Proxy Web sécurisé
RÉSUMÉ Vous pouvez utiliser un équipement SRX Series de Juniper Networks pour configurer un proxy Web sécurisé afin de contourner sélectivement le serveur proxy externe pour le trafic basé sur les types d’applications. Lisez ce sujet pour découvrir comment fonctionne le proxy Web sécurisé et comment le configurer sur votre équipement SRX Series.
Présentation du proxy Web sécurisé
Vous pouvez utiliser un proxy Web sécurisé pour envoyer du trafic vers un serveur proxy externe et contourner le serveur proxy pour le trafic d’application sélectionné. Le trafic applicatif contourné sera envoyé directement au serveur Web cible.
Pour utiliser un proxy Web sécurisé sur un équipement SRX Series, vous devez configurer un profil proxy Web sécurisé avec les détails du serveur proxy externe et l’application dynamique que vous souhaitez contourner le serveur proxy externe. Lorsque l’équipement de sécurité reçoit une demande d’un client, il examine l’en-tête HTTP de l’application. L’équipement applique un profil de proxy Web pour le trafic qui correspond aux règles de stratégie de sécurité. Le trafic d’application autorisé qui correspond à l’application dynamique spécifiée dans le profil de proxy Web est dirigé vers le serveur Web. Dans le cas contraire, le trafic autorisé est redirigé vers le serveur proxy externe configuré.
Par conséquent, votre équipement de sécurité exécute un proxy transparent entre le client et le serveur Web pour les applications spécifiées et fournit une meilleure qualité de service pour le trafic applicatif.
À partir de la version 19.2R1 de Junos OS, vous pouvez configurer le proxy Web sécurisé sur les équipements SRX Series suivants : SRX300, SRX320, SRX340, SRX340, SRX345, SRX550, SRX1500, SRX4100, SRX4200 et vSRX.
Avantage
-
Le proxy Web sécurisé améliore la qualité de service du trafic applicatif sélectionné en fournissant des connexions directes au serveur Web
Limitations
-
Un équipement SRX Series fonctionnant en mode cluster de châssis ne prend pas en charge la fonctionnalité de proxy Web sécurisé.
-
Le routage avancé basé sur les stratégies (APBR), lorsqu’il est appliqué avec un proxy Web sécurisé, fonctionne parfaitement. Toutefois, les autres services de couche 7 peuvent ne pas fonctionner avec Secure Web Proxy comme prévu.
-
Si vous avez configuré des stratégies unifiées (stratégies de sécurité avec des applications dynamiques) sur votre équipement SRX Series, la fonctionnalité Secure Web Proxy peut ne pas fonctionner correctement.
- La fonctionnalité de proxy Web sécurisé n’est pas prise en charge lorsque l’équipement fonctionne en mode pont transparent.
- La fonctionnalité Secure Web Proxy ne fonctionne pas lorsque l’équipement client et son serveur proxy sont déployés dans le même segment de réseau.
Fonctionnement du proxy Web sécurisé sur les équipements SRX Series
Les figures 1 et 3 illustrent comment un équipement SRX Series fournit le service de proxy Web sécurisé.
SRX Series
Pour utiliser un proxy Web sécurisé sur votre équipement SRX Series, vous devez :
-
Créez un profil de proxy Web sécurisé, qui comprend les détails sur le serveur proxy externe et sur l’application dynamique ou le groupe d’applications pouvant contourner le serveur proxy externe.
-
Créez une stratégie de sécurité pour gérer le trafic passant par l’équipement.
-
Attachez le profil de proxy Web sécurisé à la stratégie de sécurité et appliquez le profil en tant que service d’application pour le trafic autorisé.
Lorsqu’un client lance une demande, l’équipement SRX Series examine le trafic de l’application et identifie le trafic pouvant contourner le serveur proxy externe en fonction du profil de proxy Web sécurisé et des règles de stratégie de sécurité.
Par exemple, si vous utilisez Microsoft Office 365, vous pouvez spécifier un groupe d’applications Office 365, tel que junos:OUTLOOK ou junos:OFFICE365-CREATE-CONVERSATION, dans le profil de proxy Web sécurisé. L’équipement SRX Series transfère le trafic de l’application Office 365 directement vers le serveur Office 365, en contournant le serveur proxy externe. Les connexions qui ne correspondent pas aux applications sont acheminées vers le serveur proxy externe.
L’équipement SRX Series exécute un proxy Web sécurisé en procédant comme suit :
-
Le navigateur du client envoie une demande de connexion HTTP au serveur proxy externe.
-
L’équipement SRX Series intercepte les connexions TCP. L’équipement identifie l’application dans l’en-tête HTTP et effectue une résolution DNS.
-
Si les paramètres du trafic correspondent aux règles de stratégie de sécurité et aux spécifications du profil de proxy Web sécurisé, l’équipement SRX Series fonctionne en mode transparent. L'équipement utilise l'adresse IP du client en mode transparent pour établir une nouvelle connexion avec le serveur Web, en contournant le serveur proxy externe.
-
L’équipement SRX Series envoie la réponse de connexion du serveur Web au client.
-
Pour le trafic restant, l’équipement SRX Series fonctionne en mode de transmission et permet à la demande de connexion HTTP d’accéder au serveur proxy externe.
Exemple : configurer secure Web Proxy sur un équipement SRX Series
Cet exemple montre comment configurer un proxy Web sécurisé sur des équipements SRX Series.
Exigences matérielles et logicielles
Cet exemple utilise les composants matériels et logiciels suivants :
-
Un équipement SRX Series de Juniper Networks (SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, SRX4100, SRX4200 ou vSRX).
-
Junos OS version 19.2R1 ou ultérieure. Nous avons testé cet exemple à l’aide de Junos OS version 19.2R1.
-
Adresse IP et numéro de port du serveur proxy externe.
Topologie
#overview198__TopologyForSecureWebProxyConfigurat-4A804809 montre la topologie utilisée dans cet exemple.
Web sécurisé
Dans cet exemple, les interfaces ge-0/0/1 et ge-0/0/2 se trouvent dans la zone de confiance et sont connectées au client et au serveur proxy externe, respectivement. L’interface ge-0/0/0 se trouve dans la zone de non confiance et est connectée au serveur Web via la passerelle Internet. Vous configurez un profil de proxy Web sécurisé en spécifiant les applications Office 365 et les détails du proxy externe.
Une fois la configuration terminée, l’équipement SRX Series transfère directement le trafic Office 365 vers le serveur Web, en contournant le serveur proxy externe pour le trafic Office 365.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier], puis saisissez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.2 set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all set services application-identification application-group office-365-group applications junos:OUTLOOK set services application-identification application-group office-365-group applications junos:OFFICE365-CREATE-CONVERSATION set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy ip 5.0.0.1/32 set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy port 8080 set services web-proxy secure-proxy profile office365-profile dynamic-web-application junos:office-365 set services web-proxy secure-proxy profile office365-profile dynamic-web-application-group office-365-group set security policies from-zone trust to-zone untrust policy 1 match source-address any set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit application-services web-proxy profile-name office365-profile
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Dans cette procédure, vous configurez les interfaces et les zones de sécurité.
-
Configurez les interfaces.
[edit]user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.0 user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1 user@host# set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.2 -
Attribuez les interfaces aux zones de sécurité et configurez le trafic entrant pour tous les services système.
[edit]user@host#set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services alluser@host#set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services alluser@host#set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all -
Configurez un groupe d’applications personnalisé pour Office 365.
[edit]user@host# set services application-identification application-group office-365-group applications junos:OUTLOOK user@host# set services application-identification application-group office-365-group applications junos:OFFICE365-CREATE-CONVERSATION -
Créez un profil de proxy de sécurité en spécifiant les détails de l’application Office 365 ainsi que l’adresse IP et le port du serveur proxy externe.
[edit]user@host#set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy ip 5.0.0.1/32user@host#set services web-proxy secure-proxy profile office365-profile proxy-address external_proxy port 8080user@host#set services web-proxy secure-proxy profile office365-profile dynamic-web-application junos:office-365user@host#set services web-proxy secure-proxy profile office365-profile dynamic-web-application-group office-365-group -
Définissez la stratégie de sécurité du trafic provenant du client vers l’équipement de passerelle Internet.
[edit]user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application any -
Définissez l’action de stratégie pour appliquer le profil de proxy Web sécurisé sur le trafic autorisé.
[edit]user@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services web-proxy profile-name office365-profile
L’équipement SRX Series transfère le trafic de l’application Office 365 directement vers le serveur Office 365, en contournant le serveur proxy externe. Les autres sessions qui ne correspondent pas à l’application Office 365 sont acheminées vers le serveur proxy externe.
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show services web-proxy secure-proxy, show security policieset show security zones les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit ]user@host# show services web-proxy secure-proxyprofile office365-profile { proxy-address external_proxy { ip 5.0.0.1/32; port 8080; } dynamic-web-application junos:office-365 dynamic-web-application-group office-365-group }
[edit]user@host# show security policiesfrom-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { web-proxy { profile-name office365-profile; } } } } } }
[edit]user@host# show security zonessecurity-zone untrust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { all; } } } } } security-zone trust { interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { all; } } } ge-0/0/2.0 { host-inbound-traffic { system-services { all; } } } } }
Vérification
Vérifier les détails de la session
But
Vérifiez les détails de la session dans laquelle le proxy Web sécurisé est appliqué.
Action
Depuis le mode opérationnel, saisissez la show security flow session commande.
Session ID: 477, Policy name: 1/5, Timeout: 1796, Valid In: 6.0.0.1/63638 --> 5.0.0.1/8080;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 22, Bytes: 2451, Out: 5.0.0.1/8080 --> 6.0.0.1/63638;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 478, Policy name: 1/5, Timeout: 1796, Valid In: 6.0.0.1/63638 --> 13.107.7.190/443;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 44, Out: 13.107.7.190/443 --> 6.0.0.1/63638;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 31, Bytes: 28898,
Sens
Dans l’exemple de sortie, l’ID-477 est la session client et l’ID-478 est la session proxy. Dans la deuxième session, notez que le trafic du client 6.0.0.1 est directement vers le serveur Web 13.107.7.190.
Afficher les statistiques des sessions de proxy Web sécurisé
But
Affichez les détails de la session dans laquelle le proxy Web sécurisé est appliqué.
Action
À partir du mode opérationnel, saisissez les show services web-proxy session detail commandes et show services web-proxy session summary .
user@host> show services web-proxy session detail
Web Proxy sessions:
Client Session ID: 38569, Proxy Session ID: 38570
Client: 6.0.0.1/53454 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53454 ---> 13.107.7.190/443
Proxy Request: CONNECT:www.office.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38562, Proxy Session ID: 38564
Client: 6.0.0.1/53451 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53451 ---> 40.126.5.35/443
Proxy Request: CONNECT:login.microsoftonline.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38567, Proxy Session ID: 38568
Client: 6.0.0.1/53453 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53453 ---> 13.107.246.10/443
Proxy Request: CONNECT:aadcdn.msauth.net:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
Client Session ID: 38571, Proxy Session ID: 0
Client: 6.0.0.1/53455 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53455 ---> 52.96.40.242/443
Proxy Request: CONNECT:outlook.office365.com:443
Dynamic Web App: junos:OWA
Client Session ID: 38561, Proxy Session ID: 38565
Client: 6.0.0.1/53450 ---> 5.0.0.1/8080
Proxy : 6.0.0.1/53450 ---> 40.126.5.35/443
Proxy Request: CONNECT:login.microsoftonline.com:443
Dynamic Web App: junos:OFFICE365-CREATE-CONVERSATION
user@host> show services web-proxy session summary
Web Proxy sessions:
Client Session Proxy Session
[477] 6.0.0.1/63638 ---> 5.0.0.1/8080 [478] 6.0.0.1/63638 ---> 13.107.7.190/443
Sens
Dans ces exemples, notez les détails de la session client et de la session proxy. Vous pouvez également voir les demandes de proxy et les applications Web dynamiques.