Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュア Web プロキシ

概要 ジュニパーネットワークスのSRXシリーズデバイスを使用して 、セキュアWebプロキシ を設定し、アプリケーションタイプに基づいて外部プロキシサーバーを選択的にバイパスすることができます。このトピックを読んで、セキュア Web プロキシの仕組みと SRX シリーズ デバイス上で構成する方法について説明します。

セキュア Web プロキシーの概要

セキュア Web プロキシを使用して、外部プロキシ サーバーにトラフィックを送信し、選択したアプリケーション トラフィックに対してプロキシ サーバーをバイパスできます。バイパスされたアプリケーション トラフィックは、ターゲット Web サーバーに直接送信されます。

SRXシリーズデバイスでセキュアWebプロキシを使用するには、外部プロキシサーバーの詳細と、外部プロキシサーバーをバイパスする動的アプリケーションを含むセキュアWebプロキシプロファイルを設定する必要があります。セキュリティ デバイスがクライアントから要求を受信すると、デバイスはアプリケーションの HTTP ヘッダーを調べます。デバイスは、セキュリティ ポリシー ルールに一致するトラフィックに Web プロキシ プロファイルを適用します。Web プロキシー・プロファイルで指定された動的アプリケーションと一致する許可アプリケーション・トラフィックが、Web サーバーに送られます。それ以外の場合、許可されたトラフィックは設定された外部プロキシ サーバーに再送されます。

その結果、セキュリティ デバイスは、指定されたアプリケーションに対してクライアントと Web サーバー間で透過的なプロキシを実行し、アプリケーション トラフィックに対してより優れたサービス品質を提供します。

Junos OS リリース 19.2R1 以降、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、SRX4100、SRX4200、vSRX の SRX シリーズ デバイスでセキュア Web プロキシを設定できます。

利益

  • セキュア Web プロキシは、Web サーバーに直接接続することで、選択したアプリケーション トラフィックに対してより優れたサービス品質を提供します。

制限

  • シャーシ クラスタ モードで動作する SRX シリーズ デバイスは、セキュア Web プロキシ機能をサポートしていません。

  • APBR(高度なポリシーベースのルーティング)は、セキュアなWebプロキシと一緒に適用すると、問題なく動作します。ただし、他のレイヤー7サービスは、想定通りにSecure Web Proxyと連携しない場合があります。

  • SRXシリーズデバイスで統合ポリシー(動的アプリケーションを使用するセキュリティポリシー)を設定した場合、セキュアWebプロキシ機能が正しく機能しない可能性があります。

  • セキュア Web プロキシ機能は、デバイスが透過ブリッジ モードで動作している場合はサポートされていません。
  • クライアントデバイスとそのプロキシサーバーが同じネットワークセグメントに展開されている場合、セキュアWebプロキシ機能は機能しません。

SRX シリーズ デバイスでのセキュア Web プロキシーの仕組み

図 1 および 図 3 は、SRX シリーズ デバイスがセキュア Web プロキシ サービスを提供する方法を示しています。

図 1: SRX シリーズ デバイス Secure Web Proxy on SRX Series Device上のセキュア Web プロキシ
図 2: SRX シリーズ デバイス上のセキュア Web プロキシー —ワークフロー Secure Web Proxy on SRX Series Device—Workflow
図 3:ワークフロー - SRX シリーズ デバイス上のセキュア Web プロキシ

SRX シリーズ デバイスでセキュア Web プロキシを使用するには、次の手順に従う必要があります。

  1. 外部プロキシー・サーバーと、外部プロキシー・サーバーをバイパスできる動的アプリケーションまたはアプリケーション・グループに関する詳細を含むセキュア Web プロキシー・プロファイルを作成します。

  2. デバイスを通過するトラフィックを管理するセキュリティ ポリシーを作成します。

  3. セキュア Web プロキシ プロファイルをセキュリティ ポリシーにアタッチし、許可されたトラフィックのアプリケーション サービスとしてそのプロファイルを適用します。

クライアントが要求を開始すると、SRXシリーズデバイスはアプリケーショントラフィックを調べ、セキュアWebプロキシプロファイルとセキュリティポリシールールに基づいて、外部プロキシサーバーをバイパスできるトラフィックを特定します。

たとえば、Microsoft Office 365 を使用している場合、セキュア Web プロキシ プロファイルで、junos:OUTLOOK や junos:OFFICE365-CREATE-CONVERSATION などの Office 365 アプリケーション グループを指定できます。SRX シリーズ デバイスは、外部プロキシ サーバーをバイパスして Office 365 アプリケーション トラフィックを Office 365 サーバーに直接転送します。アプリケーションと一致しない接続は、外部プロキシー・サーバーにルーティングされます。

SRX シリーズ デバイスは、次の手順でセキュア Web プロキシを実行します。

  1. クライアントのブラウザーは、HTTP 接続要求を外部プロキシ サーバーに送信します。

  2. SRX シリーズ デバイスは、TCP 接続を傍受します。デバイスは、HTTPヘッダーでアプリケーションを識別し、DNS解決を行います。

  3. トラフィックパラメータがセキュリティポリシールールとセキュアWebプロキシプロファイル仕様に一致する場合、SRXシリーズデバイスは透過モードで動作します。デバイスは透過モードでクライアントのIPアドレスを使用してWebサーバーとの新しい接続を開始し、外部プロキシサーバーをバイパスします。

  4. SRX シリーズ デバイスは、接続応答を Web サーバーからクライアントに送信します。

  5. 残りのトラフィックについては、SRXシリーズデバイスはパススルーモードで動作し、HTTP接続要求が外部プロキシサーバーに移動することを許可します。

例—SRXシリーズデバイスでセキュアWebプロキシを設定する

この例では、SRXシリーズデバイスでセキュアWebプロキシを設定する方法を示しています。

ハードウェアとソフトウェアの要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ジュニパーネットワークス SRX シリーズ デバイス(SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、SRX4100、SRX4200、vSRX)。

  • Junos OS リリース 19.2R1 以降。Junos OSリリース19.2R1を使用してこの例をテストしました。

  • 外部プロキシ サーバーの IP アドレスとポート番号。

トポロジ

#overview198__TopologyForSecureWebProxyConfigurat-4A804809 は、この例で使用されているトポロジーを示しています。

図 4:セキュア Web プロキシ Topology For Configuring Secure Web Proxyを設定するためのトポロジー

この例では、インターフェイスge-0/0/1とge-0/0/2はそれぞれtrustゾーンに、クライアントと外部プロキシサーバーに接続されています。インターフェイス ge-0/0/0 は untrust ゾーンであり、インターネット ゲートウェイを介して Web サーバーに接続されています。Office 365 アプリケーションと外部プロキシの詳細を指定して、セキュア Web プロキシ プロファイルを構成します。

構成を完了すると、SRX シリーズ デバイスは Office 365 トラフィックを Web サーバーに直接転送し、Office 365 トラフィック用の外部プロキシ サーバーをバイパスします。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルでCLIにコマンドをコピーアンドペーストして、設定モードからコミットを入力します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイド の設定モードでのCLIエディター の使用を参照してください。

この手順では、インターフェイスとセキュリティ ゾーンを設定します。

  1. インターフェイスを設定します。

  2. インターフェイスをセキュリティゾーンに割り当て、すべてのシステムサービスのインバウンドトラフィックを設定します。

  3. Office 365 のカスタム アプリケーション グループを構成します。

  4. Office 365 アプリケーションの詳細、および外部プロキシ サーバーの IP アドレスとポートの詳細を指定して、セキュリティ プロキシ プロファイルを作成します。

  5. クライアントからインターネットゲートウェイデバイスに送信されるトラフィックのセキュリティポリシーを定義します。

  6. 許可されたトラフィックにセキュア Web プロキシ プロファイルを適用するポリシー アクションを定義します。

SRX シリーズ デバイスは、外部プロキシ サーバーをバイパスして Office 365 アプリケーション トラフィックを Office 365 サーバーに直接転送します。Office 365 アプリケーションと一致しないその他のセッションは、外部プロキシ サーバーにルーティングされます。

結果

設定モードから、 、 、 show security policiesコマンドを入力して設定をshow services web-proxy secure-proxyshow security zones確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

セッションの詳細の確認

目的

セキュア Web プロキシが適用されるセッションの詳細を確認します。

アクション

動作モードから、 コマンドを show security flow session 入力します。

意味

サンプル出力では、ID-477 がクライアント セッションであり、ID-478 がプロキシ セッションです。2 番目のセッションでは、クライアント 6.0.0.1 からのトラフィックが Web サーバー 13.107.7.190 に直接アクセスしていることに注意してください。

セキュア Web プロキシー セッション統計の表示

目的

セキュア Web プロキシが適用されるセッションの詳細を表示します。

アクション

動作モードから、 および show services web-proxy session summary コマンドをshow services web-proxy session detail入力します。

意味

これらのサンプルでは、クライアント セッションとプロキシ セッションの詳細に注目してください。プロキシリクエストと動的Webアプリケーションも表示できます。