SRXシリーズ デバイスでのリバース プロキシの設定
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、SRX シリーズ デバイスはプロキシとして機能するため、SSL ネゴシエーションを RSA にダウングレードできます。その他の変更を 表 1 に示します。
機能 |
15.1X49-D80より前 |
15.1X49-D80 および 17.3R1 以降 |
---|---|---|
プロキシ モデル |
タップ モードでのみ実行 SSL ハンドシェイクに参加するのではなく、SSL ハンドシェイクをリッスンし、セッション キーを計算して SSL トラフィックを復号化します。 |
SRX シリーズ デバイスでクライアント SSL を終了し、サーバーとの新しい SSL 接続を開始します。クライアント/サーバーからのSSLトラフィックを復号化し、サーバー/クライアントに送信する前に(検査後に)再度暗号化します。 |
プロトコル バージョン |
TLS バージョン 1.1 および 1.2 はサポートされていません。 |
現在のすべてのプロトコル バージョンをサポートします。 |
鍵交換方法 |
RSA をサポートします。 |
RSA をサポートします。 |
エコー システム |
IDPエンジンとその検出器と密接に連なっています。 |
既存の SSL フォワード プロキシーと TCP プロキシーの下に使用します。 |
セキュリティ サービス |
暗号化解除されたSSLトラフィックはIDPでのみ検査できます。 |
フォワード プロキシーと同様に、暗号化解除された SSL トラフィックはすべてのセキュリティ サービスで利用できます。 |
サポートされる暗号 |
限定的な暗号セットがサポートされています。 |
一般的に使用されるすべての暗号がサポートされています。 |
このトピックの残りの部分では、 SSL プロキシー という用語を使用して、フォワード プロキシーとリバース プロキシーの両方を示します。
フォワード プロキシーと同様に、リバース プロキシーでは、プロファイルをファイアウォール ルール レベルで設定する必要があります。さらに、リバース プロキシー用のプライベート キーを使用してサーバー証明書を構成する必要もあります。SSL ハンドシェイク中、SSL プロキシーは、そのサーバーの秘密鍵ハッシュ・テーブル・データベース内の一致するサーバー秘密鍵のルックアップを実行します。ルックアップが成功すると、ハンドシェイクは続行されます。それ以外の場合、SSL プロキシーは手ブレを終了します。リバース プロキシは、サーバー証明書を禁止しません。変更することなく、実際のサーバー証明書/チェーンをクライアントにそのまま転送します。サーバー証明書の傍受は、フォワード プロキシーでのみ行われます。次に、フォワード およびリバース プロキシー プロファイル設定の例を示します。
# show services ssl ... proxy { profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed. root-ca ssl-inspect-ca; actions { ignore-server-auth-failure; log { all; } } } profile ssl-1 { root-ca ssl-inspect-ca; actions { ignore-server-auth-failure; log { all; } } } profile ssl-2 { root-ca ssl-inspect-ca; actions { ignore-server-auth-failure; log { all; } } } profile ssl-server-protection { # For reverse proxy. No root-ca is needed. server-certificate ssl-server-protection; actions { log { all; } } } } ...
SSL プロキシー・プロファイルのいずれかを root-ca
構成するか、SSL server-certificate
プロキシー・プロファイルで構成する必要があります。それ以外の場合、コミット チェックは失敗します。 表 2 を参照してください。
サーバー証明書の構成 |
root-ca 設定済み |
プロファイル タイプ |
---|---|---|
いいえ |
いいえ |
コミット チェックが失敗します。または を |
はい |
はい |
コミット チェックが失敗します。同じプロファイルの両方 |
いいえ |
はい |
フォワード プロキシー |
はい |
いいえ |
リバース プロキシー |
フォワード プロキシー プロファイルとリバース プロキシー プロファイルの複数インスタンスの設定がサポートされています。ただし、特定のファイアウォール ポリシーでは、1 つのプロファイル(フォワード プロキシー プロファイルまたはリバース プロキシ プロファイル)のみを設定できます。同じデバイスでのフォワード プロキシーとリバース プロキシーの両方の設定もサポートされています。
指定されたファイアウォール ポリシーに対して、以前のリバース プロキシ実装を新しいリバース プロキシ実装で設定することはできません。両方が構成されている場合は、コミット チェックエラー メッセージが表示されます。
リバース プロキシを設定するための最小手順を次に示します。