 128 Bit AES/GCM, SHA256-Hash

  • rsa-with-aes-128-cbc-sha256 – RSA, 256 Bit AES/CBC, SHA256-Hash

  • ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE-, RSA-, 256-bit-AES/GCM-, SHA384-Hash

  • ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE-, RSA-, 256-bit-AES/CBC-, SHA384-Hash

  • ecdhe-rsa-with-aes-256-cbc-sha – ECDHE-, RSA-, 256-Bit-AES/CBC-, SHA-Hash

  • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE-, RSA-, 3DES-, EDE/CBC-, SHA-Hash

  • ecdhe-rsa-with-aes-128-gcm-sha256 – ECDHE, RSA, 128-Bit-AES/GCM-, SHA256-Hash

  • ecdhe-rsa-with-aes-128-cbc-sha256 – ECDHE-, RSA-, 128-Bit-AES/CBC-, SHA256-Hash

  • ecdhe-rsa-with-aes-128-cbc-sha – ECDHE-, RSA-, 128-Bit-AES/CBC-, SHA-Hash

Ablaufverfolgung

Wählen Sie diese Option aus, um die Datenflussverfolgung für die Fehlerbehebung bei richtlinienbezogenen Problemen zu aktivieren.

Root-Zertifikat

Wählen Sie ein Stammzertifikat aus, oder fügen Sie es hinzu. Sie können ein oder mehrere Stammzertifikate auswählen. In einer PKI-Hierarchie (Public Key Infrastructure) steht die Stammzertifizierungsstelle ganz oben im Vertrauenspfad. Die Stammzertifizierungsstelle identifiziert das Serverzertifikat als vertrauenswürdiges Zertifikat.

Klicken Sie auf Hinzufügen , um ein neues Stammzertifikat zu erhalten. Wählen Sie auf der Seite Hinzufügen ein Gerät und die vertrauenswürdigen Zertifizierungsstellen aus, die dem Stammzertifikat zugeordnet werden sollen.

Hinweis:

Um die SSL-Zertifikate in Security Director anzuzeigen, wählen Sie Geräte>Sicherheitsgeräte aus, wählen Sie das entsprechende Gerät aus, klicken Sie mit der rechten Maustaste auf das Gerät, oder wählen Sie im Menü Mehr die Option Zertifikat aktualisieren aus. Sobald der Auftrag zur Zertifikataktualisierung abgeschlossen ist, werden SSL-Zertifikate angezeigt.

Stellen Sie sicher, dass die Gerätekonfiguration mit Security Director synchronisiert ist. Wenn die Gerätekonfiguration auf den Sicherheitsgeräten nicht synchron ist, synchronisieren Sie das Netzwerk neu, und fahren Sie dann mit der Aktualisierung der Zertifikate fort.

Ausgenommene Adresse

Wählen Sie Adressen aus, um Zulassungslisten zu erstellen, die die SSL-Forward-Proxy-Verarbeitung umgehen.

Da die SSL-Verschlüsselung und -Entschlüsselung komplizierte und teure Verfahren sind, können Netzwerkadministratoren die SSL-Proxyverarbeitung für einige Sitzungen selektiv umgehen. Solche Sitzungen umfassen meist Verbindungen und Transaktionen mit vertrauenswürdigen Servern oder Domänen, mit denen Netzwerkadministratoren sehr vertraut sind. Es gibt auch gesetzliche Vorgaben, um Finanz- und Bankseiten auszunehmen. Solche Ausnahmen werden erreicht, indem die IP-Adressen oder Domänennamen der Server unter Zulassungslisten konfiguriert werden.

Ausgenommene URL-Kategorien

Ab Junos Space Security Director, Version 16.2, können Sie URL-Kategorien auswählen, um Zulassungslisten zu erstellen, die die SSL-Forward-Proxy-Verarbeitung umgehen.

Diese URL-Kategorien sind bei der SSL-Prüfung ausgenommen. Für die Ausnahme können nur die vordefinierten URL-Kategorien ausgewählt werden.

Hinweis:

Stellen Sie sicher, dass Sie mit Erweitert filtern, wenn Sie ausgenommene URL-Kategorien im SSL-Profil auswählen.

Actions

Fehler bei der Serverauthentifizierung

Wählen Sie diese Option aus, um die Serverauthentifizierung vollständig zu ignorieren.

In diesem Fall ignoriert der SSL-Forward-Proxy Fehler, die während des Überprüfungsprozesses des Serverzertifikats aufgetreten sind (z. B. Fehler bei der Überprüfung der CA-Signatur, selbstsignierte Zertifikate und Ablauf des Zertifikats).

Wir empfehlen diese Option nicht für die Authentifizierung, da ihre Konfiguration dazu führt, dass Websites überhaupt nicht authentifiziert werden. Sie können diese Option jedoch verwenden, um die Ursache für unterbrochene SSL-Sitzungen effektiv zu identifizieren.

Wiederaufnahme der Sitzung

Wählen Sie die Option Sitzungswiederaufnahme deaktivieren aus, wenn Sie keine Sitzungswiederaufnahme wünschen.

Um den Durchsatz zu verbessern und dennoch ein angemessenes Maß an Sicherheit aufrechtzuerhalten, bietet die Wiederaufnahme von SSL-Sitzungen einen Sitzungszwischenspeicherungsmechanismus, sodass Sitzungsinformationen, wie z. B. der vorprimäre geheime Schlüssel und vereinbarte Verschlüsselungen, sowohl für den Client als auch für den Server zwischengespeichert werden können.

Protokoll

Wählen Sie diese Option aus, um Protokolle zu generieren. Sie können wählen, ob alle Ereignisse, Warnungen, allgemeinen Informationen, Fehler oder verschiedene Sitzungen (auf der Zulassungsliste, zulässig, verworfen oder ignoriert) protokolliert werden sollen.

Neuverhandlung

Nachdem eine Sitzung erstellt und der SSL-Tunneltransport eingerichtet wurde, muss eine Änderung der SSL-Parameter neu verhandelt werden. SSL Forward Proxy unterstützt sowohl sichere (RFC 5746) als auch nicht sichere (TLS v1.0 und SSL v3) Neuverhandlung.

Wählen Sie eine der folgenden Optionen aus, wenn eine Änderung der SSL-Parameter eine Neuverhandlung erfordert:

  • Keine (standardmäßig ausgewählt)

  • Ermöglichen

  • Zulassen – Sichern

  • Drop

Wenn die Wiederaufnahme der Sitzung aktiviert ist, ist die Neuverhandlung der Sitzung in den folgenden Situationen nützlich:

  • Verschlüsselungsschlüssel müssen nach einer längeren SSL-Sitzung aktualisiert werden.

  • Für eine sicherere Verbindung müssen stärkere Verschlüsselungen verwendet werden.

Zugehörige Dokumentation

Tabelle der Versionshistorie
Release
Beschreibung
16.2
Ab Junos Space Security Director, Version 16.2, können Sie URL-Kategorien auswählen, um Zulassungslisten zu erstellen, die die SSL-Forward-Proxy-Verarbeitung umgehen.