SSL リバース プロキシ プロファイルの作成

General Information

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

説明

SSL 転送プロキシプロファイルの説明を入力します。最大長は 1024 文字です。

優先暗号

優先する暗号を選択します。暗号は、キーの強度に応じて次のカテゴリに分類されます。

• カスタム:カスタム暗号スイートと優先順序を設定します。

• 中 - キー強度が 128 ビット以上の暗号を使用します。

• [強力(Strong)]:キー強度が 168 ビット以上の暗号方式を使用します。

• 弱い - 鍵強度が 40 ビット以上の暗号を使用します。

カスタム暗号

SSH サーバーが暗号化および復号化機能を実行するために使用できる暗号のセットを選択します。このオプションが構成されていない場合、サーバーは使用可能なサポートされているスイートをすべて受け入れます。

使用可能なカスタム暗号は次のとおりです。

• rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ

• rsa-with-RC4-128-sha—RSA、128-bit RC4、SHA ハッシュ

• rsa-with-des-cbc-sha—RSA、DES/CBC、SHA ハッシュ

• rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ

• rsa-with-aes-128-cbc-sha - RSA、128 ビット AES/CBC、SHA ハッシュ

• rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ

• rsa-export-with-rc4-40-md5—RSAエクスポート、40ビットRC4、MD5ハッシュ

• rsa-export-with-des40-cbc-sha—RSA export、40 ビット DES/CBC、SHA ハッシュ

• rsa-export1024-with-des-cbc-sha:RSA 1024 ビット エクスポート、DES/CBC、SHA ハッシュ

• rsa-export1024-with-rc4-56-md5:RSA 1024 ビット エクスポート、56 ビット RC4、MD5 ハッシュ

• rsa-export1024-with-rc4-56-sha:RSA 1024 ビット エクスポート、56 ビット RC4、SHA ハッシュ

• rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ

• rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

• rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ

• rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

• ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

• ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

• ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

フロートレース

ポリシー関連の問題のトラブルシューティングでフロー トレースを有効にするには、このオプションを選択します。

サーバー証明書

サーバー証明書識別子を指定します。

必要なSRXシリーズ デバイスをリストから選択し、サーバー証明書識別子を割り当てます。

免除された住所

アドレスを選択して、SSL フォワードプロキシ処理をバイパスする許可リストを作成します。

SSL の暗号化と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションで SSL プロキシ処理を選択的にバイパスできます。このようなセッションには、ほとんどの場合、ネットワーク管理者に精通している信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。金融および銀行のサイトを免除するための法的要件もあります。このような除外は、許可リストの下でサーバーのIPアドレスまたはドメイン名を構成することで実現されます。

除外URLカテゴリ

Junos Space Security Director リリース 16.2 以降、URL カテゴリを選択して、SSL フォワード プロキシ処理をバイパスする許可リストを作成できます。

これらの URL カテゴリは、SSL インスペクション中は除外されます。除外対象として選択できるのは、定義済みの URL カテゴリのみです。

Actions

セッションの再開

セッションを再開しない場合は、[セッション再開を無効にする] オプションを選択します。

スループットを向上させながら適切なレベルのセキュリティーを維持するために、SSL セッション再開はセッション・キャッシング・メカニズムを提供し、事前 1 次秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方でキャッシュできます。

ログ

ログを生成するには、このオプションを選択します。すべてのイベント、警告、一般情報、エラー、または異なるセッション (許可リスト、許可、ドロップ、または無視) をログに記録することを選択できます。

交渉

セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメーターの変更には再ネゴシエーションが必要です。SSL フォワード プロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0 および SSL v3)の両方の再ネゴシエーションをサポートします。

SSL パラメーターの変更で再ネゴシエーションが必要な場合は、以下のいずれかのオプションを選択します。

• なし (既定で選択されています)

• 許可

• 許可セキュア

• ドロップ

セッション再開が有効になっている場合、セッションの再ネゴシエーションは以下の状況で有効です。

• 暗号鍵は、長時間の SSL セッションの後にリフレッシュする必要があります。

• より安全な接続には、より強力な暗号を適用する必要があります。