SSL 프록시
SSL 프록시는 클라이언트와 서버 간에 SSL 암호화 및 암호 해독을 수행하는 중개자 역할을 합니다. SSL 포워드 프록시를 사용하는 경우 애플리케이션 사용에 대한 더 나은 가시성을 사용할 수 있습니다.
SSL 프록시 개요
지원되는 기능 및 플랫폼의 전체 목록은 기능 탐색기의 SSL 프록시를 참조하십시오.
SSL(Secure Sockets Layer)은 인터넷에 암호화 기술을 제공하는 응용 프로그램 수준 프로토콜입니다. TLS(전송 레이어 보안)라고도 하는 SSL은 개인 정보 보호, 인증, 기밀성 및 데이터 무결성의 조합을 통해 클라이언트와 서버 간의 안전한 데이터 전송을 보장합니다. SSL은 이 보안 수준을 위해 인증서 및 개인-공개 키 교환 쌍에 의존합니다.
SSL 프록시는 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하는 투명 프록시입니다.
SSL 프록시는 어떻게 작동합니까?
SSL 프록시는 다음과 같은 조합을 통해 클라이언트와 서버 간에 데이터를 안전하게 전송합니다.
인증-서버 인증은 웹 브라우저가 웹 서버의 ID를 검증할 수 있도록 하여 사기성 전송으로부터 보호합니다.
기밀성 - SSL은 권한이 없는 사용자가 전자 통신을 도청하는 것을 방지하기 위해 데이터를 암호화하여 기밀성을 강화합니다. 따라서 통신의 프라이버시를 보장합니다.
무결성 - 메시지 무결성은 통신 내용이 변조되지 않도록 합니다.
SSL 프록시 역할을 하는 SRX 시리즈 방화벽은 한쪽 끝의 클라이언트와 다른 끝의 서버 간의 SSL 연결을 관리하고 다음 작업을 수행합니다.
클라이언트와 SRX 시리즈 간의 SSL 세션 - 클라이언트에서 서버로의 SSL 세션이 시작될 때 클라이언트에서 SSL 연결을 종료합니다. SRX 시리즈 방화벽은 트래픽을 복호화하고 공격(양방향)을 검사한 후 클라이언트를 대신하여 서버에 대한 연결을 시작합니다.
서버와 SRX 시리즈 간의 SSL 세션 - SSL 세션이 외부 서버에서 로컬 서버로 시작될 때 서버에서 SSL 연결을 종료합니다. SRX 시리즈 방화벽은 클라이언트로부터 일반 텍스트를 수신하고 데이터를 암호화하여 SSL 서버에 암호문으로 전송합니다. 반면, SRX 시리즈는 SSL 서버의 트래픽을 복호화하고 공격을 검사한 후 데이터를 일반 텍스트로 클라이언트에 전달합니다.
암호화된 트래픽을 검사할 수 있습니다.
SSL 프록시 서버는 암호화 기술로 데이터의 안전한 전송을 보장합니다. SSL은 인증서 및 개인-공개 키 교환 쌍을 사용하여 보안 통신을 제공합니다. 자세한 내용은 SSL 인증서를 참조하십시오.
SRX 시리즈 방화벽과 클라이언트/서버 간에 SSL 세션을 설정하고 유지하기 위해 SRX 시리즈 방화벽은 수신하는 트래픽에 보안 정책을 적용합니다. 트래픽이 보안 정책 기준과 일치하면 SSL 프록시가 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다.
애플리케이션 보안 서비스를 사용하는 SSL 프록시
그림 1 은 SSL 프록시가 암호화된 페이로드에서 작동하는 방식을 보여줍니다.
애플리케이션 방화벽(AppFW), 침입 탐지 및 방지(IDP), 애플리케이션 추적(AppTrack), 콘텐츠 보안 및 ATP 클라우드와 같은 고급 보안 서비스가 구성되면 SSL 프록시는 클라이언트에서 SSL 세션을 종료하고 서버에 대한 새 SSL 세션을 설정하여 SSL 서버 역할을 합니다. SRX 시리즈 방화벽은 모든 SSL 프록시 트래픽을 해독한 다음 다시 암호화합니다.
IDP, AppFW, AppTracking, 고급 정책 기반 라우팅(APBR), 콘텐츠 보안, ATP 클라우드 및 ICAP 서비스 리디렉션은 SSL 프록시에서 해독된 콘텐츠를 사용할 수 있습니다. 이러한 서비스가 구성되지 않은 경우 SSL 프록시 프로파일이 방화벽 정책에 연결되어 있더라도 SSL 프록시 서비스가 우회됩니다.
SSL 프록시 유형
SSL 프록시는 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하는 투명 프록시입니다. SRX는 클라이언트의 관점에서 서버 역할을 하며, 서버의 관점에서 클라이언트 역할을 합니다. SRX 시리즈 방화벽에서 클라이언트 보호(포워드 프록시) 및 서버 보호(리버스 프록시)는 동일한 에코 시스템 SSL-T-SSL[클라이언트 측의 터미네이터] 및 SSL-I-SSL[서버 측의 개시자])을 사용하여 지원됩니다.
SRX 시리즈 방화벽은 다음 유형의 SSL 프록시를 지원합니다.
정방향 프록시라고도 하는 클라이언트 보호 SSL 프록시 - SRX 시리즈 방화벽은 내부 클라이언트와 외부 서버 사이에 위치합니다. 아웃바운드 세션, 즉 로컬로 시작된 SSL 세션을 인터넷에 프록시합니다. 내부 사용자에서 웹으로의 트래픽을 해독하고 검사합니다.
서버 보호 SSL 프록시(역방향 프록시라고도 함) - SRX 시리즈 방화벽은 내부 서버와 외부 클라이언트 사이에 위치합니다. 인바운드 세션, 즉 인터넷에서 로컬 서버로 외부에서 시작된 SSL 세션을 프록시합니다.
SSL 포워드 프록시 및 리버스 프록시에 대한 자세한 내용은 SSL 프록시 구성을 참조하십시오.
지원되는 SSL 프로토콜
다음 SSL 프로토콜은 SSL 시작 및 종료 서비스를 위해 SRX 시리즈 방화벽에서 지원됩니다.
-
TLS 버전 1.0 - 통신 애플리케이션 간 인증 및 보안 통신을 제공합니다.
-
TLS 버전 1.1 - 이 향상된 TLS 버전은 암호 블록 체인(CBC) 공격에 대한 보호 기능을 제공합니다.
-
TLS 버전 1.2 — 이 향상된 TLS 버전은 암호화 알고리즘 협상에 대한 향상된 유연성을 제공합니다.
-
TLS 버전 1.3 — 이 향상된 TLS 버전은 향상된 보안과 더 나은 성능을 제공합니다.
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 TLS 버전 1.1 및 TLS 버전 1.2 프로토콜은 TLS 버전 1.0과 함께 SRX 시리즈 방화벽에서 지원됩니다.
Junos OS 릴리스 15.1X49-D20 및 Junos OS 릴리스 17.3R1부터는 SSL 프로토콜 3.0(SSLv3) 지원이 더 이상 사용되지 않습니다.
Junos OS 릴리스 21.2R1부터 SRX 시리즈 방화벽에서 SSL 프록시는 TLS 버전 1.3을 지원합니다.
TLS 1.3을 사용할 경우 SRX 시리즈 방화벽은 서버와의 연결을 설정하기 위한 키 교환을 위해 secp256r1 그룹을 지원합니다. 서버가 secp384r1만 지원하는 경우 연결이 종료됩니다.
Junos OS 릴리스 24.2R1부터 SRX 시리즈 방화벽은 SSL-I(SSL Initiation) 프로세스에 대한 SNI를 지원합니다. SNI(Server Name Indication)는 SSL 핸드셰이크가 완료되기 전에 HTTPS "Client Hello" 교환 중에 대상 서버의 호스트 이름을 일반 텍스트로 전달하는 SSL/TLS 헤더의 확장입니다.
SSL 프록시의 이점
SSL 트래픽을 복호화하여 세분화된 애플리케이션 정보를 얻고 고급 보안 서비스 보호를 적용하며 위협을 탐지할 수 있도록 합니다.
클라이언트와 서버에서 강력한 프로토콜과 암호를 사용하도록 강제합니다.
SSL 암호화된 트래픽에 내장된 위협에 대해 가시성과 보호를 제공합니다.
선택적 SSL 프록시를 사용하여 암호를 해독해야 하는 항목을 제어합니다.
논리적 시스템 지원
논리적 시스템을 사용하여 구성된 방화벽 정책에서 SSL 프록시를 활성화할 수 있습니다. 그러나 다음과 같은 제한 사항이 있습니다.
"서비스" 범주는 현재 논리적 시스템 구성에서 지원되지 않습니다. SSL 프록시는 "서비스" 아래에 있기 때문에 SSL 프록시 프로파일을 논리적 시스템별로 구성할 수 없습니다.
글로벌 수준에서 구성된 프록시 프로필("services ssl proxy" 내에서)은 논리적 시스템 구성 전체에서 볼 수 있으므로 글로벌 수준에서 프록시 프로필을 구성한 다음 하나 이상의 논리적 시스템의 방화벽 정책에 연결할 수 있습니다.
제한
모든 SRX 시리즈 방화벽에서 현재 SSL 프록시 구현은 다음과 같은 연결 제한을 가지고 있습니다.
SSLv3.0 프로토콜 지원은 더 이상 사용되지 않습니다.
SSLv2 프로토콜은 지원되지 않습니다. SSLv2를 사용하는 SSL 세션이 삭제됩니다.
X.509v3 인증서만 지원됩니다.
SSL 핸드셰이크의 클라이언트 인증은 지원되지 않습니다.
클라이언트 인증서 인증이 필수인 SSL 세션은 삭제됩니다.
재협상이 요청된 SSL 세션은 삭제됩니다.
- SRX 시리즈 방화벽에서는 특정 세션에 대해 SSL 트래픽과 관련된 관련 기능이 활성화된 경우에만 SSL 프록시가 활성화됩니다. SSL 트래픽과 관련된 기능으로는 IDP, 애플리케이션 식별, 애플리케이션 방화벽, 애플리케이션 추적, 고급 정책 기반 라우팅, 콘텐츠 보안, ATP 클라우드 및 ICAP 리디렉션 서비스가 있습니다. 세션에서 이러한 기능 중 어느 것도 활성화되지 않은 경우 SSL 프록시는 세션을 우회하고 이 시나리오에서 로그가 생성되지 않습니다.
- 멀티노드 고가용성 설정에서 작동하는 SRX 시리즈 방화벽은 SSL 프록시 기능을 지원하지 않습니다.