Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 시리즈 디바이스에서 리버스 프록시 구성

Junos OS 릴리스 15.1X49-D80 및 Junos OS Release 17.3R1부터 SRX 시리즈 디바이스가 프록시 역할을 하므로 RSA로 SSL 협상을 다운그레이드할 수 있습니다. 다른 변경 사항은 표 1에 나와 있습니다.

표 1: Junos OS 릴리스 이전 및 이후의 리버스 프록시 비교 15.1X49-D80 및 17.3R1

기능

15.1X49-D80 이전

15.1X49-D80 및 17.3R1 이후

프록시 모델

탭 모드에서만 실행 SSL 핸드셰이크에 참여하는 대신 SSL 핸드셰이크를 수신하고 세션 키를 계산한 다음 SSL 트래픽을 복호화합니다.

SRX 시리즈 디바이스에서 클라이언트 SSL을 종료하고 서버를 통해 새로운 SSL 연결을 시작합니다. 서버/클라이언트로 전송하기 전에 클라이언트/서버에서 SSL 트래픽을 복호화하고 검사 후 다시 암호화합니다.

프로토콜 버전

TLS 버전 1.1 및 1.2를 지원하지 않음.

모든 현재 프로토콜 버전을 지원합니다.

주요 교환 방법

RSA를 지원합니다.

RSA를 지원합니다.

에코 시스템

IDP 엔진 및 탐지기와 긴밀하게 결합.

그 아래에 TCP 프록시와 함께 기존 SSL 포워드 프록시를 사용합니다.

보안 서비스

복호화된 SSL 트래픽은 IDP에 의해서만 검사될 수 있습니다.

포워드 프록시와 마찬가지로 복호화된 SSL 트래픽은 모든 보안 서비스에서 사용할 수 있습니다.

지원되는 암호

제한된 암호 세트가 지원됩니다.

일반적으로 사용되는 모든 암호문이 지원됩니다.

이 항목의 나머지 내용은 SSL 프록시 라는 용어를 사용하여 포워드 프록시와 리버스 프록시를 모두 나타내고 있습니다.

포워드 프록시와 마찬가지로 리버스 프록시는 방화벽 규칙 수준에서 프로파일을 구성해야 합니다. 또한 리버스 프록시를 위해서는 전용 키가 포함된 서버 증명서를 구성해야 합니다. SSL 핸드셰이크 동안 SSL 프록시는 서버 전용 키 해시 테이블 데이터베이스에서 일치하는 서버 전용 키에 대한 조회를 수행합니다. 룩업이 성공하면 핸드셰이크는 계속됩니다. 그렇지 않으면 SSL 프록시가 핸드쉐이크를 종료합니다. 역방향 프록시는 서버 증명서를 금지하지 않습니다. 클라이언트에 대한 수정 없이 실제 서버 인증서/체인을 클라이언트로 전달합니다. 서버 증명서 인터셉팅은 포워드 프록시를 통해서만 발생합니다. 다음은 포워드 및 리버스 프록시 프로파일 구성 예제입니다.

SSL 프록시 프로필 중 하나 root-ca 또는 server-certificate 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. 표 2를 참조하십시오.

표 2: 지원되는 SSL 프록시 구성

서버 인증서 구성

루트-ca 구성

프로파일 유형

아니요

아니요

커밋 확인에 실패합니다. 구성해야 합니다.server-certificate root-ca

커밋 확인에 실패합니다. 동일한 프로필의 server-certificate root-ca 구성은 지원되지 않습니다.

아니요

포워드 프록시

아니요

리버스 프록시

다중 포워드 및 리버스 프록시 프로파일 인스턴스 구성이 지원됩니다. 그러나 특정 방화벽 정책의 경우 하나의 프로필(포워드 또는 리버스 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 포워드 및 리버스 프록시 구성도 지원됩니다.

지정된 방화벽 정책에 대한 새로운 리버스 프록시 구현으로 이전의 리버스 프록시 구현을 구성할 수 없습니다. 두 구성 모두 구성된 경우 커밋 확인 실패 메시지가 나타납니다.

다음은 리버스 프록시를 구성하기 위한 최소 단계입니다.

  1. CLI 명령을 request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234사용하여 서버 인증서와 키를 SRX 시리즈 디바이스 인증서 리포지토리에 로드합니다. 예를 들어:
  2. CLI 명령을 set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234사용하여 서버 인증서 식별자를 SSL Proxy 프로파일에 연결합니다. 예를 들어
  3. 다음을 사용하십시오. show services ssl 구성을 검증하는 CLI 명령어입니다. 예를 들어: