Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del proxy SSL

Los dispositivos de la serie SRX son compatibles con el proxy de reenvío SSL y el proxy inverso SSL.

Configuración del proxy de reenvío SSL

Descripción general de la configuración del proxy SSL

Configurar proxy reenvío SSL muestra una descripción general de cómo se configura el proxy SSL. La configuración del proxy SSL incluye:

  • Configuración del certificado de CA raíz

  • Carga de un grupo de perfil de CA

  • Configure el perfil de proxy SSL y asocie el certificado de CA raíz y el grupo de perfiles de CA

  • Cree una política de seguridad definiendo criterios de coincidencia de tráfico de entrada

  • Aplicación de un perfil de proxy SSL a una política de seguridad

  • Pasos opcionales, como la creación de listas de permitidos y el registro de proxy SSL

Configurar un certificado de CA raíz

Una CA puede emitir varios certificados en forma de estructura de árbol. Un certificado raíz es el certificado superior del árbol, cuya clave privada se utiliza a sign otros certificados. Todos los certificados inmediatamente debajo del certificado raíz heredan la firma o la confiabilidad del certificado raíz. Esto es algo parecido a lo notarizing de una identidad.

Puede configurar un certificado de CA raíz obteniendo primero un certificado de CA raíz (ya sea generando uno autofirmado o importando uno) y, luego, aplicándole a un perfil de proxy SSL. Puede obtener un certificado de CA raíz mediante la CLI de Junos OS

Generar un certificado de CA raíz con CLI

Para definir un certificado autofirmado en la CLI, debe proporcionar los siguientes detalles:

  • Identificador de certificado (generado en el paso anterior)

  • Nombre de dominio completo (FQDN) para el certificado

  • Dirección de correo electrónico de la entidad propietaria del certificado

  • Nombre común y la organización involucrada

Genere un certificado de CA raíz mediante la CLI de Junos OS:

  1. Desde el modo operativo, genere un par de claves públicas y privadas PKI para un certificado digital local.

    Aquí puede seleccionar una de las siguientes combinaciones:

    • 1024 bits (solo RSA/DSA)

    • 2048 bits (solo RSA/DSA)

    • 256 bits (solo ECDSA)

    • 384 bits (solo ECDSA)

    • 4096 bits (solo RSA/DSA)

    • 521 bits (solo ECDSA)

    Ejemplo:

    O
  2. Defina un certificado autofirmado.

    Ejemplo:

    Al configurar la add-ca-constraint opción, se asegura de que el certificado se puede usar para firmar otros certificados.

  3. Desde el modo de configuración, aplique el certificado cargado como raíz-ca en el perfil de proxy SSL.

    Ejemplo:

  4. Importe la CA raíz como CA de confianza en los navegadores del cliente. Esto es necesario para que los navegadores de clientes confíen en los certificados firmados por el dispositivo serie SRX. Consulte Importación de un certificado de CA raíz en un explorador.

Configurar un grupo de perfiles de CA

El perfil de CA define la información del certificado para la autenticación. Incluye la clave pública que usa el proxy SSL al generar un certificado nuevo. Junos OS le permite crear un grupo de perfiles de CA y cargar varios certificados en una acción, ver información acerca de todos los certificados de un grupo y eliminar grupos de CA no deseados.

Puede cargar un grupo de perfiles de CA obteniendo una lista de certificados de CA de confianza, definiendo un grupo de CA y adjuntando el grupo de CA al perfil de proxy SSL.

  1. Obtenga una lista de certificados de CA de confianza mediante uno de los métodos siguientes. Cuando se inicia una conexión, el dispositivo de conexión (como un explorador web) comprueba si el certificado lo emite una CA de confianza. Sin estos certificados, los navegadores no pueden validar la identidad de la mayoría de los sitios web y marcarlos como sitios no confiables.
    • Junos OS proporciona una lista predeterminada de certificados de CA de confianza que puede cargar en el sistema. El paquete de Junos OS contiene los certificados de CA predeterminados como un archivo PEM (por ejemplo, trusted_CA.pem). Después de descargar el paquete de Junos OS, los certificados predeterminados están disponibles en su sistema.

      Desde el modo operativo, cargue los certificados de CA de confianza predeterminados (el nombre del grupo identifica al grupo de perfil de CA):

      Ejemplo:

      Recomendamos usar este método.

    • De forma alternativa, puede definir su propia lista de certificados de CA de confianza e importarlos en su sistema. Obtiene la lista de CA de confianza en un solo archivo PEM (por ejemplo , IE-all.pem) y guarda el archivo PEM en una ubicación específica (por ejemplo, /var/tmp).

      Desde el modo operativo, cargue la lista de confianza en el dispositivo (el nombre del grupo identifica al grupo de perfil de CA):

      Ejemplo:

    • Descargue la última lista de paquetes de CA de otro tercero, como Mozilla (https://curl.haxx.se/docs/caextract.html). La lista de autoridades de certificación de confianza puede cambiar con el tiempo, asegúrese de usar el paquete de CA más reciente.

    • Importe sus propios certificados de CA de confianza mediante la infraestructura de clave pública (PKI). La PKI ayuda a verificar y autenticar la validez de los certificados de CA de confianza. Puede crear grupos de perfiles de CA que incluyen certificados de CA de confianza y, a continuación, importar el grupo en su dispositivo para la autenticación del servidor.

  2. Adjunte la CA de confianza o el grupo de CA de confianza al perfil de proxy SSL. Puede adjuntar todas las CA de confianza o una CA de confianza a la vez:
    • Adjuntar todos los grupos de perfiles de CA:

      Ejemplo

    • Adjuntar un grupo de perfiles de CA (el nombre del grupo identifica al grupo de perfil de CA).

      Ejemplo

Puede mostrar fácilmente información sobre todos los certificados de un grupo de perfiles de CA:

Puede eliminar un grupo de perfiles de CA. Recuerde que al eliminar un grupo de perfiles de CA se eliminan todos los certificados que pertenecen a ese grupo:

Importación de un certificado de CA raíz en un navegador

Para que su navegador o sistema confíe automáticamente en todos los certificados firmados por la CA raíz configurados en el perfil de proxy SSL, debe indicar a su plataforma o navegador que confíe en el certificado raíz de CA.

Para importar un certificado de CA raíz:

  1. Genere un archivo de formato PEM para la CA raíz configurada.
  2. Importe un certificado de CA raíz en un navegador.

    Desde Internet Explorer (versión 8.0):

    1. En el menú Herramientas, seleccione Opciones de Internet.
    2. En la ficha Contenido, haga clic en Certificados.
    3. Seleccione la pestaña Entidades de certificación raíz de confianza y haga clic en Importar.
    4. En el Asistente para importación de certificados, vaya al certificado de CA raíz necesario y selecciónelo.

    Desde Firefox (versión 39.0):

    1. En el menú Herramientas, seleccione Opciones.
    2. En el menú Avanzado, seleccione la ficha Certificados y haga clic en Ver certificado.
    3. En la ventana Administrador de certificados, seleccione la ficha Autoridades y haga clic en Importar.
    4. Vaya al certificado de CA raíz necesario y selecciónelo.

    Desde Google Chrome (45.0):

    1. En el menú Configuración, seleccione Mostrar configuración avanzada.
    2. En el menú Avanzado, seleccione la ficha Certificados y haga clic en Ver certificado.
    3. En HTTPS/SSL, haga clic en Administrar certificados.
    4. En la ventana Certificado, seleccione Entidades de certificación raíz de confianza y haga clic en Importar.
    5. En el Asistente para importación de certificados, vaya al certificado de CA raíz necesario y selecciónelo.

Aplicación de un perfil de proxy SSL a una política de seguridad

El proxy SSL está habilitado como servicio de aplicación dentro de una política de seguridad. En una política de seguridad, especifique el tráfico en el que desea que se active el proxy SSL como criterios de coincidencia y, a continuación, especifique el perfil de CA de proxy SSL que se aplicará al tráfico. La Figura 1 muestra una vista gráfica del perfil de proxy SSL y la configuración de la política de seguridad.

Figura 1: Aplicación de un perfil de proxy SSL a una política de seguridad

Para habilitar el proxy SSL en una política de seguridad:

En este ejemplo, se da por sentado que ya ha creado zonas de seguridad de confianza y no confianza, y que ha creado una política de seguridad para el tráfico de la zona de confianza a la zona de no confianza.

  1. Cree una política de seguridad y especifique los criterios de coincidencia para la política. Como criterios de coincidencia, especifique el tráfico para el que desea habilitar el proxy SSL.

    Ejemplo:

  2. Aplique el perfil de proxy SSL a la política de seguridad.

Configuración del registro de proxy SSL

Al configurar el proxy SSL, puede elegir establecer la opción para recibir algunos o todos los registros. Los registros de proxy SSL contienen el nombre lógico del sistema, las listas de permitidos del proxy SSL, la información de política, la información del proxy SSL y otra información que le ayuda a solucionar problemas cuando hay un error.

Puede configurar el registro o eventos específicos, como eventos de all error, advertencias e información. También puede configurar el registro de sesiones permitidas, caídas, ignoradas o permitidas después de que se produzca un error.

Puede usar la enable-flow-tracing opción para habilitar el seguimiento de depuración.

Configuración de perfiles de autoridad de certificación

La configuración del perfil de una entidad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por ejemplo, es posible que tenga un perfil para orgA y otro para orgB. Cada perfil está asociado con un certificado de CA. Si desea cargar un nuevo certificado de CA sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008). Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada.

En este ejemplo, se crea un perfil de CA llamado ca-profile-security con identidad de CA microsoft-2008. A continuación, cree un perfil de proxy en el perfil de CA.

  1. Desde el modo de configuración, configure el perfil de CA utilizado para cargar el certificado.

    Ejemplo:

  2. Confirme la configuración.
  3. Desde el modo operativo, cargue el certificado mediante comandos PKI.

    Ejemplo:

  4. Desde el modo de configuración, desactive la comprobación de revocación (si es necesario).

    Ejemplo:

  5. Desde el modo de configuración, configure el certificado cargado como una CA de confianza en el perfil de proxy SSL.

    Ejemplo:

    Nota:

    Se puede configurar más de una CA de confianza para un perfil.

  6. (Opcional) Si tiene varios certificados de CA de confianza, no tiene que especificar cada CA de confianza por separado. Puede cargar all los certificados de CA de confianza mediante el siguiente comando desde el modo de configuración.
    Nota:

    De forma alternativa, puede importar un conjunto de CA de confianza desde su navegador al dispositivo serie SRX.

Exportar certificados a una ubicación especificada

Cuando se genera un certificado autofirmado mediante un comando PKI, el certificado recién generado se almacena en una ubicación predefinida (var/db/certs/common/local).

Utilice el siguiente comando para exportar el certificado a una ubicación específica (dentro del dispositivo). Puede especificar el ID de certificado, el nombre de archivo y el tipo de formato de archivo (DER/PEM):

Ignorar la autenticación de servidor

Junos OS le permite configurar una opción para ignorar la autenticación del servidor por completo. Si configura el sistema para ignorar la autenticación, se omiten los errores encontrados durante la verificación del certificado del servidor en el momento del protocolo de enlace SSL. Los errores que se suelen ignorar incluyen la incapacidad de verificar la firma de CA, las fechas incorrectas de vencimiento del certificado, etc. Si esta opción no está establecida, todas las sesiones en las que el servidor envía certificados autofirmados se pierden cuando se encuentran errores.

No recomendamos usar esta opción para la autenticación, ya que configurarla da como resultado que los sitios web no se autentifiquen en absoluto. Sin embargo, puede usar esta opción para identificar efectivamente la causa raíz de las sesiones de SSL caídas.

Desde el modo de configuración, especifique para ignorar la autenticación de servidor:

Proxy inverso SSL

Visión general

La implementación del modelo de proxy para la protección del servidor (a menudo llamado proxy inverso) se admite en dispositivos de la serie SRX para proporcionar un apretón de manos mejorado y compatibilidad con más versiones de protocolo. Puede habilitar servicios de capa 7 (seguridad de aplicaciones, SPI, UTM, SKY ATP) en el tráfico descifrado mediante proxy inverso SSL.

A partir de Junos OS versión 15.1X49-D80 y 17.3R1, el proxy inverso SSL se admite en dispositivos serie SRX5000, SRX4100, SRX4200 y SRX1500.

A partir de Junos OS versión 15.1X49-D80 y 17.3R1, se recomienda usar el proxy inverso SSL y detección y prevención de intrusiones (IDP) en lugar de usar la funcionalidad de inspección SSL IDP.

A partir de Junos OS 15.1X49-D80 y 17.3R1, la inspección SSL de IDP está en desuso, en lugar de eliminarse inmediatamente, para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración cumpla con la nueva configuración.

#id-overview__rp-compare1 proporciona los cambios aplicables en dispositivos serie SRX posteriores a las versiones 15.1X48-D80 y 17.3R1.

Tabla 1: Comparación del proxy inverso antes y después de Junos OS versión 15.1X49-D80

Característica

Antes de 15.1X49-D80

15.1X49-D80 y 17.3R1 posteriores

Modelo de proxy

Se ejecuta solo en modo de toque En lugar de participar en el apretón de manos SSL, escucha el protocolo de enlace SSL, calcula las claves de sesión y, luego, descifra el tráfico SSL.

Termina el SSL del cliente en el dispositivo serie SRX e inicia una nueva conexión SSL con un servidor. Descifra el tráfico SSL del cliente/servidor y cifra de nuevo (después de la inspección) antes de enviarlo al servidor/cliente.

Versión del protocolo

No admite TLS versión 1.1 y 1.2.

Es compatible con todas las versiones actuales del protocolo.

Métodos de intercambio de claves

  • Admite RSA

  • No admite DHE.

  • Admite RSA

  • Soporte de DHE o ECDHE

Sistema echo

Estrechamente combinado con el motor IDP y su detector.

Usa el proxy de reenvío SSL existente con proxy TCP debajo.

Servicios de seguridad

El tráfico SSL descifrado solo puede ser inspeccionado por el IDP.

Al igual que el proxy de reenvío, el tráfico SSL descifrado está disponible para todos los servicios de seguridad.

Cifrados compatibles

Se admite un conjunto limitado de cifrados.

Se admiten todos los cifrados de uso común.

Debe configurar o root-ca server-certificate en un perfil de proxy SSL. De lo contrario, se produce un error en la comprobación de confirmación. Consulte #id-overview__profile-type1.

Tabla 2: Configuraciones de proxy SSL compatibles

certificado de servidor configurado

raíz-ca configurada

Tipo de perfil

No

No

Se produce un error en la comprobación de confirmación. Debe configurar o server-certificate root-ca.

Se produce un error en la comprobación de confirmación. server-certificate No se admite la configuración del mismo perfil.root-ca

No

Proxy de reenvío

No

Proxy inverso

Se admite la configuración de varias instancias de perfiles de proxy adelante e inverso. Sin embargo, para una política de firewall determinada, solo se puede configurar un perfil (ya sea un perfil de proxy adelante o inverso). También se admite la configuración del proxy de reversa y de reversa en el mismo dispositivo.

No puede configurar la implementación anterior de proxy inverso con la nueva implementación de proxy inverso para una política de firewall determinada. Si ambos están configurados, recibirá un mensaje de error de comprobación de confirmación.

Los siguientes son los pasos mínimos para configurar el proxy inverso:

  1. Cargue los certificados de servidor y sus claves en el depósito de certificados de dispositivos serie SRX mediante el comando request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234CLI . Por ejemplo:
  2. Adjunte el identificador de certificado de servidor al perfil de proxy SSL mediante el comando set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234de la CLI . Por ejemplo,

    user@host# establecer servicios de perfil de proxy ssl de servidor-protección-perfil de servidor-certificado de servidor server2_cert_id

  3. Usar el show services ssl Comando de CLI para verificar su configuración. Por ejemplo:

El proxy de reenvío SSL y el proxy inverso requieren un perfil para configurarse en el nivel de regla del firewall. Además, también debe configurar certificados de servidor con claves privadas para proxy inverso. Durante un protocolo de manos SSL, el proxy SSL realiza una búsqueda de una clave privada de servidor coincidente en su base de datos de tabla de hash de claves privadas del servidor. Si la búsqueda se realiza correctamente, el apretón de manos continúa. De lo contrario, el proxy SSL termina la mano sacudida. El proxy inverso no prohíbe certificados de servidor. Reenvía el certificado o cadena real del servidor al cliente sin modificarlo. La interceptación del certificado del servidor solo se produce con el proxy de reenvío.

A continuación, se muestra un ejemplo de configuraciones de perfil de proxy hacia adelante e inverso.

Configuración del proxy inverso SSL

En este ejemplo, se muestra cómo configurar el proxy inverso para habilitar la protección del servidor. Para la protección del servidor, además, se deben configurar certificados de servidor con claves privadas.

Un proxy inverso protege los servidores ocultando los detalles de los servidores a los clientes, agregando allí una capa adicional de seguridad.

Para configurar un proxy inverso SSL, debe:

  • Cargue los certificados del servidor y sus claves en el depósito de certificados del dispositivo serie SRX.

  • Adjunte los identificadores de certificado del servidor al perfil de proxy SSL.

  • Aplique el perfil de proxy SSL como servicios de aplicación en una política de seguridad.

Para configurar el proxy inverso SSL:

  1. Cargue el certificado de firma y la clave respectiva para el perfil de proxy SSL en la memoria PKI.
  2. Adjunte el certificado de servidor al perfil de proxy SSL.
  3. Cree una política de seguridad y especifique los criterios de coincidencia para la política. Como criterios de coincidencia, especifique el tráfico para el que desea habilitar el proxy SSL.
  4. Aplique el perfil de proxy SSL a la política de seguridad. En este ejemplo, se supone que las zonas de seguridad se crean según los requisitos.

Verificar la configuración de proxy inverso SSL en el dispositivo

Propósito

Visualización de las estadísticas del proxy inverso SSL en el dispositivo serie SRX.

Acción

Puede ver las estadísticas del proxy SSL mediante el show services ssl proxy statistics comando.

Configurar proxy SSL con UTM

Los dispositivos de la serie SRX admiten protección de cliente (proxy de reenvío) y protección de servidor (proxy inverso). Puede configurar el perfil de proxy SSL para proxy reenviado y proxy inverso con administración unificada de amenazas (UTM) habilitada.

Configure el proxy de reenvío SSL con UTM

En este procedimiento, configure un perfil de proxy de reenvío SSL con UTM. Cuando configure UTM, el proxy SSL actúa como un servidor SSL al finalizar la sesión SSL desde el cliente y establecer una nueva sesión SSL en el servidor. El dispositivo serie SRX descifra y, luego, reencripta todo el tráfico de proxy SSL. La UTM puede usar el contenido descifrado del proxy SSL.

Genere certificado local como root-ca.

  1. Desde el modo operativo, genere un par de claves para un certificado digital local.
  2. Genere certificado local mediante el par de claves generado anteriormente.
  3. Desde el modo de configuración, aplique el certificado cargado como raíz-ca en el perfil de proxy SSL.
  4. Adjunte el perfil SSL y la política de UTM a la política de seguridad.

Configure el proxy inverso SSL con UTM

En este procedimiento, configure un perfil de proxy ssl inverso con UTM.

  1. Cargue los certificados de servidor y sus claves en el depósito de certificados de dispositivos serie SRX.
  2. Desde el modo de configuración, adjunte el identificador de certificado de servidor al perfil de proxy SSL.
  3. Adjunte el perfil SSL y la política de UTM a la política de seguridad para el tráfico desde una zona de no confianza hasta la zona de confianza.

Creación de una lista de permitidos de destinos exentos para el proxy SSL

El cifrado y el descifrado SSL podrían consumir recursos de memoria en los dispositivos de la serie SRX. Para limitar esto, puede omitir selectivamente el procesamiento de proxy SSL para algunas sesiones, como las sesiones que realizan transacciones con dominios o servidores de confianza conocidos. También puede eximir las sesiones con sitios financieros y bancarios debido a requisitos legales.

Para eximir las sesiones del proxy SSL, puede crear una lista de permitidos agregando direcciones IP o nombres de dominio de los servidores. Las listas de permitidos incluyen direcciones que desea eximir de que se sometan a procesamiento de proxy SSL.

Utilice los pasos siguientes para crear lista de permitir:

  • Especifique las direcciones IP y el nombre de dominio en su libreta de direcciones global.

  • Consulte la libreta de direcciones global en el perfil de proxy SSL.

Puede configurar los siguientes tipos de direcciones IP en la libreta de direcciones global.

  • Direcciones IPv4 (texto sin formato). Por ejemplo:

  • Rango de direcciones IPv4. Por ejemplo:

  • Comodín IPv4. Por ejemplo:

  • Nombre DNS. Por ejemplo:

  • Dirección IPv6. Por ejemplo:

Las listas de permitidos no admiten los siguientes tipos de direcciones IP:

  • Direcciones IP traducidas. Las sesiones se permiten en la lista según la dirección IP real y no en la dirección IP traducida. Debido a esto, en la configuración de la lista de permitidos del perfil de proxy SSL, se debe proporcionar la dirección IP real y no la dirección IP traducida.

  • Máscaras de red no contiguas. Por ejemplo:

    • Se admite la dirección IP -203.0.113.0 y la máscara 255.255.255.0 que es 203.0.113.0/24.

    • Dirección IP - 203.0.113.9 y máscara 255.0.255.0 no es compatible.

El siguiente ejemplo muestra cómo usar listas de permitidos en el perfil de proxy SSL.

En este ejemplo, eximir todas las sesiones a www.mycompany.com. Para esto, primero especifique el dominio en la libreta de direcciones y, luego, configure la dirección en el perfil de proxy SSL.

  1. Configure el dominio en la libreta de direcciones.
  2. Especifique la dirección de la libreta de direcciones global en el perfil de proxy SSL.

Creación de una lista de permitidos de categorías de URL exentas para proxy SSL

Puede configurar las categorías de URL compatibles con el módulo UTM para eximir de la inspección SSL en el dispositivo serie SRX. Para usar categorías de URL de UTM, el dispositivo serie SRX integra el perfil de proxy SSL con la función EWF. Con esto ahora, puede configurar una lista de categorías de URL bajo un perfil de proxy SSL como lista permitida junto con libretas de direcciones. Puede configurar la lista desde el conjunto predefinido de categorías de URL o categorías de URL personalizadas compatibles con UTM.

El dispositivo de seguridad usa el campo Indicación de nombre del servidor (SNI) extraído por el módulo UTM para determinar la categoría de URL. El proxy SSL usa esta información para determinar si se aceptará o no la sesión.

Esta función se admite en instancias de SRX340, SRX345, SRX5400, SRX5600, SRX5800 y vSRX.

A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica de permitir listado de proxy SSL incluye categorías de URL compatibles con UTM.

A partir de Junos OS versión 17.4R1, la función de permitir listar proxy SSL extiende la compatibilidad con categorías de URL personalizadas compatibles con UTM.

Los siguientes ejemplos muestran cómo configurar las categorías de URL en el perfil de proxy SSL:

Creación de una lista de permitidos de categorías de URL exentas

Siga los pasos siguientes para configurar las categorías de URL predefinidas en un perfil de proxy SSL.

  1. Las categorías de URL predefinidas dependen de UTM. Para habilitar la allowlisting basada en URL en el proxy SSL, se requieren las siguientes configuraciones básicas de URL:
  2. Especifique la categoría de URL predefinida en el perfil de proxy SSL. En este ejemplo, está usando la categoría de URL Enhanced_Financial_Data_and_Services.
  3. Cree la política de seguridad especificando las condiciones de coincidencia y adjunte la política de UTM a la política de seguridad para usar categorías de URL en la lista de permitidos SSL.

Creación de una lista de permitidos de categorías de URL personalizadas exentas

Siga los pasos siguientes para configurar categorías de URL personalizadas en un perfil de proxy SSL.

  1. Cree una categoría de URL personalizada.

    [edit]
    user@host# set security utm custom-objects url-pattern URL-1 value www.example.com 
    user@host# set security utm custom-objects custom-url-category CATEGORY-1 value URL-1
    user@host#  set security utm feature-profile web-filtering juniper-local profile PROFILE-1 category CATEGORY-1 action permit
    

  2. Configure una política UTM para el protocolo HTTP de filtrado web y asocie el perfil que creó en el paso anterior a la política de UTM.
  3. Especifique la categoría de URL personalizada que creó en el paso anterior en el perfil de proxy SSL.
  4. Cree una política de seguridad especificando las condiciones de coincidencia y adjunte la política de UTM a la política de seguridad para usar categorías de URL en la lista de permitidos SSL.
Tabla de historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, la función de permitir listar proxy SSL extiende la compatibilidad con categorías de URL personalizadas compatibles con UTM.
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80 y 17.3R1, el proxy inverso SSL se admite en dispositivos serie SRX5000, SRX4100, SRX4200, SRX1500
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80 y 17.3R1, se recomienda usar el proxy inverso SSL y detección y prevención de intrusiones (IDP) en lugar de usar la funcionalidad de inspección SSL IDP.
15.1X49-D80
A partir de Junos OS 15.1X49-D80 y 17.3R1, la inspección SSL de IDP está en desuso, en lugar de eliminarse inmediatamente, para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración cumpla con la nueva configuración.
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica de permitir listado de proxy SSL incluye categorías de URL compatibles con UTM.