Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL リバース プロキシの概要

リバース プロキシは、パブリック ネットワークからアクセスできる一般的なタイプのプロキシ サーバーです。リバース プロキシは Web サービスによって管理され、パブリック インターネットからクライアントによってアクセスされます。

SSL リバースプロキシーを構成して、悪意のあるクライアントからのクライアント間攻撃から SSL 対応 Web サーバーを保護できます。この機能は、WebサーバーのSSL秘密鍵をSRXシリーズデバイスにロードすることで、制御していないクライアントからの脅威からWebサーバーを保護することで実現します。たとえば、インターネット上の外部ユーザーが企業のWebサーバーにアクセスしようとすると、WebサーバーへのHTTPS接続が開始されます。SSLリバースプロキシプロファイルには秘密キーの詳細があり、トラフィックを傍受し、復号化されたペイロード情報をセキュリティポリシーで有効になっている他のL7サービス(攻撃検出用のIDPなど)に送信します。

フォワード プロキシと同様に、リバース プロキシでは、ルールオプションは、ファイアウォールルール レベルでプロファイルを構成する必要があります。さらに、リバース プロキシ用の秘密キーを使用してサーバー証明書を構成する必要もあります。SSL ハンドシェーク中に、SSL プロキシーは、そのサーバー秘密鍵ハッシュ・テーブル・データベース内で一致するサーバー秘密鍵の検索を実行します。ルックアップが成功すると、ハンドシェイクが続行されます。それ以外の場合、SSL プロキシーはハンドシェイクを終了します。リバース プロキシはサーバー証明書をインターセプトしません。実際のサーバー証明書/チェーンを変更せずに、そのままクライアントに転送します。サーバー証明書の傍受は、フォワード プロキシでのみ発生します。

図 1 は、暗号化されたペイロードに対して SSL リバース プロキシがどのように機能するかを示しています。アプリケーション ファイアウォール(AppFW)、侵入防御システム(IPS)、またはアプリケーション トラッキング(AppTrack)が設定されている場合、SSL リバース プロキシはクライアントからの SSL セッションを終了する SSL サーバーとして機能し、サーバーへの新しい SSL セッションが確立されます。デバイスは、すべての SSL リバース プロキシ トラフィックを復号化してから、再暗号化します。SSL リバース プロキシは、次のサービスを使用します。

  • クライアント側のSSL-T-SSL ターミネーター

  • サーバー側のSSL-I-SSL イニシエータ

  • 設定された AppFW、IPS、または AppTrack サービスは、復号化された SSL セッションを使用します

図1:暗号化されたペイロードNetwork security diagram showing SRX Series device securing encrypted traffic between Trust Zone server and Untrust Zone clients via Internet.上のSSLリバースプロキシ

リバースプロキシの利点

  • リバースプロキシは、オリジンサーバーの存在と特性を隠すことができます。

  • リバース プロキシは、受信要求の負荷を複数のサーバーに分散し、各サーバーが独自のアプリケーション領域をサポートできます。

関連資料