明示的 Web プロキシ
明示的 Web プロキシ
明示的プロキシは、任意のクライアントデバイスからSRXシリーズにトラフィックを誘導する方法を提供します。SRXシリーズファイアウォールは、クライアントからの接続を受信し、DNSを解決し、指定された宛先サーバーに接続を転送し、クライアントに代わってサーバーから応答を取得します。このような構成では、ファイアウォールはクライアントとサーバー間の仲介役として機能します。ここでは、クライアントとサーバー間のすべての通信は、プロキシサーバーとして構成されているファイアウォールを通過します。
SRXシリーズのファイアウォールインターフェイスを、IPv4およびIPv6のHTTPおよびHTTPSトラフィックにプロキシを適用するための明示的なWebプロキシとして設定できます。
明示的なプロキシを展開するには、SRXファイアウォールにリクエストを送信するようにクライアントデバイスでブラウザーの設定を手動で構成します。ほとんどの標準ブラウザでは、プロキシ アドレスとポートを指定できます。
SRXシリーズファイアウォールは、アクティブディレクトリ、ID管理サーバー、LDAPサーバー、物理的なSRXシリーズファイアウォール、およびユーザーがオンサイトで利用可能なオンプレミスインフラストラクチャ方式の明示的プロキシをサポートします。
- 明示的プロキシはどのように機能しますか?
- 利点
- SRXシリーズファイアウォールで明示的プロキシを設定する手順
- 明示的な Web プロキシに対するセキュリティ ポリシーのサポート
- 明示的プロキシプロファイルポリシーの設定
明示的プロキシはどのように機能しますか?
例を考えてみましょう。 図 1 では、クライアントが HTTP 接続を開始して www.example.com に到達しています。クライアントデバイスはまず、(10.4.0.254およびポート8080)で明示的プロキシとして機能するSRXシリーズに接続します。
![Explicit Web Proxy](/documentation/us/en/software/junos/security-policies/Other/explicit-web-proxy-sample-image.png)
クライアントネットワークは、IPアドレス10.4.0.254を持つge-0/0/1インターフェイス上のSRXシリーズファイアウォールに接続します。SRXシリーズは、IPアドレス10.5.0.254のインターフェイスge-0/0/2を使用してインターネットに接続します。
SRXシリーズは、クライアントブラウザによって開始されるセッションごとに、2つのセッションを作成します。
S1: クライアント ブラウザーから明示的な Web プロキシへのセッション
S2: 明示的な Web プロキシから実際の宛先サーバーへのセッション。
表 1 に、明示的な Web プロキシ セッションの詳細を示します。
セッションタイプ | ソースIP/ポート | 宛先IP/ポートポリシー | コメント | |
---|---|---|---|---|
クライアントからSRXシリーズ(S1) | クライアント IP / 動的ポート範囲 | SRXシリーズインターフェイスIP(10.4.0.254)/固定ポート(8080) | セキュリティポリシー/統一ポリシー(SRXシリーズで明示的に設定) | クライアントトラフィックは、明示的プロキシプロファイルが設定されているSRXシリーズインターフェイスに直接送信されます。 |
SRXシリーズから実際の宛先サーバー(S2)へ | SRXシリーズのエグレスインターフェイスIP(10.5.0.254)/ダイナミックポート範囲 | DNS(203.0.113.0)または明示的なプロキシ要求で解決されたエンドサーバー | S1 から暗黙的に継承 | SRXシリーズは、実サーバー(www.example.com)と接続を確立します。 |
利点
- 明示的な Web プロキシは、インバウンドとアウトバウンドのトラフィックを制御およびフィルタリングすることでネットワークをセキュリティで保護します。
- 明示的な Web プロキシは、クライアントに代わって DNS 解決を実行します。
SRXシリーズファイアウォールで明示的プロキシを設定する手順
ネットワークへの接続用の明示的なプロキシを管理するには、次のことを行う必要があります。
- インターフェイスで Web 管理サービスを有効にし、Web 認証機能を設定します
- ネットワークに接続する前に、ユーザーに認証を強制します。明示的なプロキシで認証を適用すると、認証されていない接続はファイアウォール認証ページにリダイレクトされます。
- 明示的なプロキシ プロファイルを構成します。
- インターフェイスに明示的プロキシを設定します。このインターフェイスは、クライアント ネットワークに接続する必要があります。クライアントブラウザは、このIPアドレスを使用して、リクエストをSRXシリーズデバイスに転送します。インターフェイス内の特定の IP アドレスに複数の明示的プロキシ プロファイルを設定し、アタッチすることができます。ただし、明示的なプロキシ プロファイル間でポートが重複しないようにする必要があります。
- セキュリティ ポリシーを使用して、明示的な Web プロキシ トラフィックを制御します。
- SSL プロキシ サービスを明示的プロキシ ポリシーにアタッチします。
- 明示的プロキシのデフォルトポリシーを設定します。
明示的な Web プロキシに対するセキュリティ ポリシーのサポート
明示的なプロキシのトラフィックを管理するには、セキュリティ ポリシーを設定し、適用する必要があります。明示的なプロキシ プロファイルには、一連の一意のセキュリティ ポリシーまたは統合ポリシーが必要です。ファイアウォールは、イングレスインターフェイスとポートの組み合わせに基づいて、ポリシー検索に使用するプロファイルを決定します。ファイアウォールは、フローの明示的なプロキシ プロファイルを識別すると、ポリシー ルックアップを実行します。
SRXシリーズファイアウォールは、ポリシールックアップに次のシーケンスを使用します。
- 送信元 IP アドレス、送信元ポート、プロトコル、送信元 ID
- DNS ベースの宛先 IP 解決
- URL カテゴリの検出
- 動的レイヤー 7 アプリケーション一致
- DNS ベースの宛先解決済み IP レピュテーション
- ハードコードされた宛先 IP アドレスまたはハードコードされた宛先 IP アドレスのレピュテーション
明示的プロキシプロファイルポリシーの設定
明示的なプロキシプロファイルルールベースは、以下のステートメントを使用して設定できます。
[edit] user@host# set security policies explicit-proxy profile <profile-name> policy
このポリシーは、グローバル ポリシーと同様に、セキュリティ ゾーンを必要としないことがわかります。
明示的プロキシ プロファイルを含むセキュリティ ポリシーをアタッチするには、ポリシー設定に記載されているプロファイル名が、web-proxy services(set services web-proxy explicit-proxy profile <profile-name>
)で設定された明示的プロキシ プロファイルの名前と一致する必要があります。
例:
"profile-site-A" という名前の明示的なプロキシ プロファイルのポリシーを作成します。
[edit] user@host# set services web-proxy explicit-proxy profile profile-site-A
明示的プロファイルポリシーでも同じ名前が使用されていることを確認します。
[edit] user@host# set security policies explicit-proxy profile profile-site-A policy
制限
明示的なプロキシ プロファイル ポリシーの場合、一致条件は以下をサポートしません。
- 送信元ゾーンまたは宛先ゾーン
- 送信元および宛先レイヤー 3 VPN VRF グループ
試合後のアプリケーションサービスでは、以下をサポートしていません。
- セキュア Web プロキシ
- GPRS トンネリング プロトコル
- GPRS ストリーム制御トランスポートプロトコル(SCTP)
- ポリシーの統合型アクセス制御適用(UAC)
- WANアクセラレーション(レガシーWX)
- レガシー侵入検出および防止。
- ティッカー
明示的プロキシのデフォルトポリシー
トラフィックが明示的プロキシ プロファイルのいずれかに一致するが、明示的プロキシ プロファイルの下のどのポリシーにも一致しない場合、ファイアウォールはデフォルトのポリシー アクションを適用します。明示的プロキシープロファイルでデフォルトポリシーを設定できます。
特定のトラフィックに一致する明示的なプロキシ プロファイルが見つからない場合、ファイアウォールは構成されたゾーン ポリシーとグローバル ポリシーに基づいてポリシー検索を実行します。
明示的プロキシー・プロファイルごとに構成できるデフォルト・ポリシーは1つだけです。