Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 시리즈 방화벽에서 역방향 프록시 구성

Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 SRX 시리즈 방화벽이 프록시 역할을 하므로 SSL 협상을 RSA로 다운그레이드할 수 있습니다. 다른 변경 사항은 표 1에 나와 있습니다.

표 1: Junos OS 릴리스 15.1X49-D80 및 17.3R1 전과 후의 역방향 프록시 비교

특징

15.1X49-D80 이전

15.1X49-D80 및 17.3R1 이후

프록시 모델

탭 모드에서만 실행 SSL 핸드셰이크에 참여하는 대신 SSL 핸드셰이크를 수신하고 세션 키를 계산한 다음 SSL 트래픽을 해독합니다.

SRX 시리즈 방화벽에서 클라이언트 SSL을 종료하고 서버와의 새 SSL 연결을 시작합니다. 클라이언트/서버에서 SSL 트래픽을 복호화하고 서버/클라이언트로 전송하기 전에 검사 후 다시 암호화합니다.

프로토콜 버전

TLS 버전 1.1 및 1.2를 지원하지 않습니다.

모든 현재 프로토콜 버전을 지원합니다.

키 교환 방법

RSA를 지원합니다.

RSA를 지원합니다.

에코 시스템

IDP 엔진 및 감지기와 긴밀하게 결합됩니다.

아래에 TCP 프록시가 있는 기존 SSL 포워드 프록시를 사용합니다.

보안 서비스

복호화된 SSL 트래픽은 침입 탐지 및 방지(IDP)만 검사할 수 있습니다.

포워드 프록시와 마찬가지로 해독된 SSL 트래픽은 모든 보안 서비스에 사용할 수 있습니다.

지원되는 암호

제한된 암호 집합이 지원됩니다.

일반적으로 사용되는 모든 암호가 지원됩니다.

이 항목의 나머지 부분에서는 SSL 프록시 라는 용어를 사용하여 정방향 프록시 및 역방향 프록시를 모두 나타냅니다.

정방향 프록시와 마찬가지로 역방향 프록시를 사용하려면 방화벽 규칙 수준에서 프로필을 구성해야 합니다. 또한 역방향 프록시에 대한 개인 키를 사용하여 서버 인증서도 구성해야 합니다. SSL 핸드쉐이크 중에 SSL 프록시는 서버 개인 키 해시 테이블 데이터베이스에서 일치하는 서버 개인 키를 찾습니다. 조회에 성공하면 핸드셰이크가 계속됩니다. 그렇지 않으면 SSL 프록시가 악수를 종료합니다. 역방향 프록시는 서버 인증서를 금지하지 않습니다. 실제 서버 인증서/체인을 수정하지 않고 있는 그대로 클라이언트에 전달합니다. 서버 인증서 가로채기는 정방향 프록시에서만 발생합니다. 다음은 정방향 및 역방향 프록시 프로필 구성의 예를 보여줍니다.

SSL 프록시 프로파일에서 또는 server-certificate 중 하나를 root-ca 구성해야 합니다. 그렇지 않으면 커밋 검사에 실패합니다. 표 2를 참조하십시오.

표 2: 지원되는 SSL 프록시 구성

server-certificate 구성됨

root-ca 구성됨

프로필 유형

아니요

아니요

커밋 검사에 실패합니다. 또는 server-certificate root-ca를 구성해야 합니다.

커밋 검사에 실패합니다. 동일한 프로필에서 및 를 root-ca 모두 server-certificate 구성하는 것은 지원되지 않습니다.

아니요

정방향 프록시

아니요

역방향 프록시

정방향 및 역방향 프록시 프로필의 여러 인스턴스를 구성할 수 있습니다. 그러나 지정된 방화벽 정책에 대해 하나의 프로필(정방향 또는 역방향 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 정방향 및 역방향 프록시를 구성하는 것도 지원됩니다.

지정된 방화벽 정책에 대해 이전 역방향 프록시 구현을 새 역방향 프록시 구현으로 구성할 수 없습니다. 둘 다 구성된 경우 커밋 검사 실패 메시지를 받게 됩니다.

다음은 역방향 프록시를 구성하는 최소 단계입니다.

  1. CLI 명령을 request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234사용하여 서버 인증서와 해당 키를 SRX 시리즈 방화벽 인증서 리포지토리에 로드합니다. 예를 들어:
  2. CLI 명령을 set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234사용하여 서버 인증서 식별자를 SSL 프록시 프로파일에 연결합니다. 예를 들어
  3. 를 사용하십시오. show services ssl CLI 명령을 실행하여 구성을 확인합니다. 예를 들어: