通过SSL正向代理与IPS或NGFW作为直连设备集成
IPS (Intrusion Prevention System)、NGFW (Next Generation Firewall)等安全设备可以保护服务器免受网络攻击。这些设备可以检测实时流量,通常以第二层内联模式部署。SSL正向代理设备在访问internet上的资源时为用户和企业网络提供安全性。
SSL转发代理设备可以与一个或多个内联设备集成,以防止威胁并提供高级安全保护。直连设备可以是任何安全设备,如IPS、NGFW等。
您可以通过使用SSL转发代理设备和内联设备集成而受益的一些用例是:
检测加密流量:大多数IPS和NGFW设备都会绕过加密流量,这使得服务器容易受到攻击。SSL转发代理设备可以解密通信并将其发送到内联设备进行检查。这种集成增强了客户的网络安全性。
从TLS/SSL处理中卸载内联设备:TLS/SSL处理成本很高,如果IPS或NGFW设备也解密流量,可能会导致CPU利用率很高。SSL转发代理设备有助于从内联设备中卸载TLS/SSL处理。因此,内联设备可以检查更大的流量。
负载平衡内联装置:如果您配置了多个内联设备来管理大流量,SSL转发代理设备可以负载平衡并将流量均匀地分配到这些设备。
流量的智能选择:设备不会将所有流量发送到内联设备进行检查,而是对流量进行智能选择。例如,它跳过将文本文件发送到内联设备进行检查。
与内联设备的SSL正向代理集成
下图显示了SSL转发代理如何与内联安全设备集成。
当您将内联设备与SSL转发代理设备集成时,组件的交互方式如下:
客户端向SSL转发代理设备发送请求。
设备将数据发送到内联设备,以便根据策略评估进行内容检查。对于HTTPS通信,设备解密数据并将其以纯文本形式发送到内联设备以进行内容检查。
请注意
如果有两个或更多内联设备,则设备负载平衡设备并发送流量。
- 添加内容切换或HTTP/HTTPS负载均衡虚拟服务器。
- 内联设备检查数据是否存在威胁,并决定是否丢弃、重置或将数据发送回设备。
- 如果存在安全威胁,设备将修改数据并将其发送到设备。
- 对于HTTPS通信,设备重新加密数据并将请求转发到后端服务器。
- 后端服务器将响应发送到设备。
- 设备再次解密数据并将其发送到内联设备进行检查。
- 内联设备检查数据。如果存在安全威胁,设备将修改数据并将其发送到设备。
- 设备重新加密数据并将响应发送给客户端。
配置内联设备集成
您可以通过以下三种不同的方式配置带有内联设备的SSL转发代理设备:
场景1:使用单个内联设备
当安全设备(IPS或NGFW)以内联方式集成时,需要在SSL正向代理设备上开启全局模式的内容检测和MBF功能。然后添加内容检测配置文件、TCP服务和内容检测动作,根据检测结果对流量进行复位、阻断或丢弃。还要添加一个内容检查策略,设备使用该策略来决定发送到内联设备的流量子集。最后,在代理虚拟服务器上配置启用二层连接的代理虚拟服务器,并将内容检测策略绑定到该代理虚拟服务器。
请执行以下步骤:
- 启用基于mac的强积金模式。
- 启用内容检测特性。
- 为服务添加内容检查配置文件。内容检查配置文件包含内联设备设置,这些设置将SSL转发代理设备与内联设备集成在一起。
(可选)添加TCP监视器
注意:
透明设备没有IP地址。因此,要执行运行状况检查,必须显式绑定监视器。
- 添加服务。服务表示内联设备。
- (可选)绑定TCP监控服务。
- 为服务添加一个内容检查操作。
- 添加内容检查策略并指定操作。
- 添加HTTP或HTTPS代理(内容切换)虚拟服务器。
- 将内容检测策略绑定到虚拟服务器。
命令行配置
在命令提示符下输入以下命令。大多数命令后面都有示例。
- 使兆。
使能ns mode MBF
- 启用该特性。
启用ns feature contentInspection
- 添加内容检查配置文件。
add contentInspection profile
例子:
添加内容巡检配置文件ipsprof -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
- 添加服务。指定一个虚拟IP地址,该地址不属于任何设备,包括内联设备。集
使用源IP地址
(USIP)到YES。集useproxyport
没有。默认情况下,运行状况监视处于ON状态,将服务绑定到运行状况监视器,并将监视器中的TRANSPARENT选项设置为ON。
添加服务
例子:
添加服务ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof . conf
添加运行状况监控器。默认情况下,运行状况监控器处于打开状态,您还可以选择在必要时禁用它。在命令提示符下,输入:
添加lb monitor
TCP - desttip -destPort 80 -transparent
例子:
添加lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
- 将服务绑定到运行状况监控器
配置运行状况监控器后,必须将服务绑定到运行状况监控器。在命令提示符下,输入:
bind service
例子:
bind service ips_svc -monitorName ips_tcp
- 添加一个内容检查操作。
添加contentInspection动作
例子:
add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
- 添加内容检查策略。
添加内容检查策略
例子:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
注意:
还支持HTTP/SSL类型的负载均衡虚拟服务器。
例子:
add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn on
- 将策略绑定到虚拟服务器。
bind cs vserver
例子:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
使用GUI进行配置
导航到“系统>设置”。在模式与特点,点击配置模式。
导航到“系统>设置”。在模式与特点,点击配置高级特性。
导航到“安全Web网关>内容检测>内容检测配置文件”。点击添加。
导航到负载均衡>服务>接入并添加一个服务。在高级设置,点击配置文件。在CI配置文件名称列表中,选择前面创建的内容检查配置文件。在服务设置,设置使用源IP地址到YES和使用代理端口没有。在基本设置,设置健康监测没有。仅当将此服务绑定到TCP监视器时,才打开运行状况监视。如果将监视器绑定到服务,则将监视器中的TRANSPARENT选项设置为ON。
导航到安全Web网关>代理虚拟服务器>新建。指定名称、IP地址和端口。在高级设置中,选择政策。点击“+”号。
在选择政策选择内容检查。点击继续。
点击添加。指定一个名称。在行动,点击添加。
指定一个名称。在类型中,选择INLINEINSPECTION。在服务器名称,选择前面创建的TCP服务。
点击创建。指定规则后,单击创建。
点击绑定。
点击完成。
场景2:使用专用接口负载均衡多个内联设备
如果您正在使用两个或多个内联设备,则可以使用带有专用接口的不同内容检查服务对设备进行负载平衡。在这种情况下,SSL转发代理设备对通过专用接口发送到每个设备的流量子集进行负载平衡。该子集是根据所配置的策略确定的。例如,TXT或图像文件可能不会发送到内联设备进行检查。
基本配置与场景1中相同。但是,您必须为每个内联设备创建内容检查配置文件,并在每个配置文件中指定入接口和出接口。为每个内联设备添加一个服务。添加负载均衡虚拟服务器,并在内容检查操作中指定。执行以下额外步骤:
- 为每个服务添加内容检查配置文件。
- 为每个设备添加服务。
- 添加负载均衡虚拟服务器。
- 在内容检测动作中指定负载均衡虚拟服务器。
命令行配置
在命令提示符下输入以下命令。每个命令后面都给出了示例。
- 使兆。
使能ns mode MBF
- 启用该特性。
启用ns feature contentInspection
- 为服务1添加配置文件1。
add contentInspection profile
例子:
add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
- 为服务2添加配置文件2。
add contentInspection profile
例子:
add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
- 添加业务1。指定一个虚拟IP地址,该地址不属于任何设备,包括内联设备。集
使用源IP地址
(USIP)到YES。集useproxyport
没有。使用设置为on的透明选项的TCP监视器打开运行状况监视。
添加服务
例子:
添加服务ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- 添加业务2。指定一个虚拟IP地址,该地址不属于任何设备,包括内联设备。集
使用源IP地址
(USIP)到YES。集useproxyport
没有。启用运行状况监视并将TRANSPARENT选项设置为on。
添加服务
例子:
添加服务ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 添加负载均衡虚拟服务器。
add lb vserver
例子:
添加lb vserver lb_inline_vserver TCP 192.0.2.100 *
- 将服务绑定到负载均衡虚拟服务器。
绑定lb vserver
绑定lb vserver
例子:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- 在内容检测动作中指定负载均衡虚拟服务器。
添加contentInspection动作
例子:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- 添加内容检查策略。在策略中指定内容检查动作。
添加内容检查策略
例子:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
例子:
添加cs vserver透明代理* * -l2Conn ON
- 将内容检测策略绑定到虚拟服务器。
bind cs vserver
例子:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
使用GUI进行配置
导航到“系统>设置”。在模式与特点,点击配置模式。
导航到“系统>设置”。在模式与特点,点击配置高级特性。
导航到“安全Web网关>内容检测>内容检测配置文件”。点击添加。
指定入接口和出接口。
创建两个配置文件。在第二个配置文件中指定不同的入口和出口接口。
导航到负载均衡>服务>接入并添加一个服务。在高级设置,点击配置文件。在CI配置文件名称列表中,选择前面创建的内容检查配置文件。在服务设置,设置使用源IP地址到YES和使用代理端口没有。在基本设置,设置健康监测没有。仅当将此服务绑定到TCP监视器时,才打开运行状况监视。如果将监视器绑定到服务,则将监视器中的TRANSPARENT选项设置为ON。
创建两个服务。指定不属于任何设备(包括内联设备)的虚拟IP地址。
导航到负载均衡>虚拟服务器>接入。创建TCP负载均衡虚拟服务器。
点击好吧。
点击负载均衡虚拟服务器服务绑定部分。在服务绑定,单击箭头选择服务。选择前面创建的两个服务,然后单击选择。点击绑定。
导航到安全Web网关>代理虚拟服务器>新建。指定名称、IP地址和端口。在高级设置中,选择政策。点击“+”号。
在选择政策选择内容检查。点击继续。
点击添加。指定一个名称。在行动,点击添加。
指定一个名称。在类型中,选择INLINEINSPECTION。在服务器名称,选择前面创建的负载均衡虚拟服务器。
点击创建。指定规则后,单击创建。
点击绑定。
点击完成。
场景3:使用共享接口负载均衡多个内联设备
如果您正在使用两个或多个内联设备,则可以使用具有共享接口的不同内容检查服务对设备进行负载平衡。在这种情况下,SSL转发代理设备对通过共享接口发送到每个设备的流量子集进行负载平衡。该子集是根据所配置的策略确定的。例如,TXT或图像文件可能不会发送到内联设备进行检查。
基本配置与场景2中相同。在这种情况下,可以将接口绑定到不同的vlan,实现各设备间流量的隔离。在内容检测配置文件中指定vlan。执行以下额外步骤:
将共享接口绑定到不同的vlan。
在内容检测配置文件中分别指定入口vlan和出口vlan。
命令行配置
在命令提示符下输入以下命令。每个命令后面都给出了示例。
- 使兆。
使能ns mode MBF
- 启用该特性。
启用ns feature contentInspection
将共享接口绑定到不同的vlan。
绑定vlan
-ifnum -tagged
例子:
绑定vlan 100 -ifnum 1/2 tagged绑定vlan 200 -ifnum 1/3 tagged绑定vlan 300 -ifnum 1/2 tagged绑定vlan 400 -ifnum 1/3 tagged
- 为服务1添加配置文件1。在配置文件中指定入、出vlan。
add contentInspection profile
例子:
add contentInspection profile ipsprof1 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 100 -ingressVlan 300 .使用实例
- 为服务2添加配置文件2。在配置文件中指定入、出vlan。
add contentInspection profile
例子:
add contentInspection profile ipsprof2 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 200 -ingressVlan 400 .使用实例
- 添加业务1。
添加服务
例子:
添加服务ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- 添加业务2。
添加服务
例子:
添加服务ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 添加负载均衡虚拟服务器。
add lb vserver
例子:
添加lb vserver lb_inline_vserver TCP 192.0.2.100 *
- 将服务绑定到负载均衡虚拟服务器。
绑定lb vserver
绑定lb vserver
例子:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- 在内容检测动作中指定负载均衡虚拟服务器。
添加contentInspection动作
例子:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- 添加内容检查策略。在策略中指定内容检查动作。
添加内容检查策略
例子:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
例子:
添加cs vserver透明代理* * -l2Conn ON
- 将内容检测策略绑定到虚拟服务器。
bind cs vserver
例子:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
使用GUI进行配置
导航到“系统>设置”。在模式与特点,点击配置模式。
导航到“系统>设置”。在模式与特点,点击配置高级特性。
导航到“系统>网络> vlan >接入”。添加4个vlan,并在接口上标记。
导航到“安全Web网关>内容检测>内容检测配置文件”。点击添加。
指定入vlan和出vlan。
创建另一个配置文件。在第二个配置文件中指定不同的入口和出口VLAN。
导航到负载均衡>服务>接入并添加一个服务。在高级设置,点击配置文件。在CI配置文件名称列表中,选择前面创建的内容检查配置文件。在服务设置,设置使用源IP地址到YES和使用代理端口没有。在基本设置,设置健康监测没有。
创建两个服务。指定不属于任何设备(包括内联设备)的虚拟IP地址。在服务1中指定配置文件1,在服务2中指定配置文件2。
导航到负载均衡>虚拟服务器>接入。创建TCP负载均衡虚拟服务器。
- 点击好吧。
点击负载均衡虚拟服务器服务绑定部分。在服务绑定,单击箭头选择服务。选择前面创建的两个服务,然后单击选择。点击绑定。
导航到安全Web网关>代理虚拟服务器>新建。指定名称、IP地址和端口。在高级设置中,选择政策。点击“+”号。
在选择政策选择内容检查。点击继续。
点击添加。指定一个名称。在行动,点击添加。
指定一个名称。在类型中,选择INLINEINSPECTION。在服务器名称,选择前面创建的负载均衡虚拟服务器。
点击创建。指定规则后,单击创建。
- 点击绑定。
- 点击完成。