Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:明示的な Web プロキシの設定

概要 この例を使用して、明示的な Web プロキシ機能を設定し、デバイスの設定を確認します。

ヒント:
表 1: 読みやすさスコアと時間の推定値

読みやすさスコア

フレッシュキンケイドのリーディンググレードレベル:11.3

読書の時間

30分

設定時間

1時間

前提条件の例

ハードウェア要件

ジュニパーネットワークス® SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール

ソフトウェア要件

Junos OS リリース 23.4R1 以降

始める前に

利点

  • ネットワークの保護:SRXシリーズファイアウォールインターフェイスに設定された明示的なWebプロキシは、クライアントと送信先Webサーバー間のインバウンドおよびアウトバウンドトラフィックを制御およびフィルタリングします。クライアント Web サーバーのトラフィックは、IPv4 および IPv6 パケットの HTTP トラフィックと HTTPS トラフィックで構成されます。

  • クライアントと宛先 Web サーバー間の仲介役として機能する: 明示的な Web プロキシは、クライアントのドメイン ネーム システム (DNS) 解決を実行します。クライアントとSRXシリーズファイアウォール間と、ファイアウォールと実際の宛先サーバー間の2つのセッションを確立します。このようにして、指定された宛先サーバーにトラフィックを誘導し、クライアントに代わってサーバーから応答を返します。

もっと知る

明示的な Web プロキシ パススルー認証 およびユーザー ファイアウォール

体験

vLabサンドボックス:ゾーン/ポリシー

詳細情報

ジュニパーアイデンティティ管理サービス

機能概要

表 2: 明示的 Web プロキシの機能概要

使用技術

SSL プロキシー

SSL プロキシー・プロファイル pr1 は、Web ブラウザーが Web サーバーの ID を検証できるようにすることで、サーバー認証をサポートします。

ユーザー識別

SRXシリーズファイアウォールは、ユーザー識別テーブル(UIT)でユーザーソースIDを検索し、ユーザーとロールの情報があれば取得します。

デバイスは、UIT 内のユーザーの IP アドレスとユーザー名を使用して認証エントリを作成します。

セキュリティ ポリシー

2つのセキュリティポリシー、および expp2は、ユーザーベースおよびロールベースのセキュリティポリシーを適用して、expp1ユーザーを個別にまたはグループで制限または許可します。ポリシーでは、異なる方法を使用してユーザーを認証します。

アクセスプロファイル

外部認証用にライトウェイト ディレクトリ アクセス プロトコル (LDAP) プロファイル ldap_profile を構成します。

明示的な Web プロキシ プロファイル

動的なアプリケーションと外部プロキシ サーバーの詳細を使用して、明示的な Web プロキシ プロファイル exp1 を構成します。このプロファイルをセキュリティポリシー expp1 にアタッチし expp2 、許可されたトラフィックにプロファイルを適用します。

一次検証タスク

  • JIMSの接続状態を確認します。

  • ファイアウォール認証後にユーザーエントリが利用可能であることを確認します。

トポロジの概要

この例では、ユーザー認証を使用して開発しました。階層を使用した [edit access profile] ファイアウォール認証を通じてユーザーを構成します。外部 LDAP サーバーは、ユーザー情報を管理します。

この例では、クライアントがSRXシリーズファイアウォールを介してWebサーバーへのユーザー認証要求を開始します。SRXシリーズファイアウォール(以降、 ファイアウォールともいう)はリクエストを受信すると、指定されたIPアドレスに対する認証エントリーがあるかどうかを確認します。ファイアウォールにエントリーがない場合、ファイアウォールはIPベースのクエリーをJIMS(Juniper Identity Management Service)のアイデンティティマネージャーに送信して、ユーザーのID情報を取得します。

ファイアウォールがJIMSにクエリーを実行するには、ファイアウォールとJIMSの間にHTTPS接続を確立する必要があります。JIMS は、データの取り込み済み ID 管理認証テーブルを使用して、保護されたリソースへのアクセスを要求しているユーザーを認証します。ユーザーエントリーがそのテーブルで利用可能な場合、JIMSはユーザーのデバイスのIPアドレスでファイアウォールのクエリーに応答します。ユーザー情報が利用できない場合、JIMSは適切なエラーメッセージで応答します。

ユーザー認証情報がJIMSによって(Active Directory/ドメインコントローラ経由で)利用できない展開では、ファイアウォールは、ステートメントを使用して push-to-identity-management ユーザー認証イベントをJIMSに送信し、JIMSにエントリがないがファイアウォールへの認証に成功したユーザーの認証エントリをJIMSサーバーにプッシュします。

表 3: トポロジ コンポーネント

コンポーネント

役割

関数

クライアント

要求 Web サービス

SRXシリーズファイアウォールを介して、WebサーバーとのHTTPSセッションを開始します。

SRX シリーズ ファイアウォール

ジュニパーネットワークスのファイアウォール

HTTPSクライアントとして動作し、ポート443でJIMSにHTTPSリクエストを送信します。

高度なクエリー機能は、ファイアウォールが認証テーブルに保管し、ユーザーの認証に使用するユーザー識別情報をJIMSに照会します。

SRXシリーズファイアウォールは、LDAPサーバーとのHTTPSセッションを開始してエントリーを認証します。LDAP サーバーに認証エントリーがない場合、LDAP サーバーは IP ベースの認証クエリーを JIMS サーバーに送信します。

LDAPサーバー

多数のファイアウォールユーザーを管理するための外部サーバー。

LDAPはアクティブディレクトリサーバーです。

ジムス

Active Directory ドメインからユーザー、デバイス、およびグループの情報の大規模なデータベースを収集および維持するスタンドアロンの Windows サービス アプリケーション。

JIMSは、ユーザーのアカウント属性とログインセッションをActive Directoryから取得し、その情報をファイアウォールに提供します。JIMSは、SRXシリーズファイアウォール向けに、さまざまな認証ソースからユーザーID情報を収集します。

ウェブサーバ

Web サービス プロバイダ

Web サーバーはクライアントの要求に応答します。

トポロジーの図

図 1: 明示的な Web プロキシ Explicit Web Proxy

SRXシリーズファイアウォールでの明示的プロキシの設定

メモ:

SRXシリーズファイアウォールの完全な設定例については、以下を参照してください。

  1. ファイアウォールでHTTPプロセス(デーモン)をアクティブにします。
  2. セキュア・ソケット・レイヤー (SSL) サポート・サービス・プロキシー・プロファイル を構成して、ブラウザー・トラフィックを許可し、pr1サーバー認証を無視します。
    認証を無視するようにファイアウォールを構成すると、ファイアウォールは、SSL ハンドシェーク時のサーバーの検証中に発生したエラーをすべて無視します。
  3. 明示的な Web プロキシを構成します。SSL プロキシー プロファイル 、 pr1を明示的な Web プロキシ プロファイル に適用して、exp1トラフィックを許可します。ファイアウォールは、すべてのSSLプロキシトラフィックを復号化してから再暗号化します。
  4. 高度なクエリ要求の認証ソースとして JIMS を構成します。invalid-authentication-entry-timeoutこの設定を使用して、認証テーブル内の無効なユーザー認証エントリが、ユーザーを検証する前に期限切れにならないようにします。
  5. ファイアウォールが個々のユーザークエリを送信するまでの遅延時間(秒単位)を設定します。
  6. 外部認証用のLDAPサーバーを指定し、プロファイル内で構成しますldap-options
  7. ファイアウォールの種類と、認証設定が定義されている既定のプロファイル名を構成します。
  8. 明示的な Web プロキシ トラフィックを制御し、expp1ユーザー情報を JIMS に追加するセキュリティ ポリシー を定義します。
  9. セキュリティポリシーを設定し、それを適用して、expp2任意の動的アプリケーションからのトラフィックを許可します。
  10. 明示的な Web プロキシおよび Web 認証を適用するようにインターフェイスを設定します。ge-0/0/2インターフェイスでWeb認証と明示的Webプロキシを有効にします。

検証

この例の機能を検証するために使用されるコマンドのリスト show

コマンド 検証タスク
show services user-identification authentication-table

指定した認証ソースのユーザ ID 情報認証テーブルエントリを表示します。

ショーサービスウェブプロキシ

セキュア Web プロキシ セッションに関する情報を表示します。

ショーサービスSSLプロキシプロファイル

SSL プロキシー・プロファイルの詳細に関する情報を表示します。

明示的な Web プロキシの検証

目的

セキュリティで保護された明示的な Web プロキシ セッションに関する情報を確認します。

アクション

動作モードから、 を入力して show security policies explicit-proxy explicit-proxy-profile exp1 明示的な Web プロキシの詳細を表示します。

意味

サンプル出力は、明示的なプロキシ サービス セッションに許可されるトラフィックを示しています。

ID 管理の検証

目的

JIMSサーバーに送信されたバッチクエリとJIMSから受信した応答に関する統計データを検証します。

アクション

動作モードから、 と show services user-identification identity-management statusを入力しますshow services user-identification identity-management counters session

意味

サンプル出力は、JIMSサーバーがオンラインであることを示しています。出力には、SRXシリーズファイアウォールからのクエリーに応答しているサーバーも表示されます。

付録1: set SRXシリーズファイアウォールのコマンド

setすべてのデバイスでのコマンド出力:

付録2: show SRXシリーズファイアウォールでの設定出力

show ファイアウォールでのコマンド出力:

設定モードから、 、 、 、 show access、および show services user-identification identity-management コマ ンドを入力してshow security policies、設定show services sslを確認します。 show interfaces出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。