논리적 시스템에 대한 ICAP 리디렉션
ICAP는 투명 프록시 서버를 확장하여 리소스를 확보하는 데 사용되는 경량 프로토콜입니다. 자세한 내용은 다음 항목을 참조하세요.
논리적 시스템에 대한 ICAP 리디렉션 지원
Junos OS 릴리스 18.3R1부터 SRX 시리즈 방화벽은 디바이스가 논리적 시스템에 대해 구성될 때 ICAP(Internet Content Adaptation Protocol) 서비스 리디렉션을 지원합니다.
ICAP 리디렉션 프로필은 동일한 논리적 시스템에 속하는 정책에만 연결할 수 있습니다. 이 프로필은 허용된 트래픽에 대한 애플리케이션 서비스로 보안 정책에 적용됩니다. ICAP 프로필은 ICAP 서버가 요청 메시지, 응답 메시지, 대체 옵션(시간 초과의 경우), 연결 문제, 너무 많은 요청 또는 기타 조건을 처리할 수 있도록 하는 설정을 정의합니다.
SSL(Secure Sockets Layer)은 인터넷에 암호화 기술을 제공하는 응용 프로그램 수준의 프로토콜입니다. SSL 프록시는 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하는 중개자 역할을 합니다. TLS(전송 계층 보안)라고도 하는 SSL은 개인 정보 보호, 인증, 기밀성 및 데이터 무결성의 조합을 통해 클라이언트와 서버 간의 안전한 데이터 전송을 보장합니다. SSL은 이 보안 수준을 위해 인증서 및 개인-공개 키 교환 쌍에 의존합니다. SSL 프록시는 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하는 중개자 역할을 하지만 서버나 클라이언트 모두 그 존재를 감지할 수 없습니다.
ICAP 리디렉션 서비스는 보안 연결을 구축하기 위해 SSL 프록시에 종속됩니다. SSL 프록시는 Junos OS 릴리스 18.3R1의 사용자 논리적 시스템에서 지원되지 않기 때문에 ICAP 리디렉션은 Junos OS 릴리스 18.3R1의 일반 텍스트 연결 또는 공유 인증서에서 작동합니다.
다음 시퀀스는 일반적인 ICAP 리디렉션 시나리오와 관련이 있습니다.
사용자가 인터넷에서 웹 사이트에 대한 연결을 엽니다.
-
요청은 프록시 서버 역할을 하는 SRX 시리즈 방화벽을 통과합니다.
-
SRX 시리즈 방화벽은 최종 호스트로부터 정보를 수신하고 메시지를 캡슐화한 후 캡슐화된 ICAP 메시지를 타사 온프레미스 ICAP 서버로 전달합니다.
ICAP 서버는 ICAP 요청을 수신하고 분석합니다.
요청에 기밀 정보가 포함되어 있지 않은 경우 ICAP 서버는 이를 프록시 서버로 다시 보내고 프록시 서버가 HTTP를 인터넷으로 보내도록 지시합니다.
요청에 기밀 정보가 포함된 경우 요구 사항에 따라 조치(차단, 허용 및 로그)를 수행하도록 선택할 수 있습니다.
논리적 시스템을 사용하는 SSL 프록시의 한계
다음은 사용자 논리적 시스템에 대한 ICAP 리디렉션 서비스 사용에 대한 제한 사항입니다.
SSL 프록시는 Junos OS 릴리스 18.3R1의 기본 논리적 시스템에서만 지원됩니다.
ICAP 서버에 대한 보안 연결을 제공하도록 구성된 SSL 프로필은 Junos OS 릴리스 18.3R1의 사용자 논리적 시스템에서 지원되지 않습니다.
또한보십시오
예: SRX 시리즈 방화벽에서 ICAP 리디렉션 서비스 구성
이 예에서는 SRX 시리즈 방화벽에 대한 ICAP 리디렉션 프로필을 정의하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽(Junos OS 릴리스 18.3R1 이상 포함). 이 구성 예는 Junos OS 릴리스 18.3R1에 대해 테스트되었습니다.
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 논리적 시스템에서 ICAP 리디렉션 프로필을 구성하고 허용된 트래픽에 대한 보안 정책에서 이러한 프로필을 애플리케이션 서비스로 적용합니다.
표 1 에는 이 예에서 사용된 매개 변수의 세부 정보가 나열되어 있습니다.
매개 변수 |
이름 |
설명 |
|---|---|---|
프로필 |
ICAP-PF1 시리즈 |
ICAP 서버 프로필을 사용하면 ICAP 서버가 허용된 트래픽에 대한 요청 메시지, 응답 메시지, 대체 옵션 등을 처리할 수 있습니다. 이 프로필은 보안 정책에서 애플리케이션 서비스로 적용됩니다. |
서버 이름 |
ICAP-SVR1〈블랙〉 ICAP-SVR2〈블랙〉 |
원격 ICAP 호스트의 컴퓨터 이름입니다. 클라이언트의 요청이 이 ICAP 서버로 리디렉션됩니다. |
서버 IP 주소 |
192.0.2.2/24 192.0.2.179/24 |
원격 ICAP 호스트의 IP 주소입니다. 클라이언트의 요청이 이 ICAP 서버로 리디렉션됩니다. |
논리 시스템 이름 |
엘시스1 |
동일한 프로파일에 속하는 논리적 시스템 이름을 표시합니다. |
보안 정책 |
SP1 |
보안 정책에서 SSL 프록시 프로파일 및 ICAP 리디렉션 프로파일을 적용합니다. 허용된 트래픽에. |
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr1 host 192.0.2.2/24 set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr1 reqmod-uri echo set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr1 respmod-uri echo set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr1 sockets 64 set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr2 host 192.0.2.179/24 set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr2 reqmod-uri echo set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr2 respmod-uri echo set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr2 sockets 64 set logical-systems LSYS1 services icap-redirect profile icap-pf1 server icap-svr2 tls-profile dlp_ssl set logical-systems LSYS1 services icap-redirect profile icap-pf1 http redirect-request set logical-systems LSYS1 services icap-redirect profile icap-pf1 http redirect-response set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy sec_policy match source-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy sec_policy match application any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy sec_policy then permit application-services ssl-proxy profile-name ssl-inspect-profile set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy sec_policy then permit application-services icap-redirect icap-pf1 set logical-systems LSYS1 security policies default-policy permit-all set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic protocols all set logical-systems LSYS1 security zones security-zone trust interfaces xe-5/0/0.0 set logical-systems LSYS1 security zones security-zone untrust host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone untrust host-inbound-traffic protocols all set logical-systems LSYS1 security zones security-zone untrust interfaces xe-5/0/1.0 set logical-systems LSYS1 interfaces xe-5/0/0 unit 0 family inet address 192.0.2.1/8 set logical-systems LSYS1 interfaces xe-5/0/0 unit 0 family inet6 address 2001:db8::1/64 set logical-systems LSYS1 interfaces xe-5/0/1 unit 0 family inet address 198.51.100.1/8 set logical-systems LSYS1 interfaces xe-5/0/1 unit 0 family inet6 address 2001:db8::2/64
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
ICAP 리디렉션 서비스를 구성하려면:
첫 번째 서버(icap-svr1)에 대한 ICAP 리디렉션 프로필을 구성합니다.
[edit logical-systems LSYS1 services] user@host# set icap-redirect profile icap-pf1 server icap-svr1 host 192.0.2.2/24 user@host# set icap-redirect profile icap-pf1 server icap-svr1 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr1 sockets 64
두 번째 서버(icap-svr2)에 대한 ICAP 리디렉션 프로필을 구성합니다.
[edit logical-systems LSYS1 services] user@host# set icap-redirect profile icap-pf1 server icap-svr2 host 192.0.2.179/24 user@host# set icap-redirect profile icap-pf1 server icap-svr2 reqmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 respmod-uri echo user@host# set icap-redirect profile icap-pf1 server icap-svr2 sockets 64 user@host# set icap-redirect profile icap-pf1 server icap-svr2 tls-profile dlp_ssl
HTTP 트래픽에 대한 리디렉션 요청 및 리디렉션 응답을 구성합니다.
[edit logical-systems LSYS1 services] user@host# set icap-redirect profile icap-pf1 http redirect-request user@host# set icap-redirect profile icap-pf1 http redirect-response
허용된 트래픽에 대한 ICAP 리디렉션을 위한 애플리케이션 서비스를 적용하도록 보안 정책을 구성합니다.
[edit logical-systems LSYS1 security] user@host# set policies from-zone trust to-zone untrust policy sec_policy match source-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match destination-address any user@host# set policies from-zone trust to-zone untrust policy sec_policy match application any user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services ssl-proxy profile-name ssl-inspect-profile user@host# set policies from-zone trust to-zone untrust policy sec_policy then permit application-services icap-redirect icap-pf1 user@host# set policies default-policy permit-all
영역을 구성합니다.
[edit logical-systems LSYS1 security] user@host# set zones security-zone trust host-inbound-traffic system-services all user@host# set zones security-zone trust host-inbound-traffic protocols all user@host# set zones security-zone trust interfaces xe-5/0/0.0 user@host# set zones security-zone untrust host-inbound-traffic system-services all user@host# set zones security-zone untrust host-inbound-traffic protocols all user@host# set zones security-zone untrust interfaces xe-5/0/1.0
인터페이스를 구성합니다.
[edit logical-systems LSYS1] user@host# set interfaces xe-5/0/0 unit 0 family inet address 192.0.2.1/8 user@host# set interfaces xe-5/0/0 unit 0 family inet6 address 2001:db8::1/64 user@host# set interfaces xe-5/0/1 unit 0 family inet address 198.51.100.1/8 user@host# set interfaces xe-5/0/1 unit 0 family inet6 address 2001:db8::2/64
결과
구성 모드에서 , , show logical-systems LSYS1 security policiesshow logical-systems LSYS1 security zones및 show logical-systems LSYS1 interfaces 명령을 입력하여 show logical-systems LSYS1 services icap-redirect구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show logical-systems LSYS1 services icap-redirect
profile icap-pf1 {
server icap-svr1 {
host 192.0.2.2/24;
reqmod-uri echo;
respmod-uri echo;
sockets 64;
}
server icap-svr2 {
host 192.0.2.179/24;
reqmod-uri echo;
respmod-uri echo;
sockets 64;
tls-profile dlp_ssl;
}
http {
redirect-request;
redirect-response;
}
}
from-zone trust to-zone untrust {
policy sec_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-inspect-profile;
}
icap-redirect icap-pf1;
}
}
}
}
}
default-policy {
permit-all;
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
ICAP 리디렉션 구성 확인
목적
디바이스에 ICAP 리디렉션 서비스가 구성되어 있는지 확인합니다.
작업
운영 모드에서 및 show services icap-redirect statistic logical-system 명령을 입력합니다show services icap-redirect status logical-system.
user@host> show services icap-redirect status logical-system LSYS1
ICAP Status :
spu-1 Profile: icap-pf1 Server: icap-svr1 : UP
ICAP Status :
spu-2 Profile: icap-pf1 Server: icap-svr1 : UP
ICAP Status :
spu-3 Profile: icap-pf1 Server: icap-svr1 : UP
user@host> show services icap-redirect statistic logical-system LSYS1
ICAP Redirect statistic:
Message Redirected : 12
Message REQMOD Redirected : 6
Message RESPMOD Redirected : 6
Message Received : 12
Message REQMOD Received : 6
Message RESPMOD Received : 6
Fallback: permit log-permit reject
Timeout 0 0 0
Connectivity 0 0 0
Default 0 0 0
의미
상태는 Up ICAP 리디렉션 서비스가 활성화되었음을 나타냅니다. Message Redirected 및 필드에는 Message Received ICAP 채널을 통과한 HTTP 요청 수가 표시됩니다.