Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

SSL プロキシーの設定

SRXシリーズデバイスは、SSLフォワードプロキシとSSLリバースプロキシをサポートしています。

SSL フォワード プロキシーの設定

SSL プロキシー構成の概要

SSL フォワード プロキシーの設定 は、SSL プロキシーの構成方法の概要を表示します。SSL プロキシーの構成には、以下のものが含まれます。

  • ルート CA 証明書の設定

  • CA プロファイル グループの読み込み

  • SSLプロキシプロファイルを設定し、ルートCA証明書とCAプロファイルグループを関連付ける

  • 入力トラフィックの一致条件を定義してセキュリティ ポリシーを作成する

  • セキュリティー・ポリシーへの SSL プロキシー・プロファイルの適用

  • 許可リストや SSL プロキシ ロギングの作成などのオプションの手順

ルート CA 証明書の設定

CA は、ツリー構造の形式で複数の証明書を発行できます。ルート証明書はツリーの一番上の証明書で、その秘密鍵は他の証明書に sign 使用されます。ルート証明書のすぐ下のすべての証明書は、ルート証明書の署名または信頼性を継承します。これはアイデンティティ notarizing のようなものです。

ルート CA 証明書を構成するには、まずルート CA 証明書を取得し(自己署名証明書を生成するか、インポートすることによって)、SSL プロキシ プロファイルに適用します。Junos OS CLI を使用してルート CA 証明書を取得できます。

CLI を使用してルート CA 証明書を生成する

CLIで自己署名証明書を定義するには、以下の詳細を提供する必要があります。

  • 証明書識別子(前のステップで生成)

  • 証明書の完全修飾ドメイン名(FQDN)

  • 証明書を所有するエンティティの電子メール アドレス

  • 共通名と関係する組織

Junos OS CLI を使用してルート CA 証明書を生成します。

  1. 運用モードから、ローカルデジタル証明書の PKI 公開/秘密鍵ペアを生成します。

    ここでは、以下の組み合わせのいずれかを選択できます。

    • 1024 ビット(RSA/DSA のみ)

    • 2048 ビット(RSA/DSA のみ)

    • 256 ビット(ECDSA のみ)

    • 384 ビット(ECDSA のみ)

    • 4096 ビット(RSA/DSA のみ)

    • 521 ビット(ECDSA のみ)

    例:

    または
  2. 自己署名証明書を定義します。

    例:

    オプションを add-ca-constraint 設定することで、証明書が他の証明書の署名に使用できることを確認します。

  3. 設定モードから、SSL プロキシ プロファイルで読み込まれた証明書を root-ca として適用します。

    例:

  4. 信頼できる CA としてルート CA をクライアント ブラウザにインポートします。これは、クライアントブラウザがSRXシリーズデバイスによって署名された証明書を信頼するために必要です。 ルート CA 証明書のブラウザーへのインポートを参照してください

CA プロファイル グループの設定

CA プロファイルは、認証の証明書情報を定義します。これには、新しい証明書を生成する際にSSLプロキシが使用する公開キーが含まれています。Junos OSでは、CAプロファイルのグループを作成し、1つのアクションで複数の証明書を読み込み、グループ内のすべての証明書に関する情報を表示し、不要なCAグループを削除することができます。

信頼できる CA 証明書のリストを取得し、CA グループを定義し、CA グループを SSL プロキシー・プロファイルにアタッチすることで、CA プロファイルのグループを読み込むことができます。

  1. 次のいずれかの方法を使用して、信頼できる CA 証明書のリストを取得します。接続が開始されると、接続デバイス(Web ブラウザなど)は、信頼できる CA から証明書が発行されているかどうかチェックします。これらの証明書がなければ、ブラウザはほとんどのWebサイトのIDを検証して信頼できないサイトとしてマークすることはできません。

    • Junos OS は、システムで読み込み可能な信頼できる CA 証明書のデフォルト リストを提供します。Junos OS パッケージには、デフォルトの CA 証明書が PEM ファイル( trusted_CA.pem など)として含まれています。Junos OS パッケージをダウンロードすると、デフォルト証明書がシステムで使用できるようになります。

      動作モードから、デフォルトの信頼できる CA 証明書を読み込みます(グループ名は CA プロファイル グループを識別します)。

      例:

      この方法を使用することをお勧めします。

    • または、信頼できる CA 証明書の独自のリストを定義して、システムにインポートすることもできます。信頼できるCAのリストが単一のPEMファイル( IE-all.pemなど)に含まれており、PEMファイルを特定の場所( /var/tmpなど)に保存します。

      動作モードから、信頼できるリストをデバイスに読み込みます(グループ名はCAプロファイルグループを識別します)。

      例:

    • Mozilla(https://curl.haxx.se/docs/caextract.html)などの別のサードパーティーから最新のCAバンドルリストをダウンロードします。信頼できる認証局のリストは、時間の経過とともに変化する可能性があり、最新の CA バンドルを使用していることを確認してください。

    • 公開鍵基盤(PKI)を使用して、信頼できる独自の CA 証明書をインポートします。PKI は、信頼できる CA 証明書の有効性の確認と認証に役立ちます。信頼できる CA 証明書を含む CA プロファイル グループを作成し、デバイスにグループをインポートしてサーバー認証を行います。

  2. 信頼できる CA または信頼できる CA グループを SSL プロキシ プロファイルにアタッチします。すべての信頼できる CA または 1 つの信頼できる CA を一度に接続できます

    • すべての CA プロファイル グループをアタッチします。

    • 1 つの CA プロファイル グループをアタッチします(グループ名は CA プロファイル グループを識別します)。

CA プロファイル グループ内のすべての証明書に関する情報を簡単に表示できます。

CA プロファイル グループを削除できます。CA プロファイル グループを削除すると、そのグループに属するすべての証明書が削除されます。

ルート CA 証明書をブラウザーにインポートする

SSL プロキシ プロファイルで構成された root CA によって署名されたすべての証明書をブラウザーまたはシステムが自動的に信頼できるようにするには、プラットフォームまたはブラウザーに CA ルート証明書を信頼するよう指示する必要があります。

ルート CA 証明書をインポートするには、以下の手順に示します。

  1. 設定したルート CA の PEM フォーマット ファイルを生成します。
  2. ルート CA 証明書をブラウザーにインポートします。

    Internet Explorer(バージョン 8.0)から:

    1. [ツール] メニューから [ インターネット オプション] を選択します。
    2. [コンテンツ] タブで [ 証明書] をクリックします。
    3. [ 信頼されたルート証明機関 ] タブを選択し、 [ インポート] をクリックします。
    4. 証明書のインポート ウィザードで、必要なルート CA 証明書に移動して選択します。

    Firefox(バージョン 39.0)から:

    1. [ツール] メニューから [ オプション] を選択します。
    2. [詳細] メニューから [ 証明書 ] タブを選択し、 [ 証明書の表示] をクリックします。
    3. 「証明書マネージャー」ウィンドウで、「 権限 」タブを選択して「 インポート」をクリックします。
    4. 必要なルート CA 証明書に移動し、それを選択します。

    Google Chrome(45.0)から:

    1. [設定]メニューから、[ 詳細設定を表示]を選択します。
    2. [詳細] メニューから [ 証明書 ] タブを選択し、 [ 証明書の表示] をクリックします。
    3. [HTTPS/SSL] の下にある [ 証明書の管理] をクリックします。
    4. [証明書] ウィンドウで [ 信頼されたルート証明機関 ] を選択し、[ インポート] をクリックします。
    5. 証明書のインポート ウィザードで、必要なルート CA 証明書に移動して選択します。

セキュリティー・ポリシーへの SSL プロキシー・プロファイルの適用

SSLプロキシは、セキュリティポリシー内でアプリケーションサービスとして有効になっています。セキュリティポリシーでは、SSLプロキシを有効にするトラフィックを一致条件として指定し、SSLプロキシCAプロファイルをトラフィックに適用するよう指定します。 図1 は、SSLプロキシプロファイルとセキュリティポリシー設定のグラフィカルビューを表示しています。

図 1: セキュリティー ポリシーへの SSL プロキシー プロファイルの適用

セキュリティポリシーでSSLプロキシを有効にするには:

この例では、セキュリティ ゾーンの信頼と信頼をすでに作成し、trust ゾーンから untrust ゾーンへのトラフィックのセキュリティ ポリシーを作成していることを前提としています。

  1. セキュリティ ポリシーを作成し、ポリシーの一致条件を指定します。一致条件として、SSL プロキシを有効にするトラフィックを指定します。

    例:

  2. SSL プロキシー・プロファイルをセキュリティー・ポリシーに適用します。

SSL プロキシー・ロギングの設定

SSL プロキシーを構成する際に、一部またはすべてのログを受信するオプションを設定できます。SSL プロキシー・ログには、論理システム名、SSL プロキシー許可リスト、ポリシー情報、SSL プロキシー情報、およびエラー時のトラブルシューティングに役立つその他の情報が含まれています。

エラー、警告、情報イベントなどの特定の all イベントのログを設定できます。また、エラー発生後に許可リスト、ドロップ、無視、または許可されるセッションのログを設定することもできます。

オプションを使用 enable-flow-tracing して、デバッグ・トレースを有効にすることができます。

認証機関プロファイルの設定

認証機関(CA)プロファイル構成には、CA に固有の情報が含まれています。SRX シリーズ デバイスには、複数の CA プロファイルを設定できます。たとえば、組織A 用に 1 つ、組織B 用に 1 つのプロファイルがある場合があります。各プロファイルは、CA 証明書に関連付けられています。古い CA 証明書を削除せずに新しい CA 証明書を読み込む場合は、新しい CA プロファイル(Microsoft-2008 など)を作成します。特定のトポロジに対して、信頼できる 1 つの CA グループに複数の CA プロファイルをグループ化できます。

この例では、CA ID microsoft-2008 を使用して ca-profile-security と呼ばれる CA プロファイルを作成します。次に、CA プロファイルにプロキシ プロファイルを作成します。

  1. 設定モードから、証明書の読み込みに使用するCAプロファイルを設定します。

    例:

  2. 設定をコミットします。
  3. 動作モードから、PKI コマンドを使用して証明書を読み込みます。

    例:

  4. 設定モードから、失効チェックを無効にします(必要な場合)。

    例:

  5. 設定モードから、SSLプロキシプロファイルで、読み込まれた証明書を信頼できるCAとして設定します。

    例:

    メモ:

    1 つのプロファイルに対して、信頼できる複数の CA を設定できます。
  6. (オプション)信頼できる CA 証明書が複数ある場合、信頼できる CA を個別に指定する必要はありません。設定モードから次のコマンドを使用して、信頼できるCA証明書を読み込 all むことができます。
    メモ:

    または、信頼できる CA のセットをブラウザーから SRX シリーズ デバイスにインポートすることもできます。

指定された場所への証明書のエクスポート

PKI コマンドを使用して自己署名証明書を生成すると、新しく生成された証明書は事前定義された場所(var/db/certs/common/local)に保存されます。

以下のコマンドを使用して、証明書を特定の場所(デバイス内)にエクスポートします。証明書ID、ファイル名、およびファイル形式の種類(DER/PEM)を指定できます。

サーバー認証の無視

Junos OS では、サーバー認証を完全に無視するオプションを設定できます。認証を無視するようにシステムを構成した場合、SSL ハンドシェイク時にサーバー証明書の検証中に発生したエラーは無視されます。一般的に無視されるエラーには、CA 署名の検証不能、不正な証明書の有効期限などが含まれます。このオプションが設定されていない場合、サーバーが自己署名証明書を送信するすべてのセッションは、エラーが発生した場合に破棄されます。

このオプションを認証に使用することは、Webサイトがまったく認証されないという結果になるからです。ただし、このオプションを使用して、SSL セッションの切断の根本原因を効果的に特定することができます。

設定モードから、サーバー認証を無視するように指定します。

SSL リバース プロキシー

概要

サーバー保護のためのプロキシモデルの実装( リバースプロキシとも呼ばれる)は、SRXシリーズデバイスでサポートされており、より多くのプロトコルバージョンに対する改良されたハンドシェイクとサポートを提供します。SSL リバース プロキシーによって復号化されたトラフィックでレイヤー 7 サービス(アプリケーション セキュリティ、IPS、UTM、SKY ATP)を有効にできます。

Junos OSリリース15.1X49-D80および17.3R1以降、SSLリバースプロキシは、SRX5000シリーズ、SRX4100、SRX4200、SRX1500デバイスでサポートされています。

Junos OS リリース 15.1X49-D80 および 17.3R1 以降では、IDP SSL インスペクション機能を使用する代わりに、SSL リバース プロキシーと侵入検出および防御(IDP)を使用することをお勧めします。

Junos OS 15.1X49-D80および17.3R1以降、IDP SSL Inspectionは、すぐに削除されるのではなく、非推奨とされ、後方互換性を確保し、設定を新しい設定に適合させる機会を提供します。

#id-overview__rp-compare1は、 15.1X48-D80および17.3R1リリース後のSRXシリーズデバイスに適用される変更を提供します。

表 1:Junos OS リリース 15.1X49-D80 の前後のリバース プロキシーの比較

機能

15.1X49-D80 より前

15.1X49-D80および17.3R1以降

プロキシ モデル

タップ モードでのみ実行されます。SSL ハンドシェイクに参加する代わりに、SSL ハンドシェイクをリッスンし、セッション キーを計算してから、SSL トラフィックを復号化します。

SRXシリーズデバイス上のクライアントSSLを終了し、サーバーとの新しいSSL接続を開始します。クライアント/サーバーからのSSLトラフィックを復号化し、サーバー/クライアントに送信する前に(検査後)再度暗号化します。

プロトコルバージョン

TLSバージョン1.1および1.2をサポートしていません。

現在のすべてのプロトコル バージョンをサポートします。

鍵交換方法

  • RSAをサポート

  • DHE をサポートしていません。

  • RSAをサポート

  • DHE または ECDHE をサポート

エコー システム

IDPエンジンとその検出器と緊密に連携しています。

TCPプロキシの下に既存のSSLフォワードプロキシを使用します。

セキュリティ サービス

復号化されたSSLトラフィックはIDPでのみ検査できます。

フォワードプロキシと同様に、復号化されたSSLトラフィックはすべてのセキュリティサービスで利用できます。

サポートされている暗号方式

制限された暗号方式のセットがサポートされています。

一般的に使用されるすべての暗号方式がサポートされています。

SSL プロキシ プロファイルで または server-certificate のいずれかをroot-ca設定する必要があります。それ以外の場合、コミットチェックは失敗します。#id-overview__profile-type1を参照してください。

表 2: サポートされている SSL プロキシー構成

構成されたサーバー証明書

root-ca 設定済み

プロファイル タイプ

いいえ

いいえ

コミット チェックは失敗します。または root-caのいずれかをserver-certificate設定する必要があります。

はい

はい

コミット チェックは失敗します。同じプロファイルでの および root-ca の両方server-certificateの設定はサポートされていません。

いいえ

はい

フォワード プロキシー

はい

いいえ

リバース プロキシ

フォワード プロキシー プロファイルとリバース プロキシー プロファイルの複数のインスタンスの設定がサポートされています。ただし、特定のファイアウォール ポリシーでは、1 つのプロファイル(フォワード プロキシー プロファイルまたはリバース プロキシー プロファイル)しか設定できません。同じデバイス上でのフォワード プロキシーとリバース プロキシーの両方の設定もサポートされています。

以前のリバース プロキシの実装を、特定のファイアウォール ポリシーに対する新しいリバース プロキシの実装で設定することはできません。両方が設定されている場合、コミットチェック失敗メッセージが表示されます。

リバース プロキシを設定するための最小手順を以下に示します。

  1. CLI コマンド request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234を使用して、サーバー証明書とそのキーを SRX シリーズ デバイス証明書リポジトリーに読み込みます。例えば:
  2. CLI コマンドを使用して、サーバー証明書識別子を SSL プロキシー・プロファイルにアタッチします set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234。例えば

    user@host# セット サービス ssl プロキシ プロファイル サーバー保護プロファイル サーバー証明書 server2_cert_id

  3. 次の機能を使用します。 show services ssl CLI コマンドを使用して設定を検証します。例えば:

SSLフォワードプロキシとリバースプロキシでは、ファイアウォールルールレベルでプロファイルを設定する必要があります。さらに、リバース プロキシの秘密鍵を使用してサーバー証明書を構成する必要もあります。SSL プロキシーは、SSL ハンドシェイク中に、サーバーの秘密鍵ハッシュ・テーブル・データベース内の一致するサーバー・秘密鍵のルックアップを実行します。ルックアップに成功すると、ハンドシェイクは続行されます。それ以外の場合、SSL プロキシは手ブレを終了します。リバース プロキシーは、サーバー証明書を禁止しません。変更せずに、実際のサーバー証明書/チェーンをクライアントに転送します。サーバー証明書の傍受は、フォワード プロキシーでのみ行われます。

次に、フォワード およびリバース プロキシー プロファイルの設定例を示します。

SSL リバース プロキシーの設定

この例では、サーバー保護を有効にするようにリバース プロキシを構成する方法を示します。サーバー保護の場合は、さらに、秘密鍵を使用したサーバー証明書を設定する必要があります。

リバース プロキシーは、サーバーの詳細をクライアントから非表示にして、さらにセキュリティー レイヤーを追加してサーバーを保護します。

SSL リバース プロキシーを設定するには、以下の手順に基にする必要があります。

  • サーバー証明書とその鍵を SRX シリーズ デバイスの証明書リポジトリに読み込みます。

  • サーバー証明書識別子をSSLプロキシプロファイルにアタッチします。

  • SSL プロキシー・プロファイルをセキュリティー・ポリシー内のアプリケーション・サービスとして適用します。

SSLリバースプロキシを設定するには:

  1. PKI メモリ内の SSL プロキシ プロファイルの署名証明書と対応するキーを読み込みます。
  2. サーバー証明書を SSL プロキシー・プロファイルにアタッチします。
  3. セキュリティ ポリシーを作成し、ポリシーの一致条件を指定します。一致条件として、SSL プロキシを有効にするトラフィックを指定します。
  4. SSL プロキシー・プロファイルをセキュリティー・ポリシーに適用します。この例では、要件に従ってセキュリティ ゾーンを作成することを想定しています。

デバイスでのSSLリバースプロキシー設定の検証

目的

SRX シリーズ デバイスでの SSL リバース プロキシー統計の表示。

アクション

コマンドを使用すると、SSLプロキシの統計情報を show services ssl proxy statistics 表示できます。

UTM を使用した SSL プロキシーの設定

SRX シリーズ デバイスは、クライアント保護(フォワード プロキシー)とサーバー保護(リバース プロキシー)をサポートします。UTM(統合脅威管理)を有効にして、フォワードプロキシとリバースプロキシのSSLプロキシプロファイルを設定できます。

UTM を使用した SSL フォワード プロキシーの設定

この手順では、UTM で SSL フォワード プロキシー プロファイルを設定します。UTMを設定すると、SSLプロキシは、クライアントからSSLセッションを終了し、サーバーへの新しいSSLセッションを確立することでSSLサーバーとして機能します。SRXシリーズデバイスは、すべてのSSLプロキシトラフィックを復号化してから再暗号化します。UTMはSSLプロキシから復号化されたコンテンツを使用できます。

ローカル証明書を root-ca として生成します。

  1. 運用モードから、ローカルデジタル証明書のキーペアを生成します。
  2. 上記で生成したキーペアを使用してローカル証明書を生成します。
  3. 設定モードから、SSL プロキシ プロファイルで読み込まれた証明書を root-ca として適用します。
  4. SSLプロファイルとUTMポリシーをセキュリティポリシーにアタッチします。

UTM を使用した SSL リバース プロキシーの設定

この手順では、UTMでSSLリバースプロキシプロファイルを設定します。

  1. サーバー証明書とそのキーを SRX シリーズ デバイス証明書リポジトリに読み込みます。
  2. 設定モードから、サーバー証明書識別子をSSLプロキシプロファイルにアタッチします。
  3. untrustゾーンからtrustゾーンへのトラフィックのセキュリティポリシーにSSLプロファイルとUTMポリシーをアタッチします。

「」も参照

SSL プロキシの免除された宛先の許可リストの作成

SSL 暗号化と復号化は、SRX シリーズ デバイスのメモリ リソースを消費する場合があります。これを制限するために、使い慣れた信頼できるサーバーやドメインとトランザクションを行うセッションなど、一部のセッションに対して SSL プロキシー処理を選択的にバイパスできます。また、法的要件により、金融および銀行サイトとのセッションは免除されます。

セッションを SSL プロキシから免除するには、サーバーの IP アドレスまたはドメイン名を追加して許可リストを作成できます。許可リストには、SSL プロキシ処理の対象から免除したいアドレスが含まれます。

許可リストを作成するには、次の手順を使用します。

  • グローバル アドレス帳に IP アドレスとドメイン名を指定します。

  • SSL プロキシー・プロファイルのグローバル・アドレス・ブックを参照してください。

グローバル アドレス 帳では、以下のタイプの IP アドレスを設定できます。

  • IPv4アドレス(プレーンテキスト)。例えば:

  • IPv4 アドレス範囲。例えば:

  • IPv4 ワイルドカード。例えば:

  • DNS名。例えば:

  • IPv6 アドレス。例えば:

許可リストは、以下のタイプの IP アドレスをサポートしていません。

  • 変換された IP アドレス。セッションは、変換された IP アドレスではなく、実際の IP アドレスに基づいて許可リストに表示されます。このため、SSL プロキシ プロファイルの許可リスト設定では、変換された IP アドレスではなく、実際の IP アドレスを指定する必要があります。

  • 連続しないネットマスク。例えば:

    • IP アドレス -203.0.113.0 およびマスク 255.255.255.0(203.0.113.0/24)がサポートされています。

    • IP アドレス - 203.0.113.9 およびマスク 255.0.255.0 はサポートされていません。

次の例では、SSL プロキシ プロファイルで許可リストを使用する方法を示します。

この例では、すべてのセッションを www.mycompany.com.このためには、まずアドレス帳でドメインを指定し、次にSSLプロキシプロファイルでアドレスを設定します。

  1. アドレス帳でドメインを設定します。
  2. SSL プロキシ プロファイルでグローバル アドレス帳アドレスを指定します。

SSL プロキシの免除 URL カテゴリーの許可リストの作成

SRX シリーズ デバイスで SSL インスペクションから免除されるように、UTM モジュールでサポートされる URL カテゴリを設定できます。SRXシリーズデバイスは、UTMからURLカテゴリを使用するために、SSLプロキシプロファイルをEWF機能と統合します。これで、SSL プロキシ プロファイルの URL カテゴリのリストを許可リストとしてアドレス帳と共に設定できます。このリストは、UTMでサポートされている定義済みのURLカテゴリまたはカスタムURLカテゴリのセットから設定できます。

セキュリティ デバイスは、UTM モジュールによって抽出された SNI(サーバー名表示)フィールドを使用して URL カテゴリを決定します。SSL プロキシーはこの情報を使用して、受け入れるか、プロキシーを行うか、セッションを無視するかを決定します。

この機能は、SRX340、SRX345、SRX5400、SRX5600、SRX5800、vSRXのインスタンスでサポートされています。

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、SSL プロキシ許可リスト機能には、UTM でサポートされる URL カテゴリが含まれています。

Junos OS Release 17.4R1以降、SSLプロキシの許可リスト機能により、UTMがサポートするカスタムURLカテゴリーへのサポートが拡張されました。

以下の例は、SSL プロキシー・プロファイルで URL カテゴリーを構成する方法を示しています。

免除された URL カテゴリーの許可リストの作成

SSL プロキシー・プロファイルで事前定義された URL カテゴリーを構成するには、以下のステップを使用します。

  1. 事前定義された URL カテゴリは UTM によって異なります。SSL プロキシで URL ベースの許可リストを有効にするには、以下の基本的な URL 構成が必要です。
  2. SSL プロキシ プロファイルで定義済み URL カテゴリを指定します。この例では、URL カテゴリ Enhanced_Financial_Data_and_Servicesを使用しています。
  3. 一致条件を指定してセキュリティポリシーを作成し、SSL許可リストでURLカテゴリを使用するUTMポリシーをセキュリティポリシーにアタッチします。

免除されたカスタム URL カテゴリーの許可リストの作成

SSL プロキシー・プロファイルでカスタム URL カテゴリーを構成するには、以下のステップを使用します。

  1. カスタム URL カテゴリを作成します。 

    [edit]
user@host# set security utm custom-objects url-pattern URL-1 value www.example.com 
user@host# set security utm custom-objects custom-url-category CATEGORY-1 value URL-1
user@host#  set security utm feature-profile web-filtering juniper-local profile PROFILE-1 category CATEGORY-1 action permit

  2. WebフィルタリングHTTPプロトコルのUTMポリシーを設定し、前のステップで作成したプロファイルをUTMポリシーに関連付けます。
  3. SSL プロキシー・プロファイルで前のステップで作成したカスタム URL カテゴリーを指定します。
  4. 一致条件を指定してセキュリティポリシーを作成し、SSL許可リストでURLカテゴリを使用するUTMポリシーをセキュリティポリシーにアタッチします。

関連ドキュメント

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS Release 17.4R1以降、SSLプロキシの許可リスト機能により、UTMがサポートするカスタムURLカテゴリーへのサポートが拡張されました。
15.1X49-D80
Junos OS リリース 15.1X49-D80 および 17.3R1 以降、SSL リバース プロキシーは SRX5000 シリーズ、SRX4100、SRX4200、SRX1500 デバイスでサポートされています。
15.1X49-D80
Junos OS リリース 15.1X49-D80 および 17.3R1 以降では、IDP SSL インスペクション機能を使用する代わりに、SSL リバース プロキシーと侵入検出および防御(IDP)を使用することをお勧めします。
15.1X49-D80
Junos OS 15.1X49-D80および17.3R1以降、IDP SSL Inspectionは、すぐに削除されるのではなく、非推奨とされ、後方互換性を確保し、設定を新しい設定に適合させる機会を提供します。
15.1X49-D80
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、SSL プロキシ許可リスト機能には、UTM でサポートされる URL カテゴリが含まれています。