Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL フォワード プロキシ プロファイルの作成

始める前に

[SSL フォワード プロキシ プロファイル( SSL Forward Proxy Profile)] ページを使用して、SSL プロキシ プロファイルの詳細を表示および管理します。SSLプロキシは、セキュリティポリシー内のアプリケーションサービスとして有効です。SSL プロキシーを有効にするトラフィックを一致条件として指定し、トラフィックに適用する SSL プロキシー プロファイル を指定します。

手記:

Junos Space Security Director リリース 21.2 以降、SSL フォワード プロキシは論理システム(LSYS)デバイスでもサポートされています。

SSL フォワード・プロキシー・プロファイルを作成するには、以下の通りです。

  1. [ Configure > SSL Profiles> SSL Proxy Profiles] を選択します。

    [SSL プロキシ プロファイル(SSL Proxy Profiles)] ページが表示されます。

  2. 「作成」リストから 「フォワード・プロキシ ー」を選択します。
  3. 表 1 のガイドラインに従って設定を完了します。
  4. [ OK] をクリックします。

SSLフォワードプロキシプロファイルが作成され、高度なセキュリティオプションのファイアウォールポリシーに割り当てることができます。

手記:

サービス(AppFW、IDP、または AppTrack)が設定されていない場合、SSLプロキシプロファイルがファイアウォールポリシーにアタッチされていても、SSLプロキシサービスはバイパスされます。
表 1: SSL フォワード プロキシ プロファイル設定

設定

ガイドライン

General Information

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

形容

SSL フォワード・プロキシー・プロファイルの説明を入力します。最大長は 1024 文字です。

優先されるCipher

優先する暗号を選択します。暗号は、そのキーの強度に応じて、次のカテゴリに分類されます。

  • [カスタム(Custom)]:カスタム暗号スイートと優先順位を設定します。

  • [中(Medium)]:128 ビット以上の鍵強度の暗号を使用します。

  • [強力(Strong)]:鍵の強度が 168 ビット以上の暗号を使用します。

  • [弱い(Weak)]:鍵の強度が 40 ビット以上の暗号を使用します。

カスタム暗号

SSH サーバーが暗号化および復号化機能の実行に使用できる暗号のセットを選択します。このオプションが構成されていない場合、サーバーは使用可能なサポートされているスイートを受け入れます。

使用可能なカスタム暗号は次のとおりです。

  • rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ

  • rsa-with-RC4-128-sha—RSA、128 ビット RC4、SHA ハッシュ

  • rsa-with-des-cbc-sha:RSA、DES/CBC、SHA ハッシュ

  • rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ

  • rsa-with-aes-128-cbc-sha—RSA、128 ビット AES/CBC、SHA ハッシュ

  • rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ

  • rsa-export-with-rc4-40-md5—RSA エクスポート、40 ビット RC4、MD5 ハッシュ

  • rsa-export-with-des40-cbc-sha—RSA エクスポート、40 ビット DES/CBC、SHA ハッシュ

  • rsa-export1024-with-des-cbc-sha—RSA 1024 ビット エクスポート、DES/CBC、SHA ハッシュ

  • rsa-export1024-with-rc4-56-md5—RSA 1024 ビット エクスポート、56 ビット RC4、MD5 ハッシュ

  • rsa-export1024-with-rc4-56-sha—RSA 1024 ビット エクスポート、56 ビット RC4、SHA ハッシュ

  • rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ

  • rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  • rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ

  • rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

  • ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

  • ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

  • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

  • ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

フロートレース

ポリシー関連の問題のトラブルシューティングのためにフロートレースを有効にするには、このオプションを選択します。

ルート証明書

ルート証明書を選択または追加します。1 つ以上のルート証明書を選択できます。公開鍵基盤(PKI)階層では、ルート CA は信頼パスの最上位にあります。ルート CA は、サーバー証明書を信頼できる証明書として識別します。

新しいルート証明書の [追加 ] をクリックします。[追加] ページで、ルート証明書に関連付けるデバイスと信頼できる CA を選択します。

手記:

Security DirectorでSSL証明書を表示するには、[ デバイス>セキュリティデバイス]を選択し、関連するデバイスを選択し、デバイスを右クリックするか、[詳細]メニューから [証明書の更新 ]を選択します。証明書の更新ジョブが完了すると、SSL 証明書が表示されます。

デバイスの設定がSecurity Directorと同期していることを確認します。デバイス構成がセキュリティデバイスで同期されていない場合は、ネットワークを再同期してから、証明書の更新を続行します。

除外アドレス

アドレスを選択して、SSL フォワードプロキシ処理をバイパスする許可リストを作成します。

SSL暗号と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションでSSLプロキシ処理を選択的にバイパスできます。このようなセッションには、ほとんどの場合、ネットワーク管理者がよく知っている信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。また、金融サイトや銀行サイトを免除する法的要件もあります。このような除外は、許可リストでサーバーのIPアドレスまたはドメイン名を構成することで実現されます。

除外 URL カテゴリ

Junos Space Security Director リリース 16.2 以降では、URL カテゴリを選択して、SSL フォワードプロキシ処理をバイパスする許可リストを作成できます。

これらの URL カテゴリは、SSL インスペクションでは除外されます。除外の対象として選択できるのは、事前定義された URL カテゴリのみです。

手記:

SSL プロファイルで除外された URL カテゴリを選択する場合は、必ず [拡張] でフィルタリングしてください。

Actions

サーバー認証の失敗

このオプションを選択すると、サーバー認証が完全に無視されます。

この場合、SSL フォワード・プロキシーは、サーバー証明書の検証プロセス中に発生したエラー (CA 署名検査の失敗、自己署名証明書、証明書の有効期限など) を無視します。

このオプションを設定すると、Web サイトがまったく認証されなくなるため、認証にはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされた根本原因を効果的に特定できます。

セッションの再開

セッションを再開しない場合は、「セッションの再開を無効にする」オプションを選択します。

スループットを向上させ、適切なレベルのセキュリティーを維持するために、SSL セッション再開はセッション・キャッシング・メカニズムを提供し、プリプライマリ秘密鍵や合意された暗号方式などのセッション情報をクライアントとサーバーの両方にキャッシュできるようにします。

丸太

ログを生成するには、このオプションを選択します。すべてのイベント、警告、一般情報、エラー、またはさまざまなセッション (許可リスト、許可、ドロップ、または無視) をログに記録することを選択できます。

交渉

セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメータの変更には再ネゴシエーションが必要になります。SSL フォワード プロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0 および SSL v3)の両方の再ネゴシエーションをサポートします。

SSL パラメーターの変更によって再ネゴシエーションが必要な場合は、以下のオプションのいずれかを選択します。

  • なし (デフォルトで選択されています)

  • 許す

  • 許可-セキュア

  • 落とす

セッション再開が有効な場合、セッションの再ネゴシエーションは以下の状況で役立ちます。

  • 暗号鍵は、長時間の SSL セッションの後に更新する必要があります。

  • より安全な接続を実現するには、より強力な暗号を適用する必要があります。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
16.2
Junos Space Security Director リリース 16.2 以降では、URL カテゴリを選択して、SSL フォワードプロキシ処理をバイパスする許可リストを作成できます。