Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズファイアウォールでリバースプロキシを設定する

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、SRXシリーズ ファイアウォールはプロキシとして機能するため、SSL ネゴシエーションを RSA にダウングレードできます。その他の変更点を 表1に示します。

表1:15.1X49-D80と17.3R1 Junos OS リリース前後のリバースプロキシの比較

特徴

15.1X49-D80 より前

15.1X49-D80および17.3R1以降

プロキシ モデル

タップモードでのみ動作 SSLハンドシェイクに参加する代わりに、SSLハンドシェイクをリッスンし、セッションキーを計算してから、SSLトラフィックを復号化します。

SRXシリーズファイアウォールでクライアントSSLを終端し、サーバーとの新しいSSL 接続を開始します。クライアント/サーバーからのSSLトラフィックを復号化し、サーバー/クライアントに送信する前に(インスペクション後に)再度暗号化します。

プロトコルバージョン

TLS バージョン 1.1 および 1.2 はサポートしていません。

現在のプロトコルバージョンをすべてサポートします。

鍵交換方法

RSAをサポートします。

RSAをサポートします。

エコーシステム

IDPエンジンとその検出器と緊密に結合されています。

既存のSSLフォワードプロキシを使用し、その下にTCPプロキシーを置きます。

セキュリティ サービス

復号化されたSSLトラフィックは、IDPのみが検査できます。

フォワードプロキシと同様に、復号化されたSSLトラフィックはすべてのセキュリティサービスで利用できます。

サポートされている暗号

限られた暗号方式のセットがサポートされます。

一般的に使用される暗号方式はすべてサポートされています。

このトピックの残りの部分では、 SSL プロキシ という用語を使用して、フォワード プロキシとリバース プロキシの両方を示します。

フォワード プロキシと同様に、リバース プロキシでは、ルールオプションは、ファイアウォールルール レベルでプロファイルを構成する必要があります。さらに、リバース プロキシ用の秘密キーを使用してサーバー証明書を構成する必要もあります。SSL ハンドシェーク中に、SSL プロキシーは、そのサーバー秘密鍵ハッシュ・テーブル・データベース内で一致するサーバー秘密鍵の検索を実行します。ルックアップが成功すると、ハンドシェイクが続行されます。それ以外の場合、SSL プロキシーはハンドシェイクを終了します。リバース プロキシは、サーバー証明書を禁止しません。実際のサーバー証明書/チェーンを変更せずに、そのままクライアントに転送します。サーバー証明書の傍受は、フォワード プロキシでのみ発生します。次に、フォワード プロキシとリバース プロキシ プロファイルの設定例を示します。

SSL プロキシ プロファイルで root-ca または server-certificate のいずれかを構成する必要があります。それ以外の場合、コミット・チェックは失敗します。 表 2 を参照してください。

表 2: サポートされている SSL プロキシ構成

サーバー証明書が設定されています

root-ca設定

プロファイルの種類

いいえ

いいえ

コミットチェックに失敗します。 server-certificate または root-ca のいずれかを設定する必要があります。

はい

はい

コミットチェックに失敗します。同じプロファイルで server-certificateroot-ca の両方を構成することはサポートされていません。

いいえ

はい

フォワード プロキシ

はい

いいえ

リバース プロキシ

フォワードおよびリバースプロキシプロファイルの複数のインスタンスの設定がサポートされています。ただし、特定のファイアウォール ポリシーに対して、構成できるプロファイルは 1 つだけです(フォワード プロキシ プロファイルまたはリバース プロキシ プロファイル)。同じデバイスでフォワード プロキシとリバース プロキシの両方を構成することもサポートされています。

特定のファイアウォールポリシーに対して、以前のリバースプロキシ実装を新しいリバースプロキシ実装で設定することはできません。両方が設定されている場合は、コミットチェック失敗メッセージが表示されます。

以下は、リバースプロキシを設定するための最小手順です。

  1. CLIコマンドrequest security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234を使用して、サーバー証明書とそのキーをSRXシリーズファイアウォール証明書リポジトリにロードします。例えば:
  2. CLI コマンド set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234を使用して、サーバー証明書識別子を SSL プロキシー プロファイルに添付します。例えば
  3. show services sslを使用するCLI コマンドを使用して設定を確認します。例えば: