Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의
 

SSL 프록시 구성

SRX 시리즈 디바이스는 SSL 포워드 프록시 및 SSL 리버스 프록시를 지원합니다.

SSL 포워드 프록시 구성

SSL 프록시 구성 개요

SSL 포워드 프록시 구성 은 SSL 프록시의 구성 방법에 대한 개요를 표시합니다. 구성 SSL 프록시에는 다음이 포함됩니다.

  • 루트 CA 인증서 구성

  • CA 프로필 그룹 로드

  • SSL 프록시 프로필 및 루트 CA 인증서 및 CA 프로파일 그룹 연결

  • 입력 트래픽 일치 기준을 정의하여 보안 정책 생성

  • 보안 정책에 SSL 프록시 프로파일 적용

  • 허용 목록 생성 및 SSL 프록시 로깅과 같은 옵션 단계

루트 CA 인증서 구성

CA는 트리 구조의 형태로 여러 인증서를 발행할 수 있습니다. 루트 인증서는 트리의 최상위 인증서이며, 이 인증서는 다른 인증서에 sign 사용되는 프라이빗 키입니다. 루트 인증서 바로 아래의 모든 인증서는 루트 인증서의 서명 또는 신뢰성을 갖습니다. 이는 아이덴티티와 notarizing 다소 유사합니다.

루트 CA 증명서를 먼저 얻은 다음(자체 서명된 인증서를 생성하거나 가져오면) 루트 CA 증명서를 구성한 다음, 이를 SSL 프록시 프로파일에 적용할 수 있습니다. Junos OS CLI를 사용하여 루트 CA 인증서를 획득할 수 있습니다.

CLI를 사용하여 루트 CA 인증서 생성

CLI에서 자체 서명 인증서를 정의하려면 다음 세부 정보를 제공해야 합니다.

  • 인증서 식별자(이전 단계에서 생성됨)

  • 인증서에 대한 완벽한 FQDN(Domain Name)

  • 인증서를 소유한 엔터티의 이메일 주소

  • 공통 이름 및 관련 조직

Junos OS CLI를 사용하여 루트 CA 인증서를 생성합니다.

  1. 운영 모드에서 로컬 디지털 인증서를 위한 PKI 퍼블릭/프라이빗 키 쌍을 생성합니다.

    여기에서 다음 조합 중 하나를 선택할 수 있습니다.

    • 1024비트(RSA/DSA만 해당)

    • 2048비트(RSA/DSA만 해당)

    • 256비트(ECDSA 전용)

    • 384비트(ECDSA 전용)

    • 4096비트(RSA/DSA만 해당)

    • 521비트(ECDSA 전용)

    예제:

    또는
  2. 자체 서명 인증서를 정의합니다.

    예제:

    옵션을 구성 add-ca-constraint 하여 다른 인증서에 서명하는 데 인증서를 사용할 수 있는지 확인합니다.

  3. 구성 모드에서 로드된 인증서를 SSL 프록시 프로파일에 루트 ca로 적용합니다.

    예제:

  4. 루트 CA를 신뢰할 수 있는 CA로 임포트하여 클라이언트 브라우저로 가져옵니다. 클라이언트 브라우저가 SRX 시리즈 디바이스에서 서명한 인증서를 신뢰하려면 이 요구 사항을 적용해야 합니다. 브라우저에 루트 CA 인증서 가져오기를 참조하십시오.

CA 프로파일 그룹 구성

CA 프로필은 인증을 위한 인증서 정보를 정의합니다. 여기에는 SSL 프록시가 새 인증서를 생성할 때 사용하는 공용 키가 포함됩니다. Junos OS를 사용하면 CA 프로파일 그룹을 생성하고 하나의 작업에서 여러 인증서를 로드하고, 그룹의 모든 인증서에 대한 정보를 확인하고, 원치 않는 CA 그룹을 삭제할 수 있습니다.

신뢰할 수 있는 CA 인증서 목록을 얻고, CA 그룹을 정의하며, CA 그룹을 SSL 프록시 프로파일에 첨부하여 CA 프로파일 그룹을 로드할 수 있습니다.

  1. 다음 방법 중 하나를 사용하여 신뢰할 수 있는 CA 인증서 목록을 얻습니다. 연결이 시작되면 연결 장치(예: 웹 브라우저)가 인증서가 신뢰할 수 있는 CA에 의해 발행되었는지 여부를 확인합니다. 이러한 인증서가 없으면 브라우저에서 대부분의 웹사이트의 ID를 검증하고 신뢰할 수 없는 사이트로 표시할 수 없습니다.

    • Junos OS는 시스템에 로드할 수 있는 신뢰할 수 있는 CA 인증서의 기본 목록을 제공합니다. Junos OS 패키지에는 PEM 파일(예: trusted_CA.pem)으로 기본 CA 인증서가 포함되어 있습니다. Junos OS 패키지를 다운로드한 후에는 시스템에서 기본 인증서를 사용할 수 있습니다.

      운영 모드에서 기본 신뢰할 수 있는 CA 인증서를 로드합니다(그룹 이름은 CA 프로파일 그룹을 식별합니다).

      예제:

      이 방법을 사용하는 것이 좋습니다.

    • 또는 신뢰할 수 있는 CA 인증서의 자체 목록을 정의하고 시스템에서 가져올 수 있습니다. 단일 PEM 파일(예: IE-all.pem)에서 신뢰할 수 있는 CA 목록을 확보하고 특정 위치(예: /var/tmp)에 PEM 파일을 저장합니다.

      운영 모드에서 신뢰할 수 있는 목록을 장비로 로드합니다(그룹 이름은 CA 프로필 그룹을 식별합니다).

      예제:

    • Mozilla(https://curl.haxx.se/docs/caextract.html)와 같은 다른 타사에서 최신 CA 번들 목록을 다운로드합니다. 신뢰할 수 있는 인증 기관 목록은 시간이 지남에 따라 변경되어 최신 CA 번들을 사용하도록 보장할 수 있습니다.

    • PKI(Public Key Infrastructure)를 사용하여 신뢰할 수 있는 CA 인증서를 임포트합니다. PKI는 신뢰할 수 있는 CA 인증서의 유효성을 검증하고 인증하는 데 도움이 됩니다. 신뢰할 수 있는 CA 증명서가 포함된 CA 프로필 그룹을 생성한 다음 서버 인증을 위해 장비에서 그룹을 임포트합니다.

  2. 신뢰할 수 있는 CA 또는 신뢰할 수 있는 CA 그룹을 SSL 프록시 프로파일에 연결합니다. 신뢰할 수 있는 CA 또는 하나의 신뢰할 수 있는 CA를 한 번에 연결할 수 있습니다.

    • 모든 CA 프로필 그룹을 첨부합니다.

      예제

    • 하나의 CA 프로필 그룹을 첨부합니다(그룹 이름은 CA 프로필 그룹을 식별함).

      예제

CA 프로필 그룹의 모든 인증서에 대한 정보를 쉽게 표시할 수 있습니다.

CA 프로필 그룹을 삭제할 수 있습니다. CA 프로필 그룹을 삭제할 경우 해당 그룹에 속한 모든 인증서가 삭제된다는 점을 유념해야 합니다.

브라우저로 루트 CA 인증서 가져오기

브라우저 또는 시스템이 SSL 프록시 프로파일에 구성된 루트 CA에 의해 서명된 모든 인증서를 자동으로 신뢰하도록 하려면 플랫폼 또는 브라우저에 CA 루트 증명서를 신뢰하도록 지시해야 합니다.

루트 CA 증명서를 임포트하려면 다음을 수행합니다.

  1. 구성된 루트 CA에 대한 PEM 형식 파일을 생성합니다.
  2. 루트 CA 증명서를 브라우저로 임포트합니다.

    Internet Explorer(버전 8.0)에서 오신 경우:

    1. 도구 메뉴에서 인터넷 옵션을 선택합니다.
    2. Content 탭에서 Certificates를 클릭합니다.
    3. Trusted Root Certification Authorities 탭을 선택하고 Import를 클릭합니다.
    4. Certificate Import Wizard에서 필수 루트 CA 증명서를 탐색하고 선택합니다.

    Firefox에서 오신 경우(버전 39.0):

    1. 도구 메뉴에서 옵션을 선택합니다.
    2. Advanced 메뉴에서 Certificates 탭을 선택하고 Certificate 보기(View Certificate)를 클릭합니다.
    3. Certificate Manager 창에서 Authorities 탭을 선택하고 Import를 클릭합니다.
    4. 필요한 루트 CA 증명서를 탐색하고 선택합니다.

    Google Chrome에서(45.0):

    1. [설정] 메뉴에서 [고급 설정 표시]를 선택합니다.
    2. Advanced 메뉴에서 Certificates 탭을 선택하고 Certificate 보기(View Certificate)를 클릭합니다.
    3. HTTPS/SSL에서 인증서 관리를 클릭합니다.
    4. 인증서 창에서 Trusted Root Certification Authorities 를 선택하고 Import를 클릭합니다.
    5. Certificate Import Wizard에서 필수 루트 CA 증명서를 탐색하고 선택합니다.

보안 정책에 SSL 프록시 프로파일 적용

SSL 프록시는 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다. 보안 정책에서 SSL 프록시를 일치 기준으로 활성화하려는 트래픽을 지정한 다음 트래픽에 적용될 SSL 프록시 CA 프로파일을 지정합니다. 그림 1 은 SSL 프록시 프로파일 및 보안 정책 구성의 그래픽 보기를 표시합니다.

그림 1: 보안 정책에 SSL 프록시 프로파일 적용

보안 정책에서 SSL 프록시를 사용하려면 다음을 수행합니다.

이 예에서는 이미 신뢰할 수 없는 보안 존을 생성하고 트러스트 존에서 언스트러스트 존으로 트래픽에 대한 보안 정책을 생성했다고 가정합니다.

  1. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 사용할 트래픽을 지정합니다.

    예제:

  2. 보안 정책에 SSL 프록시 프로필을 적용합니다.

SSL 프록시 로깅 구성

SSL 프록시를 구성할 때 로그의 일부 또는 전부를 수신하는 옵션을 선택할 수 있습니다. SSL 프록시 로그에는 논리적 시스템 이름, SSL 프록시 허용 목록, 정책 정보, SSL 프록시 정보 및 오류 발생 시 문제를 해결하는 데 도움이 되는 기타 정보가 포함되어 있습니다.

오류, 경고 및 정보 이벤트와 같은 특정 이벤트의 로깅 all 을 구성할 수 있습니다. 또한 오류가 발생한 후 허용 목록, 삭제, 무시 또는 허용된 세션 로깅을 구성할 수도 있습니다.

디버그 추적을 활성화하는 옵션을 사용할 enable-flow-tracing 수 있습니다.

Certificate Authority Profiles 구성

CA(Certificate Authority) 프로필 구성에는 CA에 대한 정보가 포함되어 있습니다. SRX 시리즈 디바이스에 여러 CA 프로필을 가질 수 있습니다. 예를 들어, 하나의 orgA용 프로필과 orgB용 프로필이 있을 수 있습니다. 각 프로필은 CA 증명서와 연결됩니다. 이전 인증서를 제거하지 않고 새 CA 인증서를 로드하려는 경우 새 CA 프로필(예: Microsoft-2008)을 생성합니다. 특정 토폴로지에서 하나의 신뢰할 수 있는 CA 그룹에서 여러 CA 프로필을 그룹화할 수 있습니다.

이 예에서는 CA ID microsoft-2008을 사용하여 ca-profile-security라는 CA 프로필을 만듭니다. 그런 다음 CA 프로파일에 프록시 프로파일을 생성합니다.

  1. 구성 모드에서 인증서를 로드하는 데 사용되는 CA 프로필을 구성합니다.

    예제:

  2. 구성을 커밋합니다.
  3. 운영 모드에서 PKI 명령을 사용하여 인증서를 로드합니다.

    예제:

  4. 구성 모드에서 철회 확인(필요한 경우)을 비활성화합니다.

    예제:

  5. 구성 모드에서 SSL 프록시 프로파일에서 로드된 인증서를 신뢰할 수 있는 CA로 구성합니다.

    예제:

    참고:

    프로파일에 대해 두 개 이상의 신뢰할 수 있는 CA를 구성할 수 있습니다.
  6. (옵션) 신뢰할 수 있는 CA 증명서가 여러 개 있는 경우 각 신뢰할 수 있는 CA를 별도로 지정할 필요가 없습니다. 구성 모드에서 다음 명령을 사용하여 신뢰할 수 있는 CA 인증서를 로드 all 할 수 있습니다.
    참고:

    또는 브라우저에서 SRX 시리즈 디바이스로 신뢰할 수 있는 CA 세트를 가져올 수도 있습니다.

지정된 위치로 인증서 익스위칭

PKI 명령을 사용하여 자체 서명 인증서를 생성하면 새로 생성된 인증서가 사전 정의된 위치(var/db/certs/common/local)에 저장됩니다.

다음 명령을 사용하여 증명서를 특정 위치(디바이스 내)로 내보냅니다. 인증서 ID, 파일 이름 및 파일 형식(DER/PEM)을 지정할 수 있습니다.

서버 인증 무시

Junos OS를 사용하면 서버 인증을 완전히 무시하도록 옵션을 구성할 수 있습니다. 시스템을 인증 무시하도록 구성하면 SSL 핸드셰이크 시 서버 인증서 검증 중에 발생한 오류가 무시됩니다. 일반적으로 무시되는 오류에는 CA 서명, 잘못된 인증서 만료 날짜 등을 검증할 수 없다는 것이 포함됩니다. 이 옵션이 설정되지 않으면 오류가 발생했을 때 서버가 자체 서명 인증서를 보내는 모든 세션이 삭제됩니다.

웹 사이트를 구성하면 전혀 인증되지 않으므로 인증에 이 옵션을 사용하지 않는 것이 좋습니다. 그러나 이 옵션을 사용하여 SSL 세션 중단의 근본 원인을 효과적으로 파악할 수 있습니다.

구성 모드에서 서버 인증 무시를 지정합니다.

SSL 리버스 프록시

개요

서버 보호를 위한 프록시 모델 구현(종종 리버스 프록시라고도 함)은 SRX 시리즈 디바이스에서 지원되어 향상된 핸드셰이킹과 더 많은 프로토콜 버전에 대한 지원을 제공합니다. SSL 리버스 프록시에 의해 복호화된 트래픽에 Layer 7 서비스(애플리케이션 보안, IPS, UTM, SKY ATP)를 활성화할 수 있습니다.

Junos OS 릴리스 15.1X49-D80 및 17.3R1부터 SSL 리버스 프록시가 SRX5000 시리즈, SRX4100, SRX4200, SRX1500 디바이스에서 지원됩니다.

Junos OS 릴리스 15.1X49-D80 및 17.3R1부터 IDP SSL 검사 기능을 사용하는 대신 SSL 리버스 프록시 및 IDP(Intrusion Detection and Prevention)를 사용하는 것이 좋습니다.

Junos OS 15.1X49-D80 및 17.3R1부터 IDP SSL Inspection은 즉시 제거되지 않고 사용되지 않습니다. 이를 통해 하위 호환성과 새로운 구성을 준수할 수 있는 기회를 제공합니다.

#id-overview__rp-compare1 은 15.1X48-D80 및 17.3R1 릴리스 이후 SRX 시리즈 디바이스에 적용 가능한 변경 사항을 제공합니다.

표 1: Junos OS 릴리스 이전 및 이후의 리버스 프록시 비교 15.1X49-D80

기능

15.1X49-D80 이전

15.1X49-D80 및 17.3R1 이후

프록시 모델

탭 모드에서만 실행 SSL 핸드셰이크에 참여하는 대신 SSL 핸드셰이크를 수신하고 세션 키를 계산한 다음 SSL 트래픽을 복호화합니다.

SRX 시리즈 디바이스에서 클라이언트 SSL을 종료하고 서버를 통해 새로운 SSL 연결을 시작합니다. 서버/클라이언트로 전송하기 전에 클라이언트/서버에서 SSL 트래픽을 복호화하고 검사 후 다시 암호화합니다.

프로토콜 버전

TLS 버전 1.1 및 1.2를 지원하지 않음.

모든 현재 프로토콜 버전을 지원합니다.

주요 교환 방법

  • RSA 지원

  • DHE를 지원하지 않음.

  • RSA 지원

  • DHE 또는 ECDHE 지원

에코 시스템

IDP 엔진 및 탐지기와 긴밀하게 결합.

그 아래에 TCP 프록시와 함께 기존 SSL 포워드 프록시를 사용합니다.

보안 서비스

복호화된 SSL 트래픽은 IDP에 의해서만 검사될 수 있습니다.

포워드 프록시와 마찬가지로 복호화된 SSL 트래픽은 모든 보안 서비스에서 사용할 수 있습니다.

지원되는 암호

제한된 암호 세트가 지원됩니다.

일반적으로 사용되는 모든 암호문이 지원됩니다.

SSL 프록시 프로필 중 하나 root-ca 또는 server-certificate 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. #id-overview__profile-type1을 참조하십시오.

표 2: 지원되는 SSL 프록시 구성

서버 인증서 구성

루트-ca 구성

프로파일 유형

아니요

아니요

커밋 확인에 실패합니다. 구성해야 합니다.server-certificate root-ca

커밋 확인에 실패합니다. 동일한 프로필의 server-certificate root-ca 구성은 지원되지 않습니다.

아니요

포워드 프록시

아니요

리버스 프록시

다중 포워드 및 리버스 프록시 프로파일 인스턴스 구성이 지원됩니다. 그러나 특정 방화벽 정책의 경우 하나의 프로필(포워드 또는 리버스 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 포워드 및 리버스 프록시 구성도 지원됩니다.

지정된 방화벽 정책에 대한 새로운 리버스 프록시 구현으로 이전의 리버스 프록시 구현을 구성할 수 없습니다. 두 구성 모두 구성된 경우 커밋 확인 실패 메시지가 나타납니다.

다음은 리버스 프록시를 구성하기 위한 최소 단계입니다.

  1. CLI 명령을 request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234사용하여 서버 인증서와 키를 SRX 시리즈 디바이스 인증서 리포지토리에 로드합니다. 예를 들어:
  2. CLI 명령을 set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234사용하여 서버 인증서 식별자를 SSL Proxy 프로파일에 연결합니다. 예를 들어

    user@host# set services ssl Proxy Profile 서버 보호-프로파일 서버-인증서 server2_cert_id

  3. 다음을 사용하십시오. show services ssl 구성을 검증하는 CLI 명령어입니다. 예를 들어:

SSL 포워드 프록시 및 리버스 프록시는 방화벽 규칙 수준에서 프로파일을 구성해야 합니다. 또한 리버스 프록시를 위해서는 전용 키가 포함된 서버 증명서를 구성해야 합니다. SSL 핸드셰이크 동안 SSL 프록시는 서버 전용 키 해시 테이블 데이터베이스에서 일치하는 서버 전용 키에 대한 조회를 수행합니다. 룩업이 성공하면 핸드셰이크는 계속됩니다. 그렇지 않으면 SSL 프록시가 핸드쉐이크를 종료합니다. 역방향 프록시는 서버 증명서를 금지하지 않습니다. 클라이언트에 대한 수정 없이 실제 서버 인증서/체인을 클라이언트로 전달합니다. 서버 증명서 인터셉팅은 포워드 프록시를 통해서만 발생합니다.

다음은 포워드 및 리버스 프록시 프로파일 구성 예제입니다.

SSL 리버스 프록시 구성

이 예에서는 서버 보호를 활성화하기 위해 리버스 프록시를 구성하는 방법을 보여줍니다. 또한 서버 보호를 위해 전용 키가 있는 서버 증명서를 구성해야 합니다.

리버스 프록시는 추가 보안 계층을 추가하여 서버의 세부 사항을 클라이언트에서 숨겨 서버를 보호합니다.

SSL 리버스 프록시를 구성하려면 다음을 수행해야 합니다.

  • 서버 인증서와 해당 키를 SRX 시리즈 디바이스의 인증서 리포지토리에 로드합니다.

  • 서버 인증서 식별자를 SSL 프록시 프로파일에 연결합니다.

  • 보안 정책에서 SSL 프록시 프로필을 애플리케이션 서비스로 적용합니다.

SSL 리버스 프록시를 구성하려면 다음을 수행합니다.

  1. PKI 메모리에서 SSL 프록시 프로파일에 대한 서명 증명서와 해당 키를 로드합니다.
  2. SSL 프록시 프로파일에 서버 증명서를 첨부합니다.
  3. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 사용할 트래픽을 지정합니다.
  4. 보안 정책에 SSL 프록시 프로필을 적용합니다. 이 예에서는 요구 사항에 따라 보안 존이 생성된다고 가정합니다.

장비에서 SSL 리버스 프록시 구성 검증

목적

SRX 시리즈 디바이스에서 SSL 리버스 프록시 통계 보기

작업

명령을 사용하여 show services ssl proxy statistics SSL 프록시 통계를 볼 수 있습니다.

UTM을 통한 SSL 프록시 구성

SRX 시리즈 디바이스는 클라이언트 보호(포워드 프록시) 및 서버 보호(리버스 프록시)를 지원합니다. UTM(Unified Threat Management)을 지원하는 포워드 프록시 및 리버스 프록시를 위해 SSL 프록시 프로필을 구성할 수 있습니다.

UTM을 통한 SSL 포워드 프록시 구성

이 절차에서 UTM으로 SSL 포워드 프록시 프로필을 구성합니다. UTM을 구성할 때 클라이언트에서 SSL 세션을 종료하고 서버에 새로운 SSL 세션을 설정하여 SSL 프록시가 SSL 서버의 역할을 합니다. SRX 시리즈 디바이스는 복호화한 다음 모든 SSL 프록시 트래픽을 다시 암호화합니다. UTM은 SSL 프록시의 복호화된 컨텐츠를 사용할 수 있습니다.

로컬 인증서를 루트 ca로 생성합니다.

  1. 운영 모드에서 로컬 디지털 인증서를 위한 키 쌍을 생성합니다.
  2. 위에서 생성된 키 쌍을 사용하여 로컬 인증서를 생성합니다.
  3. 구성 모드에서 로드된 인증서를 SSL 프록시 프로파일에 루트 ca로 적용합니다.
  4. 보안 정책에 SSL 프로필 및 UTM 정책을 연결합니다.

UTM을 통한 SSL 리버스 프록시 구성

이 절차에서는 UTM으로 SSL 리버스 프록시 프로필을 구성합니다.

  1. 서버 인증서와 해당 키를 SRX 시리즈 디바이스 인증서 리포지토리에 로드합니다.
  2. 구성 모드에서 서버 인증서 식별자를 SSL Proxy 프로필에 연결합니다.
  3. 신뢰할 수 없는 존에서 트러스트 존으로 트래픽에 대한 보안 정책에 SSL 프로필 및 UTM 정책을 연결합니다.

자세한 내용은

SSL 프록시에 대해 면제 대상의 허용 목록 생성

SSL 암호화 및 복호화는 SRX 시리즈 디바이스의 메모리 리소스를 소비할 수 있습니다. 이를 제한하기 위해 신뢰할 수 있는 서버 또는 도메인과 거래하는 세션과 같은 일부 세션에 대해 SSL 프록시 프로세싱을 선택적으로 우회할 수 있습니다. 법적 요건으로 인해 금융 및 은행 사이트의 세션을 면제할 수도 있습니다.

SSL 프록시에서 세션을 면제하려면 서버의 IP 주소 또는 도메인 이름을 추가하여 허용 목록을 만들 수 있습니다. 허용 목록에는 SSL 프록시 처리를 통해 면제하려는 주소가 포함됩니다.

다음 단계를 통해 허용 목록을 만들 수 있습니다.

  • 글로벌 주소록에 IP 주소 및 도메인 이름을 지정합니다.

  • SSL 프록시 프로필의 글로벌 주소록을 참조하십시오.

전역 주소록에서 다음과 같은 유형의 IP 주소를 구성할 수 있습니다.

  • IPv4 주소(일반 텍스트). 예를 들어:

  • IPv4 주소 범위. 예를 들어:

  • IPv4 와일드카드. 예를 들어:

  • DNS 이름입니다. 예를 들어:

  • IPv6 주소. 예를 들어:

허용 목록은 다음과 같은 유형의 IP 주소를 지원하지 않습니다.

  • 변환된 IP 주소. 세션은 해석된 IP 주소가 아닌 실제 IP 주소를 기준으로 허용 목록으로 제공됩니다. 이 때문에 SSL 프록시 프로파일의 허용 목록 구성에서는 해석된 IP 주소가 아닌 실제 IP 주소가 제공되어야 합니다.

  • 인접하지 않은 넷마스크. 예를 들어:

    • IP 주소 -203.0.113.0 및 203.0.113.0/24인 마스크 255.255.255.0이 지원됩니다.

    • IP 주소 - 203.0.113.9 및 마스크 255.0.255.0은 지원되지 않습니다.

다음 예제에서는 SSL 프록시 프로파일에서 허용 목록을 사용하는 방법을 보여 줍니다.

이 예에서는 모든 세션을 에서 제외합니다 www.mycompany.com. 이를 위해 먼저 주소록에서 도메인을 지정한 다음 SSL 프록시 프로파일에서 주소를 구성합니다.

  1. 주소록에서 도메인을 구성합니다.
  2. SSL 프록시 프로파일에서 전역 주소록 주소를 지정합니다.

SSL 프록시에 대한 면제 URL 범주의 허용 목록 작성

UTM 모듈에서 지원되는 URL 범주를 구성하여 SRX 시리즈 디바이스에서 SSL 검사를 면제할 수 있습니다. UTM의 URL 범주를 사용하기 위해 SRX 시리즈 장치는 SSL 프록시 프로파일과 EWF 기능을 통합합니다. 이제 주소록과 함께 SSL 프록시 프로파일에서 허용 목록으로 URL 범주 목록을 구성할 수 있습니다. 미리 정의된 URL 범주 집합 또는 UTM에서 지원하는 사용자 지정 URL 범주에서 목록을 구성할 수 있습니다.

보안 장비는 UTM 모듈에서 추출한 SNI(Server Name Indication) 필드를 사용하여 URL 범주를 결정합니다. SSL 프록시는 이 정보를 사용하여 세션 수락 여부와 프록시 여부를 결정합니다.

이 기능은 SRX340, SRX345, SRX5400, SRX5600, SRX5800 및 vSRX 인스턴스에서 지원됩니다.

Junos OS 릴리스 15.1X49-D80 및 Junos OS Release 17.3R1부터 SSL 프록시 허용 목록 기능에는 UTM에서 지원하는 URL 카테고리가 포함됩니다.

Junos OS 릴리스 17.4R1부터 SSL 프록시 허용 목록 기능은 UTM에서 지원하는 맞춤형 URL 범주로 지원을 확장합니다.

다음 예제에서는 SSL 프록시 프로파일에서 URL 범주를 구성하는 방법을 보여 줍니다.

면제 URL 범주의 허용 목록 작성

SSL 프록시 프로파일에서 사전 정의된 URL 범주를 구성하려면 다음 단계를 수행합니다.

  1. 사전 정의된 URL 범주는 UTM에 따라 달라집니다. SSL 프록시에서 URL 기반 허용 목록을 사용하도록 설정하려면 다음과 같은 기본 URL 구성이 필요합니다.
  2. SSL 프록시 프로파일에서 미리 정의된 URL 범주를 지정합니다. 이 예에서는 URL 범주 Enhanced_Financial_Data_and_Services 사용하고 있습니다.
  3. 일치 조건을 지정하여 보안 정책을 생성하고 UTM 정책을 보안 정책에 첨부하여 SSL 허용 목록에서 URL 범주를 사용합니다.

면제된 사용자 지정 URL 범주의 허용 목록 생성

SSL 프록시 프로파일에서 사용자 지정 URL 범주를 구성하려면 다음 단계를 따르십시오.

  1. 사용자 지정 URL 범주를 만듭니다. 

    [edit]
user@host# set security utm custom-objects url-pattern URL-1 value www.example.com 
user@host# set security utm custom-objects custom-url-category CATEGORY-1 value URL-1
user@host#  set security utm feature-profile web-filtering juniper-local profile PROFILE-1 category CATEGORY-1 action permit

  2. 웹 필터링 HTTP 프로토콜에 대한 UTM 정책을 구성하고 이전 단계에서 작성한 프로필을 UTM 정책에 연결합니다.
  3. SSL 프록시 프로필의 이전 단계에서 작성한 사용자 지정 URL 범주를 지정합니다.
  4. 일치 조건을 지정하여 보안 정책을 생성하고 UTM 정책을 보안 정책에 첨부하여 SSL 허용 목록에서 URL 범주를 사용합니다.

관련 설명서

릴리스 히스토리 테이블
릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 SSL 프록시 허용 목록 기능은 UTM에서 지원하는 맞춤형 URL 범주로 지원을 확장합니다.
15.1X49-D80
Junos OS 릴리스 15.1X49-D80 및 17.3R1부터 SSL 리버스 프록시가 SRX5000 시리즈, SRX4100, SRX4200, SRX1500 디바이스에서 지원됩니다.
15.1X49-D80
Junos OS 릴리스 15.1X49-D80 및 17.3R1부터 IDP SSL 검사 기능을 사용하는 대신 SSL 리버스 프록시 및 IDP(Intrusion Detection and Prevention)를 사용하는 것이 좋습니다.
15.1X49-D80
Junos OS 15.1X49-D80 및 17.3R1부터 IDP SSL Inspection은 즉시 제거되지 않고 사용되지 않습니다. 이를 통해 하위 호환성과 새로운 구성을 준수할 수 있는 기회를 제공합니다.
15.1X49-D80
Junos OS 릴리스 15.1X49-D80 및 Junos OS Release 17.3R1부터 SSL 프록시 허용 목록 기능에는 UTM에서 지원하는 URL 카테고리가 포함됩니다.