Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 프록시 구성

SRX 시리즈 디바이스는 SSL 포워드 프록시 및 SSL 역방향 프록시를 지원합니다.

SSL 포워드 프록시 구성

SSL 프록시 구성 개요

SSL 포워드 프록시 구성 은 SSL 프록시가 어떻게 구성되었는지에 대한 개요를 표시합니다. SSL 프록시 구성에는 다음이 포함됩니다.

  • 루트 CA 인증서 구성

  • CA 프로필 그룹 로드하기

  • SSL 프록시 프로필 구성 및 루트 CA 인증서 및 CA 프로필 그룹 연결

  • 입력 트래픽 일치 기준을 정의하여 보안 정책 생성

  • 보안 정책에 SSL 프록시 프로필 적용

  • 허용 목록 생성 및 SSL 프록시 로깅과 같은 선택적 단계

루트 CA 인증서 구성

CA는 트리 구조의 형태로 여러 인증서를 실행할 수 있습니다. 루트 인증서는 트리의 최상단 인증서이며, 프라이빗 키는 다른 인증서에 sign 사용됩니다. 루트 인증서 바로 아래의 모든 인증서는 루트 인증서의 서명 또는 신뢰성을 상속합니다. 이는 ID와 notarizing 다소 비슷합니다.

루트 CA 인증서를 먼저 획득한 다음(자체 서명된 인증서를 생성하거나 가져오는) 루트 CA 인증서를 구성한 다음 SSL 프록시 프로필에 적용할 수 있습니다. Junos OS CLI를 사용하여 루트 CA 인증서를 획득할 수 있습니다.

CLI를 사용하여 루트 CA 인증서 생성

CLI에서 자체 서명된 인증서를 정의하려면 다음 세부 정보를 제공해야 합니다.

  • 인증서 식별자(이전 단계에서 생성됨)

  • 인증서에 대한 정규화된 도메인 이름(FQDN)

  • 인증서를 소유한 엔터티의 이메일 주소

  • 공통 이름 및 관련 조직

Junos OS CLI를 사용하여 루트 CA 인증서를 생성합니다.

  1. 운영 모드에서 로컬 디지털 인증서에 대한 PKI 퍼블릭/프라이빗 키 쌍을 생성합니다.

    여기에서 다음 조합 중 하나를 선택할 수 있습니다.

    • 1024비트(RSA/DSA만 해당)

    • 2048비트(RSA/DSA만 해당)

    • 256비트(ECDSA 전용)

    • 384비트(ECDSA 전용)

    • 4096비트(RSA/DSA만 해당)

    • 521비트(ECDSA 전용)

    예제:

    또는
  2. 자체 서명된 인증서를 정의합니다.

    예제:

    옵션을 구성하여 인증서를 add-ca-constraint 다른 인증서에 서명하는 데 사용할 수 있는지 확인합니다.

  3. 구성 모드에서 로드된 인증서를 SSL 프록시 프로필에서 루트 ca로 적용합니다.

    예제:

  4. 루트 CA를 신뢰할 수 있는 CA로 클라이언트 브라우저로 가져옵니다. 이는 클라이언트 브라우저가 SRX 시리즈 디바이스에서 서명한 인증서를 신뢰하는 데 필요합니다. 루트 CA 인증서를 브라우저로 가져오기를 참조하십시오.

CA 프로필 그룹 구성

CA 프로필은 인증을 위한 인증서 정보를 정의합니다. 여기에는 SSL 프록시가 새 인증서를 생성할 때 사용하는 공개 키가 포함됩니다. Junos OS 통해 CA 프로필 그룹을 만들고 하나의 작업에서 여러 인증서를 로드하고, 그룹의 모든 인증서에 대한 정보를 보고, 원치 않는 CA 그룹을 삭제할 수 있습니다.

신뢰할 수 있는 CA 인증서 목록을 얻고, CA 그룹을 정의하고, CA 그룹을 SSL 프록시 프로필에 연결하여 CA 프로필 그룹을 로드할 수 있습니다.

  1. 다음 방법 중 하나를 사용하여 신뢰할 수 있는 CA 인증서 목록을 획득합니다. 연결이 시작되면 연결 디바이스(예: 웹 브라우저)는 신뢰할 수 있는 CA가 인증서를 발급했는지 여부를 확인합니다. 이러한 인증서가 없으면 브라우저는 대부분의 웹 사이트의 ID를 확인하고 신뢰할 수 없는 사이트로 표시할 수 없습니다.
    • Junos OS 시스템에 로드할 수 있는 신뢰할 수 있는 CA 인증서의 기본 목록을 제공합니다. Junos OS 패키지에는 PEM 파일(예: trusted_CA.pem)으로 기본 CA 인증서가 포함되어 있습니다. Junos OS 패키지를 다운로드한 후 시스템에서 기본 인증서를 사용할 수 있습니다.

      운영 모드에서 기본 신뢰할 수 있는 CA 인증서를 로드합니다(그룹 이름은 CA 프로필 그룹을 식별).

      예제:

      이 방법을 사용하는 것을 권장합니다.

    • 또는 신뢰할 수 있는 CA 인증서 목록을 정의하고 시스템에서 가져올 수 있습니다. 단일 PEM 파일(예: IE-all.pem)에서 신뢰할 수 있는 SA 목록을 얻고 PEM 파일을 특정 위치(예: /var/tmp)에 저장합니다.

      운영 모드에서 신뢰할 수 있는 목록을 디바이스로 로드합니다(그룹 이름은 CA 프로필 그룹을 식별합니다).

      예제:

    • Mozilla(https://curl.haxx.se/docs/caextract.html)와 같은 다른 타사에서 최신 CA 번들 목록을 다운로드합니다. 신뢰할 수 있는 인증 기관 목록은 시간이 지남에 따라 변경되어 최신 CA 번들을 사용할 수 있습니다.

    • PKI(Public Key Infrastructure)를 사용하여 신뢰할 수 있는 CA 인증서를 가져옵니다. PKI는 신뢰할 수 있는 CA 인증서의 유효성을 확인하고 인증하는 데 도움이 됩니다. 신뢰할 수 있는 CA 인증서를 포함하는 CA 프로필 그룹을 생성한 다음, 서버 인증을 위해 디바이스에서 그룹을 가져옵니다.

  2. 신뢰할 수 있는 CA 또는 신뢰할 수 있는 CA 그룹을 SSL 프록시 프로필에 연결합니다. 신뢰할 수 있는 모든 CA 또는 신뢰할 수 있는 CA를 한 번에 연결할 수 있습니다.
    • 모든 CA 프로필 그룹을 연결합니다.

      예제

    • 하나의 CA 프로필 그룹을 연결합니다(그룹 이름은 CA 프로필 그룹을 식별합니다).

      예제

CA 프로필 그룹의 모든 인증서에 대한 정보를 쉽게 표시할 수 있습니다.

CA 프로필 그룹을 삭제할 수 있습니다. CA 프로필 그룹을 삭제할 경우 해당 그룹에 속한 모든 인증서가 삭제된다는 점을 기억하십시오.

루트 CA 인증서를 브라우저로 가져오기

브라우저 또는 시스템이 SSL 프록시 프로필에서 구성된 루트 CA가 서명한 모든 인증서를 자동으로 신뢰하려면 플랫폼 또는 브라우저에 CA 루트 인증서를 신뢰하도록 지시해야 합니다.

루트 CA 인증서를 가져오려면 다음을 수행합니다.

  1. 구성된 루트 CA에 대한 PEM 형식 파일을 생성합니다.
  2. 루트 CA 인증서를 브라우저로 가져옵니다.

    Internet Explorer(버전 8.0):

    1. 도구 메뉴에서 인터넷 옵션을 선택합니다.
    2. 콘텐츠 탭에서 인증서를 클릭합니다.
    3. 신뢰할 수 있는 루트 인증 기관 탭을 선택하고 가져오기를 클릭합니다.
    4. 인증서 가져오기 마법사에서 필요한 루트 CA 인증서로 이동하여 선택합니다.

    Firefox에서(버전 39.0):

    1. 도구 메뉴에서 옵션을 선택합니다.
    2. 고급 메뉴에서 인증서 탭을 선택하고 인증서 보기를 클릭합니다.
    3. 인증서 관리자 창에서 당국 탭을 선택하고 가져오기를 클릭합니다.
    4. 필요한 루트 CA 인증서로 이동하여 선택합니다.

    Google Chrome(45.0):

    1. 설정 메뉴에서 고급 설정 표시를 선택합니다.
    2. 고급 메뉴에서 인증서 탭을 선택하고 인증서 보기를 클릭합니다.
    3. HTTPS/SSL에서 인증서 관리를 클릭합니다.
    4. 인증서 창에서 신뢰할 수 있는 루트 인증 당국을 선택하고 가져오기를 클릭합니다.
    5. 인증서 가져오기 마법사에서 필요한 루트 CA 인증서로 이동하여 선택합니다.

보안 정책에 SSL 프록시 프로필 적용

SSL 프록시는 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다. 보안 정책에서 일치 기준으로 SSL 프록시를 활성화할 트래픽을 지정한 다음 트래픽에 적용할 SSL 프록시 CA 프로필을 지정합니다. 그림 1 은 SSL 프록시 프로필 및 보안 정책 구성에 대한 그래픽 보기를 표시합니다.

그림 1: 보안 정책에 SSL 프록시 프로필 적용

보안 정책에서 SSL 프록시를 활성화하려면:

이 예는 이미 신뢰할 수 있는 보안 영역과 신뢰할 수 없는 영역을 생성하고 트러스트 영역에서 신뢰할 수 없는 영역으로 트래픽에 대한 보안 정책을 생성한 것으로 가정합니다.

  1. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 활성화할 트래픽을 지정합니다.

    예제:

  2. 보안 정책에 SSL 프록시 프로필을 적용합니다.

SSL 프록시 로깅 구성

SSL 프록시를 구성할 때 로그의 일부 또는 전부를 수신하도록 옵션을 설정할 수 있습니다. SSL 프록시 로그에는 논리적 시스템 이름, SSL 프록시 허용 목록, 정책 정보, SSL 프록시 정보 및 오류가 있을 때 문제를 해결하는 데 도움이 되는 기타 정보가 포함되어 있습니다.

오류, 경고 및 정보 이벤트와 같은 특정 이벤트의 로깅 all 을 구성할 수 있습니다. 또한 오류가 발생한 후 허용 목록, 삭제, 무시 또는 허용된 세션의 로깅을 구성할 수도 있습니다.

옵션을 사용하여 enable-flow-tracing 디버그 추적을 활성화할 수 있습니다.

인증 기관 프로필 구성

인증 기관(CA) 프로필 구성에는 CA에 특정한 정보가 포함되어 있습니다. SRX 시리즈 디바이스에 여러 CA 프로필을 가질 수 있습니다. 예를 들어, orgA에 대한 프로필 하나와 orgB용 프로필이 하나 있을 수 있습니다. 각 프로필은 CA 인증서와 연결됩니다. 이전 인증서를 제거하지 않고 새 CA 인증서를 로드하려면 새로운 CA 프로필(예: Microsoft-2008)을 생성합니다. 특정 토폴로지에서 하나의 신뢰할 수 있는 CA 그룹에서 여러 CA 프로필을 그룹화할 수 있습니다.

이 예에서는 CA ID microsoft-2008을 사용하여 ca-profile-security라는 CA 프로필을 생성합니다. 그런 다음 CA 프로필에 대한 프록시 프로필을 생성합니다.

  1. 구성 모드에서 인증서를 로드하는 데 사용되는 CA 프로필을 구성합니다.

    예제:

  2. 구성을 커밋합니다.
  3. 운영 모드에서 PKI 명령을 사용하여 인증서를 로드합니다.

    예제:

  4. 구성 모드에서 해지 확인을 비활성화합니다(필요한 경우).

    예제:

  5. 구성 모드에서 로드된 인증서를 SSL 프록시 프로필에서 신뢰할 수 있는 CA로 구성합니다.

    예제:

    참고:

    프로필에 대해 하나 이상의 신뢰할 수 있는 CA를 구성할 수 있습니다.

  6. (선택 사항) 신뢰할 수 있는 CA 인증서가 여러 개 있는 경우 각 신뢰할 수 있는 CA를 별도로 지정할 필요가 없습니다. 구성 모드에서 다음 명령을 사용하여 신뢰할 수 있는 CA 인증서를 로드 all 할 수 있습니다.
    참고:

    또는 브라우저에서 신뢰할 수 있는 CA 세트를 SRX 시리즈 디바이스로 가져올 수 있습니다.

지정된 위치로 인증서 내보내기

PKI 명령을 사용하여 자체 서명된 인증서가 생성되면 새로 생성된 인증서는 사전 정의된 위치(var/db/certs/common/local)에 저장됩니다.

다음 명령을 사용하여 인증서를 디바이스 내의 특정 위치로 내보냅니다. 인증서 ID, 파일 이름 및 파일 형식 유형(DER/PEM)을 지정할 수 있습니다.

서버 인증 무시

Junos OS 서버 인증을 완전히 무시하도록 옵션을 구성할 수 있습니다. 인증을 무시하도록 시스템을 구성하는 경우 SSL 핸드셰이크 시 서버 인증서 검증 중에 발생한 오류는 무시됩니다. 일반적으로 무시되는 오류에는 CA 서명 확인이 불가, 잘못된 인증서 만료 날짜 등이 포함됩니다. 이 옵션이 설정되지 않으면 오류가 발생할 때 서버가 자체 서명 인증서를 전송하는 모든 세션이 삭제됩니다.

이 옵션을 구성하면 웹 사이트가 전혀 인증되지 않으므로 인증에 이 옵션을 사용하지 않는 것이 좋습니다. 그러나 이 옵션을 사용하여 손실된 SSL 세션의 근본 원인을 효과적으로 식별할 수 있습니다.

구성 모드에서 서버 인증을 무시하도록 지정합니다.

SSL 역방향 프록시

개요

서버 보호를 위한 프록시 모델 구현(종종 역방향 프록시라고도 함)은 향상된 핸드셰이킹과 더 많은 프로토콜 버전에 대한 지원을 제공하기 위해 SRX 시리즈 디바이스에서 지원됩니다. SSL 역방향 프록시에 의해 복호화된 트래픽에서 레이어 7 서비스(애플리케이션 보안, IPS, UTM, SKY ATP)를 활성화할 수 있습니다.

릴리스 15.1X49-D80 및 17.3R1 Junos OS SSL 역방향 프록시는 SRX5000 시리즈, SRX4100, SRX4200, SRX1500 디바이스에서 지원됩니다.

Junos OS 릴리스 15.1X49-D80 및 17.3R1부터는 IDP SSL 검사 기능을 사용하는 대신 SSL 역방향 프록시 및 침입 탐지 및 방지(IDP)를 사용하는 것이 좋습니다.

Junos OS 15.1X49-D80 및 17.3R1부터 IDP SSL Inspection는 즉시 제거되지 않고 더 이상 사용되지 않습니다. 이를 통해 하위 호환성을 제공하고 구성이 새로운 구성을 준수하도록 할 수 있습니다.

#id-overview__rp-compare1 은 15.1X48-D80 및 17.3R1 릴리스 이후 SRX 시리즈 디바이스에 적용되는 변경 사항을 제공합니다.

표 1: 릴리스 15.1X49-D80 Junos OS 전후 역방향 프록시 비교

기능

15.1X49-D80 이전

15.1X49-D80 및 17.3R1 이후

프록시 모델

SSL 핸드셰이크에 참여하는 대신 탭 모드에서만 실행되며 SSL 핸드셰이크를 수신하고 세션 키를 계산한 다음 SSL 트래픽을 복호화합니다.

SRX 시리즈 디바이스에서 클라이언트 SSL을 종료하고 서버와의 새로운 SSL 연결을 시작합니다. 서버/클라이언트로 전송하기 전에 클라이언트/서버에서 SSL 트래픽을 복호화하고(검사 후) 다시 암호화합니다.

프로토콜 버전

TLS 버전 1.1 및 1.2를 지원하지 않습니다.

모든 현재 프로토콜 버전을 지원합니다.

주요 교환 방법

  • RSA 지원

  • DHE를 지원하지 않습니다.

  • RSA 지원

  • DHE 또는 ECDHE 지원

에코 시스템

IDP 엔진 및 탐지기와 긴밀하게 결합.

아래 TCP 프록시와 기존 SSL 포워드 프록시를 사용합니다.

보안 서비스

복호화된 SSL 트래픽은 IDP에서만 검사할 수 있습니다.

포워드 프록시와 마찬가지로 복호화된 SSL 트래픽은 모든 보안 서비스에서 사용할 수 있습니다.

지원되는 암호

제한된 암호 세트가 지원됩니다.

일반적으로 사용되는 모든 암호가 지원됩니다.

SSL 프록시 프로필 중 하나 root-ca 또는 server-certificate 을(를) 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. #id-overview__profile-type1을 참조하십시오.

표 2: 지원되는 SSL 프록시 구성

구성된 server-certificate

root-ca 구성

프로필 유형

아니요

아니요

커밋 검사가 실패합니다. 또는 root-caserver-certificate(를) 구성해야 합니다.

커밋 검사가 실패합니다. 동일한 프로필에서 및 root-ca 모두를 구성하는 server-certificate 것은 지원되지 않습니다.

아니요

포워드 프록시

아니요

역방향 프록시

포워드 및 역방향 프록시 프로필의 여러 인스턴스 구성이 지원됩니다. 그러나 주어진 방화벽 정책의 경우 단 하나의 프로필(포워드 또는 역방향 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 포워드 및 역방향 프록시를 모두 구성하는 것도 지원됩니다.

해당 방화벽 정책에 대한 새로운 역방향 프록시 구현으로 이전 역방향 프록시 구현을 구성할 수 없습니다. 둘 다 구성된 경우 커밋 확인 실패 메시지가 표시됩니다.

다음은 역방향 프록시를 구성하는 최소 단계입니다.

  1. CLI 명령을 request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234사용하여 서버 인증서와 해당 키를 SRX 시리즈 디바이스 인증서 리포지토리에 로드합니다. 예를 들어:
  2. CLI 명령을 set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234사용하여 서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다. 예를 들어

    user@host# 설정 서비스 ssl proxy profile server-protection-profile server-certificate server2_cert_id

  3. 다음을 사용하십시오 show services ssl . 구성을 확인하기 위한 CLI 명령입니다. 예를 들어:

SSL 포워드 프록시 및 역방향 프록시는 방화벽 규칙 수준에서 프로필을 구성해야 합니다. 또한 역방향 프록시를 위한 프라이빗 키를 사용하여 서버 인증서를 구성해야 합니다. SSL 핸드셰이크 동안 SSL 프록시는 서버 프라이빗 키 해시 테이블 데이터베이스에서 일치하는 서버 프라이빗 키를 조회합니다. 조회가 성공하면 핸드셰이크가 계속됩니다. 그렇지 않으면 SSL 프록시가 핸드 쉐이크를 종료합니다. 역방향 프록시는 서버 인증서를 금지하지 않습니다. 이를 수정하지 않고 실제 서버 인증서/체인을 클라이언트로 전달합니다. 서버 인증서 인터셉팅은 포워드 프록시에서만 발생합니다.

다음은 포워드 및 역방향 프록시 프로필 구성 예시입니다.

SSL 역방향 프록시 구성

이 예는 서버 보호를 활성화하기 위해 역방향 프록시를 구성하는 방법을 보여줍니다. 또한 서버 보호를 위해 프라이빗 키가 있는 서버 인증서를 구성해야 합니다.

역방향 프록시는 추가 보안 레이어를 추가하여 서버의 세부 사항을 클라이언트에서 숨겨 서버를 보호합니다.

SSL 역방향 프록시를 구성하려면 다음을 수행해야 합니다.

  • 서버 인증서와 해당 키를 SRX 시리즈 디바이스의 인증서 리포지토리에 로드합니다.

  • 서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.

  • 보안 정책에서 SSL 프록시 프로필을 애플리케이션 서비스로 적용합니다.

SSL 역방향 프록시를 구성하려면 다음을 수행합니다.

  1. PKI 메모리에 SSL 프록시 프로필에 대한 서명 인증서와 해당 키를 로드합니다.
  2. SSL 프록시 프로필에 서버 인증서를 연결합니다.
  3. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 활성화할 트래픽을 지정합니다.
  4. 보안 정책에 SSL 프록시 프로필을 적용합니다. 이 예에서는 요구 사항에 따라 보안 영역이 생성된다고 가정합니다.

디바이스에서 SSL 역방향 프록시 구성 확인

목적

SRX 시리즈 디바이스에서 SSL 역방향 프록시 통계 보기.

작업

명령을 사용하여 show services ssl proxy statistics SSL 프록시 통계를 볼 수 있습니다.

UTM을 통한 SSL 프록시 구성

SRX 시리즈 디바이스는 클라이언트 보호(포워드 프록시) 및 서버 보호(역방향 프록시)를 지원합니다. 포워드 프록시를 위한 SSL 프록시 프로필을 구성하고 UTM(Unified Threat Management)을 활성화한 역방향 프록시를 구성할 수 있습니다.

UTM을 통한 SSL 포워드 프록시 구성

이 절차에서 UTM을 사용하여 SSL 포워드 프록시 프로필을 구성합니다. UTM을 구성할 때, SSL 프록시는 클라이언트에서 SSL 세션을 종료하고 서버에 새 SSL 세션을 설정하여 SSL 서버 역할을 합니다. SRX 시리즈 디바이스는 복호화한 다음 모든 SSL 프록시 트래픽을 다시 암호화합니다. UTM은 SSL 프록시에서 복호화된 콘텐츠를 사용할 수 있습니다.

로컬 인증서를 root-ca로 생성합니다.

  1. 운영 모드에서 로컬 디지털 인증서에 대한 키 쌍을 생성합니다.
  2. 위에서 생성된 키 쌍을 사용하여 로컬 인증서를 생성합니다.
  3. 구성 모드에서 로드된 인증서를 SSL 프록시 프로필에서 루트 ca로 적용합니다.
  4. 보안 정책에 SSL 프로필 및 UTM 정책을 연결합니다.

UTM으로 SSL 역방향 프록시 구성

이 절차에서 UTM으로 SSL 역방향 프록시 프로필을 구성합니다.

  1. 서버 인증서와 해당 키를 SRX 시리즈 디바이스 인증서 리포지토리에 로드합니다.
  2. 구성 모드에서 서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.
  3. 신뢰할 수 없는 영역에서 트러스트 영역으로 트래픽에 대한 보안 정책에 SSL 프로필 및 UTM 정책을 연결합니다.

SSL 프록시에 대한 면제 대상 허용 목록 생성

SSL 암호화 및 복호화는 SRX 시리즈 디바이스에서 메모리 리소스를 소비할 수 있습니다. 이를 제한하기 위해 익숙한 신뢰할 수 있는 서버 또는 도메인과 거래하는 세션과 같은 일부 세션에 대해 SSL 프록시 프로세싱을 선택적으로 우회할 수 있습니다. 또한 법적 요구 사항으로 인해 금융 및 은행 사이트의 세션을 면제할 수 있습니다.

SSL 프록시에서 세션을 면제하려면 서버의 IP 주소 또는 도메인 이름을 추가하여 허용 목록을 생성할 수 있습니다. 허용 목록에는 SSL 프록시 처리 시 면제하려는 주소가 포함됩니다.

다음 단계를 사용하여 allowlist를 생성합니다.

  • 글로벌 주소록에 IP 주소와 도메인 이름을 지정합니다.

  • SSL 프록시 프로필의 글로벌 주소록을 참조하십시오.

전역 주소록에서 다음 유형의 IP 주소를 구성할 수 있습니다.

  • IPv4 주소(일반 텍스트). 예를 들어:

  • IPv4 주소 범위. 예를 들어:

  • IPv4 와일드카드. 예를 들어:

  • DNS 이름입니다. 예를 들어:

  • IPv6 주소. 예를 들어:

허용 목록은 다음 유형의 IP 주소를 지원하지 않습니다.

  • 번역된 IP 주소입니다. 세션은 번역된 IP 주소가 아닌 실제 IP 주소를 기반으로 허용됩니다. 이 때문에 SSL 프록시 프로파일의 허용 목록 구성에서 실제 IP 주소는 번역된 IP 주소가 아닌 제공되어야 합니다.

  • 연속되지 않은 넷마스크입니다. 예를 들어:

    • IP 주소 -203.0.113.0 및 마스크 255.255.255.0(203.0.113.0/24)이 지원됩니다.

    • IP 주소 - 203.0.113.9 및 마스크 255.0.255.0은 지원되지 않습니다.

다음 예는 SSL 프록시 프로필에서 허용 목록을 사용하는 방법을 보여줍니다.

이 예에서는 에 대한 모든 세션을 면제합니다 www.mycompany.com. 이를 위해 먼저 주소록에 도메인을 지정한 다음 SSL 프록시 프로필에서 주소를 구성합니다.

  1. 주소록에 도메인을 구성합니다.
  2. SSL 프록시 프로필에서 전역 주소록 주소를 지정합니다.

SSL 프록시에 대해 면제된 URL 범주의 허용 목록 생성

UTM 모듈에서 지원되는 URL 범주를 구성하여 SRX 시리즈 디바이스의 SSL 검사에서 제외할 수 있습니다. UTM의 URL 범주를 사용하려면 SRX 시리즈 디바이스는 SSL 프록시 프로필을 EWF 기능과 통합합니다. 이제 SSL 프록시 프로필 아래에서 주소록과 함께 허용 목록으로 URL 범주 목록을 구성할 수 있습니다. UTM에서 지원하는 URL 범주 또는 사용자 지정 URL 범주의 사전 정의된 집합에서 목록을 구성할 수 있습니다.

보안 디바이스는 UTM 모듈에서 추출한 SNI(Server Name Indication) 필드를 사용하여 URL 범주를 결정합니다. SSL 프록시는 이 정보를 사용하여 세션을 수락할지, 프록시할지 또는 무시할지 결정합니다.

이 기능은 SRX340, SRX345, SRX5400, SRX5600, SRX5800 및 vSRX 인스턴스에서 지원됩니다.

Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 SSL 프록시 허용 목록 기능에는 UTM에서 지원하는 URL 범주가 포함됩니다.

Junos OS 릴리스 17.4R1부터 SSL 프록시 허용 목록 기능은 UTM에서 지원하는 사용자 지정 URL 범주까지 지원을 확장합니다.

다음 예는 SSL 프록시 프로필에서 URL 범주를 구성하는 방법을 보여줍니다.

면제 URL 범주 허용 목록 생성

SSL 프록시 프로필에서 사전 정의된 URL 범주를 구성하려면 다음 단계를 따르십시오.

  1. 사전 정의된 URL 범주는 UTM에 따라 다릅니다. SSL 프록시에서 URL 기반 허용 목록을 활성화하려면 다음과 같은 기본 URL 구성이 필요합니다.
  2. SSL 프록시 프로필에서 사전 정의된 URL 범주를 지정합니다. 이 예에서는 URL 범주 Enhanced_Financial_Data_and_Services 사용하고 있습니다.
  3. 일치 조건을 지정하여 보안 정책을 생성하고 UTM 정책을 보안 정책에 연결하여 SSL 허용 목록에서 URL 범주를 사용합니다.

면제된 사용자 지정 URL 범주 허용 목록 생성

SSL 프록시 프로필에서 사용자 지정 URL 범주를 구성하려면 다음 단계를 따르십시오.

  1. 사용자 지정 URL 범주를 생성합니다.

    [edit]
    user@host# set security utm custom-objects url-pattern URL-1 value www.example.com 
    user@host# set security utm custom-objects custom-url-category CATEGORY-1 value URL-1
    user@host#  set security utm feature-profile web-filtering juniper-local profile PROFILE-1 category CATEGORY-1 action permit
    

  2. 웹 필터링 HTTP 프로토콜에 대한 UTM 정책을 구성하고 이전 단계에서 생성한 프로필을 UTM 정책에 연결합니다.
  3. SSL 프록시 프로필의 이전 단계에서 생성한 사용자 지정 URL 범주를 지정합니다.
  4. 일치 조건을 지정하여 보안 정책을 생성하고 UTM 정책을 보안 정책에 연결하여 SSL 허용 목록에서 URL 범주를 사용합니다.
릴리스 기록 테이블
릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 SSL 프록시 허용 목록 기능은 UTM에서 지원하는 사용자 지정 URL 범주까지 지원을 확장합니다.
15.1X49-D80
릴리스 15.1X49-D80 및 17.3R1 Junos OS SSL 역방향 프록시는 SRX5000 시리즈, SRX4100, SRX4200, SRX1500 디바이스에서 지원됩니다.
15.1X49-D80
Junos OS 릴리스 15.1X49-D80 및 17.3R1부터는 IDP SSL 검사 기능을 사용하는 대신 SSL 역방향 프록시 및 침입 탐지 및 방지(IDP)를 사용하는 것이 좋습니다.
15.1X49-D80
Junos OS 15.1X49-D80 및 17.3R1부터 IDP SSL Inspection는 즉시 제거되지 않고 더 이상 사용되지 않습니다. 이를 통해 하위 호환성을 제공하고 구성이 새로운 구성을 준수하도록 할 수 있습니다.
15.1X49-D80
Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 SSL 프록시 허용 목록 기능에는 UTM에서 지원하는 URL 범주가 포함됩니다.