논리적 시스템용 SSL 프록시
SSL(Secure Sockets Layer)은 인터넷에 암호화 기술을 제공하는 애플리케이션 수준 프로토콜입니다. 자세한 내용은 다음 항목을 참조하십시오.
논리적 시스템에 대한 SSL 정방향 및 역방향 프록시 이해
SSL 프록시는 클라이언트와 서버 간의 SSL 암호화 및 복호화를 수행하는 중개자 역할을 합니다. TLS(전송 레이어 보안)라고도 하는 SSL은 개인 정보 보호, 인증, 기밀성 및 데이터 무결성의 조합을 통해 클라이언트와 서버 간의 안전한 데이터 전송을 보장합니다.
SSL 프록시는 다음과 같이 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하는 투명한 프록시입니다.
역방향 프록시는 인바운드 세션, 즉 인터넷에서 로컬 서버로의 외부에서 시작된 SSL 세션입니다.
서버 보호를 위한 프록시 모델 구현(역방향 프록시라고도 함)은 SRX 시리즈 방화벽에서 지원되어 향상된 핸드셰이킹을 제공하고 더 많은 프로토콜 버전에 대한 지원을 제공합니다.
포워드 프록시는 아웃바운드 세션, 즉 인터넷에 대해 로컬에서 시작된 SSL 세션입니다.
SSL 프록시는 클라이언트와 서버 간에 투명하게 작동합니다. 클라이언트의 모든 요청은 먼저 프록시 서버로 이동합니다. 프록시 서버는 요청을 평가하고, 요청이 유효한 경우 요청을 아웃바운드 측으로 전달합니다. 마찬가지로 인바운드 요청도 프록시 서버에서 평가합니다. 클라이언트와 서버 모두 서로 통신하고 있다고 해석합니다. 그러나 둘 사이에서 작동하는 것은 SSL 프록시입니다.
예: 논리적 시스템에 대한 SSL 정방향 및 역방향 프록시 구성
이 예에서는 서버 보호를 사용하도록 SSL 프록시를 구성하는 방법을 보여 줍니다. 역방향 프록시는 클라이언트로부터 서버의 세부 정보를 숨기고 보안을 추가하여 서버를 보호하며, 정방향 프록시의 목적은 클라이언트 시스템에 대한 트래픽을 관리하는 것입니다.
요구 사항
SSL 역방향 및 포워드 프록시를 구성하려면 다음을 수행해야 합니다.
서버 인증서와 해당 키를 SRX 시리즈 방화벽의 인증서 리포지토리에 로드합니다.
서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.
SSL 프록시 프로필을 보안 정책의 애플리케이션 서비스로 적용합니다.
개요
이 예에서는 서버 보호를 사용하도록 역방향 프록시를 구성하고 클라이언트 보호를 위해 전달 프록시를 구성하는 방법을 보여줍니다. SSL 프록시 프로필을 구성하고 보안 정책 규칙 수준에서 적용하는 방법을 보여줍니다. 서버 보호를 위해 개인 키가 있는 서버 인증서를 추가로 구성해야 합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile root-ca new-srvr-cert set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile actions ignore-server-auth-failure set logical-systems LSYS1 services ssl proxy profile ssl-rp-profile actions log all set logical-systems LSYS1 security log mode event set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match application any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-init set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-close set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-init set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-close
SSL 역방향 및 정방향 프록시 구성
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.Junos OS CLI User Guide
SSL 프록시를 구성하려면:
SSL 역방향 프록시를 구성합니다.
[edit logical-systems LSYS1] user@host# set logical-systems LSYS1 services ssl proxy profile ssl-rp-profile actions log all user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile
SSL 포워드 프록시를 구성합니다.
[edit logical-systems LSYS1] user@host# set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile root-ca new-srvr-cert user@host# set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile actions ignore-server-auth-failure user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services idp user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-init user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-close user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-init user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-close
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show logical-system LSYS1 services ssl proxy 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
SSL 프록시 프로필에서 (순방향 프록시) 또는 server-certificate (역방향 프록시) 중 하나를 root-ca 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다.
user@host# show logical-systems LSYS1 services ssl proxy
profile ssl-rp-profile {
server-certificate ssl-inspect-sp1; { # For reverse proxy. No root-ca is needed.
actions {
log {
all;
}
}
}
profile ssl-fp-profile { # For forward proxy. No server cert/key is needed.
root-ca new-srvr-cert;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
검증
디바이스에서 SSL 프록시 구성 확인
목적
SRX 시리즈 방화벽에서 SSL 역방향 프록시 통계 보기.
작업
명령을 사용하여 SSL 프록시 통계를 볼 수 있습니다.show services ssl proxy statistics logical-system
user@host> show services ssl proxy statistics logical-system LSYS1
PIC:spu-3 fpc[0] pic[3] ------
sessions matched 1
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 1
sessions ignored 0
sessions active 1
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0