Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

SSL 프록시 구성

SSL 포워드 프록시 구성

SSL 프록시 구성 개요

SSL 프록시 구성에는 다음이 포함됩니다.

  • 루트 CA 인증서 구성은 인증서 등록을 참조하십시오.

  • CA 프로필 그룹 로드는 인증서 등록을 참조하십시오.

  • SSL 프록시 프로필을 구성하고 루트 CA 인증서와 CA 프로필 그룹을 연결합니다

  • 입력 트래픽 일치 기준을 정의하여 보안 정책을 생성합니다

  • 보안 정책에 SSL 프록시 프로파일 적용

  • 허용 목록 및 SSL 프록시 로깅 생성과 같은 선택적 단계

SSL 프록시 프로필을 보안 정책에 적용

SSL 프록시는 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다. 보안 정책에서 SSL 프록시를 활성화하려는 트래픽을 일치 기준으로 지정한 다음 트래픽에 적용할 SSL 프록시 CA 프로필을 지정합니다.

보안 정책에서 SSL 프록시를 활성화하려면:

이 예에서는 보안 영역 trust 및 untrust를 이미 생성하고 trust zone에서 untrust zone으로의 트래픽에 대한 보안 정책을 생성했다고 가정합니다.

  1. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 활성화하려는 트래픽을 지정합니다.

    예:

  2. SSL 프록시 프로필을 보안 정책에 적용합니다.

SSL 프록시 로깅 구성

SSL 프록시를 구성할 때 로그의 일부 또는 전부를 수신하도록 옵션을 설정할 수 있습니다. SSL 프록시 로그에는 논리적 시스템 이름, SSL 프록시 허용 목록, 정책 정보, SSL 프록시 정보 및 오류 발생 시 문제 해결에 도움이 되는 기타 정보가 포함되어 있습니다.

오류, 경고, 정보 이벤트와 같은 특정 이벤트의 all 로깅을 구성할 수 있습니다. 오류 발생 후 허용 목록에 추가되거나, 삭제되거나, 무시되거나, 허용되는 세션의 로깅을 구성할 수도 있습니다.

옵션을 사용하여 enable-flow-tracing 디버그 추적을 활성화할 수 있습니다.

서버 인증 무시

Junos OS를 사용하면 서버 인증을 완전히 무시하는 옵션을 구성할 수 있습니다. 인증을 무시하도록 시스템을 구성하는 경우, SSL 핸드셰이크 시 서버 인증서 확인 중에 발생한 모든 오류가 무시됩니다. 일반적으로 무시되는 오류로는 CA 서명을 확인할 수 없음, 잘못된 인증서 만료 날짜 등이 있습니다. 이 옵션을 설정하지 않으면 오류가 발생할 때 서버가 자체 서명된 인증서를 보내는 모든 세션이 삭제됩니다.

이 옵션을 구성하면 웹 사이트가 전혀 인증되지 않으므로 인증에 사용하지 않는 것이 좋습니다. 그러나 이 옵션을 사용하여 손실된 SSL 세션의 근본 원인을 효과적으로 식별할 수 있습니다.

구성 모드에서 서버 인증을 무시하도록 지정합니다.

SSL 역방향 프록시

개요

프록시 모델 구현(역방향 프록시)은 서버 보호를 강화합니다. 핸드셰이킹을 개선하고 더 많은 프로토콜 버전을 지원합니다. SSL 역방향 프록시 복호화 트래픽에서 애플리케이션 보안, IPS, 콘텐츠 보안, ATP 클라우드와 같은 레이어 7 서비스를 활성화할 수 있습니다.

IDP SSL 검사 기능을 사용하는 대신 SSL 역방향 프록시와 침입 탐지 및 방지(IDP)를 사용하는 것이 좋습니다. 최근 Junos OS 릴리스에서는 이전 버전과의 호환성을 제공하고 구성이 새 구성과 호환되도록 하기 위해 IDP SSL 검사가 즉시 제거되지 않고 더 이상 사용되지 않습니다.

역방향 프록시 기능:

  • 방화벽에서 클라이언트 SSL을 종료하고 서버와의 새 SSL 연결을 시작합니다. 클라이언트/서버의 SSL 트래픽을 복호화하고 서버/클라이언트로 전송하기 전에 다시 암호화합니다(검사 후).

  • 현재의 모든 프로토콜 버전을 지원합니다.

    • RSA 지원

    • DHE 또는 ECDHE 지원

  • 아래에 TCP 프록시가 있는 기존 SSL 포워드 프록시를 사용합니다.

  • 포워드 프록시와 마찬가지로 복호화된 SSL 트래픽은 모든 보안 서비스에 사용할 수 있습니다.

  • 일반적으로 사용되는 모든 암호가 지원됩니다.

SSL 프록시 프로필 중 하나를 root-ca 구성 server-certificate 하거나 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. 지원되는 구성 세부 정보는 다음 표를 참조하십시오.

표 1: 지원되는 SSL 프록시 구성

서버 인증서 구성

root-ca 구성

프로파일 유형

아니요

아니요

커밋 검사가 실패합니다. 또는 root-ca중 하나를 server-certificate 구성해야 합니다.

커밋 검사가 실패합니다. 동일한 프로파일에서 and root-ca 를 모두 server-certificate 구성하는 것은 지원되지 않습니다.

아니요

포워드 프록시

아니요

역방향 프록시

정방향 및 역방향 프록시 프로필의 여러 인스턴스 구성이 지원됩니다. 그러나 주어진 방화벽 정책에 대해 하나의 프로필(정방향 또는 역방향 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 정방향 및 역방향 프록시를 모두 구성하는 것도 지원됩니다.

해당 방화벽 정책에 대해 새로운 역방향 프록시 구현으로 이전 역방향 프록시 구현을 구성할 수 없습니다. 둘 다 구성된 경우 커밋 검사 실패 메시지를 받게 됩니다.

다음은 역방향 프록시를 구성하는 최소 단계입니다.

  1. CLI 명령을 request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234사용하여 서버 인증서와 해당 키를 방화벽 인증서 저장소에 로드합니다. 예를 들어:
  2. CLI 명령을 사용하여 서버 인증서 식별자를 SSL 프록시 프로필에 CLI 연결합니다set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234. 예를 들어

    user@host# 서비스 SSL 프록시 프로필 서버 보호 프로필 서버 인증서 server2_cert_id 설정

  3. 사용 show services ssl CLI 명령을 사용하여 구성을 확인합니다. 예를 들어:

SSL 포워드 프록시 및 리버스 프록시를 사용하려면 방화벽 규칙 수준에서 프로필을 구성해야 합니다. 또한 역방향 프록시를 위한 개인 키로 서버 인증서도 구성해야 합니다. SSL 핸드셰이크 중에 SSL 프록시는 서버 개인 키 해시 테이블 데이터베이스에서 일치하는 서버 개인 키를 찾습니다. 조회가 성공하면 핸드셰이크가 계속됩니다. 그렇지 않으면 SSL 프록시가 핸드 셰이크를 종료합니다. 역방향 프록시는 서버 인증서를 금지하지 않습니다. 실제 서버 인증서/체인을 수정하지 않고 있는 그대로 클라이언트에 전달합니다. 서버 인증서 가로채기는 포워드 프록시에서만 발생합니다.

SSL 역방향 프록시 구성

이 예에서는 서버 보호를 사용하도록 역방향 프록시를 구성하는 방법을 보여 줍니다. 서버 보호를 위해 개인 키가 포함된 서버 인증서를 추가로 구성해야 합니다.

역방향 프록시는 클라이언트로부터 서버의 세부 정보를 숨기고 추가 보안 계층을 추가하여 서버를 보호합니다.

SSL 역방향 프록시를 구성하려면 다음을 수행해야 합니다.

  • 서버 인증서와 해당 키를 방화벽의 인증서 리포지토리에 로드합니다.

  • 서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.

  • SSL 프록시 프로필을 보안 정책의 애플리케이션 서비스로 적용합니다.

SSL 역방향 프록시를 구성하려면 다음을 수행합니다.

  1. PKI 메모리에 SSL 프록시 프로필에 대한 서명 인증서 및 해당 키를 로드합니다.
  2. SSL 프록시 프로필에 서버 인증서를 연결합니다.
  3. 보안 정책을 생성하고 정책에 대한 일치 기준을 지정합니다. 일치 기준으로 SSL 프록시를 활성화하려는 트래픽을 지정합니다.
  4. SSL 프록시 프로필을 보안 정책에 적용합니다. 이 예에서는 보안 영역이 요구 사항에 따라 생성된다고 가정합니다.

디바이스에서 SSL 역방향 프록시 구성 확인

목적

방화벽에서 SSL 역방향 프록시 통계 보기.

작업

명령을 사용하여 SSL 프록시 통계를 볼 수 있습니다.show services ssl proxy statistics

컨텐츠 보안으로 SSL 포워드 프록시 구성

이 절차에서는 컨텐츠 보안을 사용하여 SSL 전달 프록시 프로필을 구성합니다. 컨텐츠 보안을 구성할 때 SSL 프록시는 클라이언트에서 SSL 세션을 종료하고 서버에 대한 새 SSL 세션을 설정하여 SSL 서버 역할을 합니다. 방화벽은 모든 SSL 프록시 트래픽을 복호화한 다음 다시 암호화합니다. Content 보안은 SSL 프록시에서 복호화된 콘텐츠를 사용할 수 있습니다.

로컬 인증서를 root-ca로 생성합니다.

  1. 운영 모드에서 로컬 디지털 인증서에 대한 키 쌍을 생성합니다.
  2. 위에서 생성된 키 쌍을 사용하여 로컬 인증서를 생성합니다.
  3. 구성 모드에서 로드된 인증서를 SSL 프록시 프로필에 root-ca로 적용합니다.
  4. SSL 프로필 및 컨텐츠 보안 정책을 보안 정책에 첨부합니다.

컨텐츠 보안으로 SSL 역방향 프록시 구성

이 절차에서는 컨텐츠 보안으로 SSL 역방향 프록시 프로필을 구성합니다.

  1. 서버 인증서와 해당 키를 방화벽 인증서 저장소에 로드합니다.
  2. 구성 모드에서 서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.
  3. 신뢰할 수 없는 영역에서 신뢰 영역으로의 트래픽에 대한 보안 정책에 SSL 프로필 및 콘텐츠 보안 정책을 첨부합니다.

SSL 프록시에 대한 면제 대상 허용 목록 생성

SSL 암호화 및 복호화는 방화벽의 메모리 리소스를 사용할 수 있습니다. 이를 제한하기 위해 익숙한 신뢰할 수 있는 서버 또는 도메인과 트랜잭션되는 세션과 같은 일부 세션에 대해 SSL 프록시 처리를 선택적으로 우회할 수 있습니다. 법적 요구 사항으로 인해 금융 및 은행 사이트와의 세션을 면제할 수도 있습니다.

SSL 프록시에서 세션을 제외하려면 서버의 IP 주소 또는 도메인 이름을 추가하여 허용 목록을 만들 수 있습니다. 허용 목록에는 SSL 프록시 처리를 받지 않으려는 주소가 포함됩니다.

허용 목록을 생성하려면 다음 단계를 따르십시오.

  • 전체 주소록에 IP 주소와 도메인 이름을 지정합니다.

  • SSL 프록시 프로필의 글로벌 주소록을 참조하십시오.

글로벌 주소록에서 다음 유형의 IP 주소를 구성할 수 있습니다.

  • IPv4 주소(일반 텍스트). 예를 들어:

  • IPv4 주소 범위. 예를 들어:

  • IPv4 와일드카드. 예를 들어:

  • DNS 이름입니다. 예를 들어:

  • IPv6 주소입니다. 예를 들어:

허용 목록은 다음 유형의 IP 주소를 지원하지 않습니다.

  • 변환된 IP 주소입니다. 세션은 변환된 IP 주소가 아닌 실제 IP 주소를 기반으로 허용 목록에 추가됩니다. 이 때문에 SSL 프록시 프로필의 허용 목록 구성에서는 변환된 IP 주소가 아닌 실제 IP 주소를 제공해야 합니다.

  • 인접하지 않은 넷마스크. 예를 들어:

    • IP 주소 -203.0.113.0 및 마스크 255.255.255.0, 즉 203.0.113.0/24가 지원됩니다.

    • IP 주소 - 203.0.113.9 및 마스크 255.0.255.0은 지원되지 않습니다.

다음 예는 SSL 프록시 프로필에서 허용 목록을 사용하는 방법을 보여줍니다.

이 예에서는 모든 세션을 면제합니다. www.mycompany.com 이를 위해서는 먼저 주소록에 도메인을 지정한 다음 SSL 프록시 프로필에 주소를 구성합니다.

  1. 주소록에서 도메인을 구성합니다.
  2. SSL 프록시 프로필에서 글로벌 주소록 주소를 지정합니다.

SSL 프록시에 대한 면제 URL 범주 허용 목록 만들기

컨텐츠 보안 모듈에서 URL 범주를 설정하여 방화벽에서 SSL 검사를 건너뛸 수 있습니다. 이를 위해 SRX는 SSL 프록시 프로필을 EWF(Enhanced Web Filtering) 기능과 연결합니다. 이 기능을 활성화한 후 주소록과 함께 SSL 프록시 프로필의 허용 목록에 URL 범주를 추가할 수 있습니다. 사전 정의된 범주 중에서 선택하거나 Content 보안에서 지원하는 사용자 지정 범주를 만들 수 있습니다.

보안 디바이스는 Content 보안 모듈에서 추출한 SNI(Server Name Indication) 필드를 사용하여 URL 범주를 결정합니다. SSL 프록시는 이 정보를 사용하여 세션을 수락 또는 프록시할지 또는 무시할지 여부를 결정합니다.

SSL 프록시 허용 목록 기능에는 콘텐츠 보안에서 지원하는 URL 범주가 포함되며 SSL 프록시 허용 목록 기능은 콘텐츠 보안에서 지원하는 사용자 지정 URL 범주로 지원을 확장합니다.

다음 예는 SSL 프록시 프로필에서 URL 범주를 구성하는 방법을 보여줍니다.

면제된 URL 범주의 허용 목록 만들기

SSL 프록시 프로필에서 사전 정의된 URL 범주를 구성하려면 다음 단계를 따르십시오.

  1. 사전 정의된 URL 범주는 컨텐츠 보안에 따라 다릅니다. SSL 프록시에서 URL 기반 허용 목록을 활성화하려면 다음과 같은 기본 URL 구성이 필요합니다.
  2. SSL 프록시 프로필에서 사전 정의된 URL 범주를 지정합니다. 이 예에서는 URL 카테고리 Enhanced_Financial_Data_and_Services를 사용하고 있습니다.
  3. 일치 조건을 지정하여 보안 정책을 생성하고 SSL 허용 목록의 URL 범주를 사용하도록 보안 정책에 콘텐츠 보안 정책을 첨부합니다.

면제된 사용자 지정 URL 범주의 허용 목록 만들기

SSL 프록시 프로필에서 사용자 정의 URL 범주를 구성하려면 다음 단계를 따르십시오.

  1. 사용자 지정 URL 범주를 만듭니다.
  2. 웹 필터링 HTTP 프로토콜에 대한 콘텐츠 보안 정책을 구성하고 이전 단계에서 만든 프로필을 콘텐츠 보안 정책에 연결합니다.
  3. SSL 프록시 프로필의 이전 단계에서 만든 사용자 지정 URL 범주를 지정합니다.
  4. 일치 조건을 지정하여 보안 정책을 생성하고 SSL 허용 목록의 URL 범주를 사용하도록 보안 정책에 콘텐츠 보안 정책을 첨부합니다.

SSL 프록시 프로필에 대한 구성 제한

SSL 포워드 프록시 및 SSL 리버스 프록시 구성 모두에서 신뢰할 수 있는 CA 인증서, 서버 인증서 및 URL 범주에 대한 제한을 업데이트했습니다. 이러한 변경은 최대 구성 Blob 크기 제한인 56,986바이트를 준수하도록 보장합니다.

제한 크기 변경:

  • 신뢰할 수 있는 CA 인증서/서버 인증서: 최대 제한 400개(기존 1024개 감소)

  • URL 범주: 최대 제한 800개(변경되지 않음)

구성 문:

신뢰할 수 있는 CA 인증서

서버 인증서

URL 카테고리

참고: 역방향 프록시 구성에서 서버 인증서와 URL 범주의 총 크기가 56,986바이트를 초과하지 않도록 합니다. 결합된 크기가 제한을 초과하면 커밋 중에 다음 오류 메시지가 표시됩니다.

이 오류는 메모리 사용량 분석을 제공하여 그에 따라 구성을 조정하는 데 도움이 됩니다.

프록시 인증 지원

프록시 프로필을 사용하여 인증 지원이 있는 프록시 서버를 통해 아웃바운드 HTTPS 트래픽을 안전하게 라우팅할 수 있습니다. 프록시 프로필 내에서 직접 프록시 인증을 구성할 수 있습니다. 사용자 이름과 비밀번호를 설정하면 외부 피드 및 서비스에 안전하게 액세스할 수 있습니다. 이 인증 메커니즘은 프록시 서버를 통해 인증된 안전한 HTTPS 통신을 사용하도록 여러 서비스를 지원합니다.

서버 통신을 위해 HTTP 프록시를 지원하는 다음 연결에는 이제 프록시 인증 지원이 포함됩니다.

  • 피드를 다운로드하고 업로드하기 위한 ATP 클라우드에 대한 SecIntel 연결.
  • 서명 데이터베이스 다운로드를 위한 IDP 및 애플리케이션 식별 연결.
  • 다음 기능에 대한 콘텐츠 보안(이전의 UTM):
    • Avira AV 바이러스 데이터베이스 및 엔진 업데이트 연결.
    • Sophos AV는 클라우드에 대한 쿼리를 스캔합니다.
    • 웹 필터링 URL 범주 쿼리를 클라우드에 전송합니다.
    • 웹 필터링 범주 업데이트.
    • 웹 필터링 URL 피드 다운로드.

  • 다음을 위한 ATP 클라우드 연결

    • 등록 절차
    • 파일 제출 연결
    • 주니퍼 CDN의 바이러스 백신 시그니처 업데이트.
    • 동적 주소 그룹 피드
  • 다음에 대한 공개 키 인프라 데몬:
    • HTTP 및 HTTPS를 통한 SCEP 등록.
    • HTTP 및 HTTPS를 통한 CRL 다운로드.

프록시 인증 지원의 이점

외부 피드 및 서비스에 대한 안전한 액세스를 제공하고 확인되지 않은 데이터 소스가 보호된 네트워크 환경과 상호 작용하지 못하도록 방지하여 전반적인 보안 태세를 개선합니다.

구성 샘플

안전하고 인증된 연결을 설정하려면 다음 설정을 구성해야 합니다.

프록시 프로필에서 인증 자격 증명 구성

프록시 프로필에서 사용자 이름과 비밀번호를 구성하여 프록시 인증 설정:

보안 서비스에서 프록시 프로필 지정

예:

애플리케이션 식별 및 IDP를 위한 프록시 프로파일

프록시 프로필을 생성하고 이를 사용하여 프록시 서버를 통해 애플리케이션 서명 패키지 또는 IDP 서명 패키지를 다운로드합니다.

명시적 프록시 서버를 통한 애플리케이션 서명 패키지Junos OS IDP 서명 패키지 설치를 참조하십시오.

컨텐츠 보안에 대한 프록시 프로파일

업데이트를 위해 Avira 및 Sophos 바이러스 백신 엔진에 프록시 프로필을 구성하고 안전한 서버 통신을 위해 주니퍼 웹 필터링에 프록시 프로필을 구성합니다

예: Avira 바이러스 차단 구성, 웹 프록시를 사용하여 Sophos Antivirus Live Protection 버전 2.0 구성차세대 웹 필터링 구성을 참조하십시오.

주니퍼 ATP 클라우드용 프록시 프로파일

SRX 시리즈 방화벽에서 웹 프록시를 통한 HTTP(S) 아웃바운드 액세스를 활성화하려면 프록시 프로필을 사용하도록 주니퍼 ATP 클라우드를 구성합니다. 이러한 프로필은 맬웨어 방지 및 SecIntel 정책에 적용됩니다.

자세한 내용은 주니퍼 ATP 클라우드용 명시적 웹 프록시 를 참조하십시오.

PKI

CA 프로필에서 프록시 프로필을 구성합니다. 인증서 등록, 확인 또는 해지 중에 디바이스는 CA 서버 대신 프록시 호스트에 연결됩니다

인증 기관 참조

참고:
  • 기본 인증에 대해서만 지원이 제공됩니다. Base64 인코딩 형식으로 헤더에 Proxy-Authorization 전송되는 사용자 이름과 암호를 제공해야 합니다.
  • 사용자 이름과 암호를 동시에 구성해야 합니다.
  • 비밀번호를 정기적으로 업데이트하고 무단 액세스 시도를 모니터링하여 강력한 보안을 유지하세요.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
25.2
Junos OS 릴리스 25.2R1 및 24.2R2부터 SSL 포워드 프록시 및 SSL 리버스 프록시 구성 모두에서 신뢰할 수 있는 CA 인증서, 서버 인증서 및 URL 범주에 대한 제한이 업데이트되었습니다. 이러한 변경은 최대 구성 Blob 크기 제한인 56,986바이트를 준수하도록 보장합니다.