Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズ デバイスでのリバース プロキシの設定

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、SRX シリーズ デバイスはプロキシとして機能するため、SSL ネゴシエーションを RSA にダウングレードできます。その他の変更を 表 1 に示します。

表 1:Junos OS リリース 15.1X49-D80 および 17.3R1 の前後におけるリバース プロキシーの比較

機能

15.1X49-D80より前

15.1X49-D80 および 17.3R1 以降

プロキシ モデル

タップ モードでのみ実行 SSL ハンドシェイクに参加するのではなく、SSL ハンドシェイクをリッスンし、セッション キーを計算して SSL トラフィックを復号化します。

SRX シリーズ デバイスでクライアント SSL を終了し、サーバーとの新しい SSL 接続を開始します。クライアント/サーバーからのSSLトラフィックを復号化し、サーバー/クライアントに送信する前に(検査後に)再度暗号化します。

プロトコル バージョン

TLS バージョン 1.1 および 1.2 はサポートされていません。

現在のすべてのプロトコル バージョンをサポートします。

鍵交換方法

RSA をサポートします。

RSA をサポートします。

エコー システム

IDPエンジンとその検出器と密接に連なっています。

既存の SSL フォワード プロキシーと TCP プロキシーの下に使用します。

セキュリティ サービス

暗号化解除されたSSLトラフィックはIDPでのみ検査できます。

フォワード プロキシーと同様に、暗号化解除された SSL トラフィックはすべてのセキュリティ サービスで利用できます。

サポートされる暗号

限定的な暗号セットがサポートされています。

一般的に使用されるすべての暗号がサポートされています。

このトピックの残りの部分では、 SSL プロキシー という用語を使用して、フォワード プロキシーとリバース プロキシーの両方を示します。

フォワード プロキシーと同様に、リバース プロキシーでは、プロファイルをファイアウォール ルール レベルで設定する必要があります。さらに、リバース プロキシー用のプライベート キーを使用してサーバー証明書を構成する必要もあります。SSL ハンドシェイク中、SSL プロキシーは、そのサーバーの秘密鍵ハッシュ・テーブル・データベース内の一致するサーバー秘密鍵のルックアップを実行します。ルックアップが成功すると、ハンドシェイクは続行されます。それ以外の場合、SSL プロキシーは手ブレを終了します。リバース プロキシは、サーバー証明書を禁止しません。変更することなく、実際のサーバー証明書/チェーンをクライアントにそのまま転送します。サーバー証明書の傍受は、フォワード プロキシーでのみ行われます。次に、フォワード およびリバース プロキシー プロファイル設定の例を示します。

SSL プロキシー・プロファイルのいずれかを root-ca 構成するか、SSL server-certificate プロキシー・プロファイルで構成する必要があります。それ以外の場合、コミット チェックは失敗します。 表 2 を参照してください。

表 2:サポートされる SSL プロキシー構成

サーバー証明書の構成

root-ca 設定済み

プロファイル タイプ

いいえ

いいえ

コミット チェックが失敗します。または をserver-certificateroot-ca設定する必要があります。

はい

はい

コミット チェックが失敗します。同じプロファイルの両方server-certificateroot-caの設定はサポートされていません。

いいえ

はい

フォワード プロキシー

はい

いいえ

リバース プロキシー

フォワード プロキシー プロファイルとリバース プロキシー プロファイルの複数インスタンスの設定がサポートされています。ただし、特定のファイアウォール ポリシーでは、1 つのプロファイル(フォワード プロキシー プロファイルまたはリバース プロキシ プロファイル)のみを設定できます。同じデバイスでのフォワード プロキシーとリバース プロキシーの両方の設定もサポートされています。

指定されたファイアウォール ポリシーに対して、以前のリバース プロキシ実装を新しいリバース プロキシ実装で設定することはできません。両方が構成されている場合は、コミット チェックエラー メッセージが表示されます。

リバース プロキシを設定するための最小手順を次に示します。

  1. CLI コマンドを使用して、サーバー証明書とそのキーを SRX シリーズ デバイス証明書リポジトリにロードします request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234。例えば:
  2. CLI コマンドを使用して、サーバー証明書識別子を SSL プロキシー プロファイルにアタッチします set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234。例えば
  3. 次の方法で show services ssl CLI コマンドを使用して設定を検証します。例えば: