例:明示的な Web プロキシの設定
概要 この例を使用して、明示的な Web プロキシ機能を設定し、デバイスの設定を確認します。
読みやすさスコア |
フレッシュキンケイドのリーディンググレードレベル:11.3 |
読書の時間 |
30分 |
設定時間 |
1時間 |
前提条件の例
ハードウェア要件 |
ジュニパーネットワークス® SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール |
ソフトウェア要件 |
Junos OS リリース 23.4R1 以降 |
始める前に
利点 |
|
もっと知る |
|
体験 |
|
詳細情報 |
機能概要
使用技術 |
SSL プロキシー SSL プロキシー・プロファイル |
ユーザー識別 SRXシリーズファイアウォールは、ユーザー識別テーブル(UIT)でユーザーソースIDを検索し、ユーザーとロールの情報があれば取得します。 デバイスは、UIT 内のユーザーの IP アドレスとユーザー名を使用して認証エントリを作成します。 |
|
セキュリティ ポリシー 2つのセキュリティポリシー、および |
|
アクセスプロファイル 外部認証用にライトウェイト ディレクトリ アクセス プロトコル (LDAP) プロファイル |
|
明示的な Web プロキシ プロファイル 動的なアプリケーションと外部プロキシ サーバーの詳細を使用して、明示的な Web プロキシ プロファイル |
|
一次検証タスク |
|
トポロジの概要
この例では、ユーザー認証を使用して開発しました。階層を使用した [edit access profile]
ファイアウォール認証を通じてユーザーを構成します。外部 LDAP サーバーは、ユーザー情報を管理します。
この例では、クライアントがSRXシリーズファイアウォールを介してWebサーバーへのユーザー認証要求を開始します。SRXシリーズファイアウォール(以降、 ファイアウォールともいう)はリクエストを受信すると、指定されたIPアドレスに対する認証エントリーがあるかどうかを確認します。ファイアウォールにエントリーがない場合、ファイアウォールはIPベースのクエリーをJIMS(Juniper Identity Management Service)のアイデンティティマネージャーに送信して、ユーザーのID情報を取得します。
ファイアウォールがJIMSにクエリーを実行するには、ファイアウォールとJIMSの間にHTTPS接続を確立する必要があります。JIMS は、データの取り込み済み ID 管理認証テーブルを使用して、保護されたリソースへのアクセスを要求しているユーザーを認証します。ユーザーエントリーがそのテーブルで利用可能な場合、JIMSはユーザーのデバイスのIPアドレスでファイアウォールのクエリーに応答します。ユーザー情報が利用できない場合、JIMSは適切なエラーメッセージで応答します。
ユーザー認証情報がJIMSによって(Active Directory/ドメインコントローラ経由で)利用できない展開では、ファイアウォールは、ステートメントを使用して push-to-identity-management
ユーザー認証イベントをJIMSに送信し、JIMSにエントリがないがファイアウォールへの認証に成功したユーザーの認証エントリをJIMSサーバーにプッシュします。
コンポーネント |
役割 |
関数 |
---|---|---|
クライアント |
要求 Web サービス |
SRXシリーズファイアウォールを介して、WebサーバーとのHTTPSセッションを開始します。 |
SRX シリーズ ファイアウォール |
ジュニパーネットワークスのファイアウォール |
HTTPSクライアントとして動作し、ポート443でJIMSにHTTPSリクエストを送信します。 高度なクエリー機能は、ファイアウォールが認証テーブルに保管し、ユーザーの認証に使用するユーザー識別情報をJIMSに照会します。 SRXシリーズファイアウォールは、LDAPサーバーとのHTTPSセッションを開始してエントリーを認証します。LDAP サーバーに認証エントリーがない場合、LDAP サーバーは IP ベースの認証クエリーを JIMS サーバーに送信します。 |
LDAPサーバー |
多数のファイアウォールユーザーを管理するための外部サーバー。 |
LDAPはアクティブディレクトリサーバーです。 |
ジムス |
Active Directory ドメインからユーザー、デバイス、およびグループの情報の大規模なデータベースを収集および維持するスタンドアロンの Windows サービス アプリケーション。 |
JIMSは、ユーザーのアカウント属性とログインセッションをActive Directoryから取得し、その情報をファイアウォールに提供します。JIMSは、SRXシリーズファイアウォール向けに、さまざまな認証ソースからユーザーID情報を収集します。 |
ウェブサーバ |
Web サービス プロバイダ |
Web サーバーはクライアントの要求に応答します。 |
トポロジーの図
SRXシリーズファイアウォールでの明示的プロキシの設定
SRXシリーズファイアウォールの完全な設定例については、以下を参照してください。
関連項目
検証
この例の機能を検証するために使用されるコマンドのリスト show
。
コマンド | 検証タスク |
---|---|
show services user-identification authentication-table | 指定した認証ソースのユーザ ID 情報認証テーブルエントリを表示します。 |
ショーサービスウェブプロキシ | セキュア Web プロキシ セッションに関する情報を表示します。 |
ショーサービスSSLプロキシプロファイル | SSL プロキシー・プロファイルの詳細に関する情報を表示します。 |
明示的な Web プロキシの検証
目的
セキュリティで保護された明示的な Web プロキシ セッションに関する情報を確認します。
アクション
動作モードから、 を入力して show security policies explicit-proxy explicit-proxy-profile exp1 明示的な Web プロキシの詳細を表示します。
user@host> show security policies explicit-proxy explicit-proxy-profile exp1 Explicit Proxy Profile: exp1 Pre ID default policy: permit-all Default policy: deny-all Policy: expp1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Dynamic Applications: any Source identities: unauthenticated-user Source identity feeds: any Destination identity feeds: any Action: permit, firewall authentication Policy: expp2, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2, Log Profile ID: 0 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Dynamic Applications: any Source identities: any Source identity feeds: any Destination identity feeds: any Action: permit
user@host> show services web-proxy explicit-proxy statistics Explicit Proxy : Active Explicit HTTPS proxy sessions 0 Active Explicit HTTP proxy sessions 0 Total Explicit HTTPS proxy sessions 0 Total Explicit HTTP proxy sessions 0 Sessions Dropped due to rate limit 0 Listen port conflicts with system port 0
user@host> show security policies explicit-proxy hit-count Logical system: root-logical-system Index Explicit Proxy Profile Name Policy count Action 1 exp1 expp1 0 Permit 2 exp1 expp2 0 Permit Number of policy: 2
意味
サンプル出力は、明示的なプロキシ サービス セッションに許可されるトラフィックを示しています。
ID 管理の検証
目的
JIMSサーバーに送信されたバッチクエリとJIMSから受信した応答に関する統計データを検証します。
アクション
動作モードから、 と show services user-identification identity-management statusを入力しますshow services user-identification identity-management counters session。
user@host> show services user-identification identity-management counters session Primary server : Address : 10.209.96.248 Batch queries sent : 1316 Batch queries returned : 1316 Batch query error received : 1 Auth entry lookup queries sent : 1 Auth entry lookup queries returned : 1 Auth entry lookup query errors encountered : 0 Auth entry lookup time, average(ms) : 10 Auth entry lookup time, max(ms) : 20 Certificate revocation requests sent : 0 Certificate revocation responses received : 0 Certificates revoked : 0 Secondary server : Address : Not configured
user@host> show services user-identification identity-management status Primary server : Address : 10.209.96.248* Port : 443 Source : Automatic Interface : Automatic Routing-instance : Automatic Connection method : HTTPS Connection status : Online Last received status message : OK (200) Access token : 053d2b80-e264-46e8-8469-2da9f51d8b2f Token expire time : 2023-12-13 15:07:25 Secondary server : Address : Not configured
意味
サンプル出力は、JIMSサーバーがオンラインであることを示しています。出力には、SRXシリーズファイアウォールからのクエリーに応答しているサーバーも表示されます。
付録1: set
SRXシリーズファイアウォールのコマンド
set
すべてのデバイスでのコマンド出力:
set system services web-management http port 80 set system services web-management http interface ge-0/0/2 set system services web-management https pki-local-certificate server_nodomain set services ssl proxy profile pr1 root-ca MYCERT set services ssl proxy profile pr1 actions ignore-server-auth-failure set services web-proxy explicit-proxy profile exp1 listening-port 9443 set services web-proxy explicit-proxy profile exp1 ssl-proxy profile-name pr1 set services user-identification identity-management authentication-entry-timeout 25 set services user-identification identity-management invalid-authentication-entry-timeout 20 set services user-identification identity-management connection connect-method https set services user-identification identity-management connection port 443 set services user-identification identity-management connection primary address 10.209.96.248 set services user-identification identity-management connection primary client-id test set services user-identification identity-management connection primary client-secret "$9$sUYJD.mT3/t5Q" set services user-identification identity-management batch-query items-per-batch 100 set services user-identification identity-management batch-query query-interval 60 set security policies explicit-proxy profile exp1 policy expp1 match source-address any set security policies explicit-proxy profile exp1 policy expp1 match destination-address any set security policies explicit-proxy profile exp1 policy expp1 match application any set security policies explicit-proxy profile exp1 policy expp1 match source-identity unauthenticated-user set security policies explicit-proxy profile exp1 policy expp1 match dynamic-application any set security policies explicit-proxy profile exp1 policy expp1 then permit firewall-authentication user-firewall access-profile ldap_profile set security policies explicit-proxy profile exp1 policy expp1 then permit firewall-authentication user-firewall web-redirect set security policies explicit-proxy profile exp1 policy expp1 then permit firewall-authentication user-firewall web-redirect-to-https set security policies explicit-proxy profile exp1 policy expp1 then permit firewall-authentication push-to-identity-management set security policies explicit-proxy profile exp1 policy expp2 match source-address any set security policies explicit-proxy profile exp1 policy expp2 match destination-address any set security policies explicit-proxy profile exp1 policy expp2 match application any set security policies explicit-proxy profile exp1 policy expp2 match source-identity any set security policies explicit-proxy profile exp1 policy expp2 match dynamic-application any set security policies explicit-proxy profile exp1 policy expp2 then permit set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.0.3.100/24 web-authentication http set interfaces ge-0/0/2 unit 0 family inet address 192.0.3.100/24 web-authentication https set interfaces ge-0/0/2 unit 0 explicit-proxy profile exp1 set access firewall-authentication web-authentication default-profile ldap_profile set access profile ldap_profile authentication-order ldap set access profile ldap_profile ldap-options base-distinguished-name dc=juniper,dc=com set access profile ldap_profile ldap-options search search-filter CN= set access profile ldap_profile ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=juniper,DC=com set access profile ldap_profile ldap-options search admin-search password "$9$Bmf1hreK8x7Vrl24ZGiHkqmPQ36/t0OR" set access profile ldap_profile ldap-server 192.168.3.10
付録2: show
SRXシリーズファイアウォールでの設定出力
show
ファイアウォールでのコマンド出力:
設定モードから、 、 、 、 show access
、および show services user-identification identity-management
コマ ンドを入力してshow security policies
、設定show services ssl
を確認します。 show interfaces
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show access profile ldap_profile { authentication-order ldap; ldap-options { base-distinguished-name dc=juniper,dc=com; search { search-filter CN=; admin-search { distinguished-name CN=Administrator,CN=Users,DC=juniper,DC=com; password "$9$Bmf1hreK8x7Vrl24ZGiHkqmPQ36/t0OR"; ## SECRET-DATA } } } ldap-server { 192.168.3.10; } } firewall-authentication { web-authentication { default-profile ldap_profile; } }
user@host# show system services web-management { http { port 80; interface ge-0/0/2.0; } https { pki-local-certificate server_nodomain; } }
user@host# show services ssl proxy { profile pr1 { root-ca MYCERT; actions { ignore-server-auth-failure; log { all; } } } }
user@host# show services web-proxy explicit-proxy profile exp1 { listening-port 9443; ssl-proxy { profile-name pr1; } }
user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 192.0.3.100/24 { web-authentication { http; https; } } } explicit-proxy { profile exp1; } } } ge-0/0/1 { unit 0 { family inet { address 203.0.113.254/24; } } }
user@host# show security policies explicit-proxy { profile exp1 { policy expp1 { match { source-address any; destination-address any; application any; source-identity unauthenticated-user; dynamic-application any; } then { permit { firewall-authentication { user-firewall { ## ## Warning: access-profile must be defined or access to profile is disabled for tenants ## Warning: access-profile must be defined or access to profile is disabled for tenants ## access-profile ldap_profile; web-redirect; web-redirect-to-https; } push-to-identity-management; } } } } policy expp2 { match { source-address any; destination-address any; application any; source-identity any; dynamic-application any; } then { permit; } } } }
user@host# show services user-identification identity-management authentication-entry-timeout 25; invalid-authentication-entry-timeout 20; connection { connect-method https; port 443; primary { address 10.209.96.248; client-id test; client-secret "$9$sUYJD.mT3/t5Q"; ## SECRET-DATA } } batch-query { items-per-batch 100; query-interval 60; }