Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL リバース プロキシの概要

リバースプロキシは、パブリックネットワークからアクセスできる一般的なタイプのプロキシサーバーです。リバース プロキシは Web サービスによって管理され、パブリック インターネットからクライアントによってアクセスされます。

SSL リバースプロキシを構成して、悪意のあるクライアントからのクライアント間攻撃から SSL 対応 Web サーバーを保護できます。WebサーバーのSSLプライベートキーをSRXシリーズデバイスにロードすることで機能し、自分では管理していないクライアントからの脅威からWebサーバーを保護します。たとえば、インターネット上の外部ユーザーが企業の Web サーバーにアクセスしようとすると、Web サーバーへの HTTPS 接続が開始されます。SSLリバースプロキシプロファイルには秘密鍵の詳細が含まれており、トラフィックを傍受し、復号化されたペイロード情報をセキュリティポリシーで有効になっている他のL7サービス(攻撃検出用のIDPなど)に送信します。

フォワードプロキシと同様に、リバースプロキシでは、ファイアウォールルールレベルでプロファイルを構成する必要があります。さらに、リバース プロキシ用の秘密キーを使用してサーバー証明書を構成する必要もあります。SSL ハンドシェイク中に、SSL プロキシーは、サーバー秘密鍵ハッシュ・テーブル・データベース内の一致するサーバー秘密鍵の検索を実行します。検索が成功すると、ハンドシェークは続行されます。それ以外の場合、SSL プロキシはハンドシェイクを終了します。リバース プロキシは、サーバー証明書をインターセプトしません。実際のサーバー証明書/チェーンを変更せずにそのままクライアントに転送します。サーバー証明書のインターセプトは、フォワードプロキシでのみ発生します。

図 1 は、SSL リバース プロキシが暗号化されたペイロードに対してどのように動作するかを示しています。アプリケーションファイアウォール(AppFW)、侵入防御システム(IPS)、またはアプリケーショントラッキング(AppTrack)が設定されている場合、SSL リバースプロキシはクライアントからの SSL セッションを終了する SSL サーバーとして機能し、サーバーに対して新しい SSL セッションが確立されます。デバイスは、すべての SSL リバース プロキシ トラフィックを復号化し、再暗号化します。SSL リバース プロキシは、次のサービスを使用します。

  • クライアント側の SSL-T-SSL ターミネータ

  • サーバー側の SSL-I-SSL イニシエーター

  • 設定された AppFW、IPS、または AppTrack サービスは、復号化された SSL セッションを使用します

図1:暗号化されたペイロード SSL Reverse Proxy on an Encrypted Payload上のSSLリバースプロキシ

リバースプロキシの利点

  • リバースプロキシは、オリジンサーバーの存在と特性を隠すことができます。

  • リバース プロキシは、着信要求からの負荷を複数のサーバーに分散し、各サーバーが独自のアプリケーション領域をサポートできます。

関連ドキュメント