Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL-Reverse-Proxy – Übersicht

Ein Reverseproxy ist ein gängiger Proxyservertyp, auf den über das öffentliche Netzwerk zugegriffen werden kann. Reverseproxys werden vom Webdienst verwaltet, und Clients greifen über das öffentliche Internet auf sie zu.

Sie können den SSL-Reverseproxy so konfigurieren, dass Ihre SSL-fähigen Webserver vor Client-zu-Server-Angriffen von bösartigen Clients geschützt werden. Dazu wird der private SSL-Schlüssel des Webservers auf das Gerät der SRX-Serie geladen, um Ihre Webserver vor Bedrohungen durch Clients zu schützen, die Sie nicht kontrollieren. Wenn z. B. ein externer Benutzer im Internet versucht, auf einen Unternehmenswebserver zuzugreifen, initiiert er die HTTPS-Verbindung zum Webserver. Das SSL-Reverseproxyprofil verfügt über die Details des privaten Schlüssels, fängt den Datenverkehr ab und sendet die entschlüsselten Nutzlastinformationen an andere L7-Services, die in der Sicherheitsrichtlinie aktiviert sind, z. B. IDP zur Angriffserkennung.

Wie beim Forward-Proxy muss auch beim Reverse-Proxy ein Profil auf der Ebene der Firewallregeln konfiguriert werden. Darüber hinaus müssen Sie auch Serverzertifikate mit privaten Schlüsseln für den Reverseproxy konfigurieren. Während eines SSL-Handshakes führt der SSL-Proxy eine Suche nach einem übereinstimmenden privaten Serverschlüssel in der Hashtabellendatenbank des privaten Schlüssels des Servers durch. Wenn die Suche erfolgreich ist, wird der Handshake fortgesetzt. Andernfalls beendet der SSL-Proxy den Handshake. Der Reverseproxy fängt keine Serverzertifikate ab. Es leitet das tatsächliche Serverzertifikat/die tatsächliche Serverkette unverändert an den Client weiter, ohne es zu ändern. Das Abfangen des Serverzertifikats erfolgt nur mit Forward-Proxy.

Abbildung 1 zeigt, wie der SSL-Reverseproxy mit einer verschlüsselten Nutzlast funktioniert. Wenn die Anwendungs-Firewall (AppFW), das Intrusion Prevention System (IPS) oder die Anwendungsverfolgung (AppTrack) konfiguriert ist, fungiert der SSL-Reverseproxy als SSL-Server, der die SSL-Sitzung vom Client aus beendet und eine neue SSL-Sitzung mit dem Server einrichtet. Das Gerät entschlüsselt den gesamten SSL-Reverseproxy-Datenverkehr und verschlüsselt ihn erneut. Der SSL-Reverseproxy verwendet die folgenden Dienste:

  • SSL-T-SSL-Abschlusszeichen auf der Client-Seite

  • SSL-I-SSL-Initiator serverseitig

  • Konfigurierte AppFW-, IPS- oder AppTrack-Services verwenden die entschlüsselten SSL-Sitzungen

Abbildung 1: SSL-Reverse-Proxy für eine verschlüsselte Nutzlast SSL Reverse Proxy on an Encrypted Payload

Vorteile von Reverse Proxy

  • Ein Reverseproxy kann das Vorhandensein und die Merkmale von Ursprungsservern verbergen.

  • Ein Reverse-Proxy kann die Last von eingehenden Anfragen auf mehrere Server verteilen, wobei jeder Server seinen eigenen Anwendungsbereich unterstützt.

Zugehörige Dokumentation