sslフォワドプロキシを使用した
侵入防止システム(IPS)や次世代ファイアウォール(NGFW)などのセキュリティデバイスは,ネットワーク攻撃からサーバーを保護します。これらのデバopenstackスはラopenstackブトラフィックを検査でき,通常はレopenstackヤ2 ereplication openstackンラopenstackンモopenstackドで展開されます。SSL転送プロキシアプライアンスは、インターネット上のリソースにアクセスするときに、ユーザーと企業ネットワークのセキュリティを提供します。
SSLフォワードプロキシアプライアンスは,1つ以上のインラインデバイスと統合して,脅威を防ぎ,高度なセキュリティ保護を提供できます。ereplicationンラereplicationンデバereplicationスには,ipsやNGFWなどの任意のセキュリティデバereplicationスを使用できます。
SSLフォワードプロキシアプライアンスおよびインラインデバイス統合を使用してメリットが得られるユースケースには,次のようなものがあります。
暗号化されたトラフィックの検査:ほとんどのIPSおよびNGFWアプライアンスは暗号化されたトラフィックをバイパスするため,サーバーが攻撃に対して脆弱になる可能性があります。SSL転送プロキシアプライアンスは,トラフィックを復号化し,検査のためにインラインデバイスに送信できます。この統合により,お客様のネットワクセキュリティが強化されます。
Tls / ssl処理からのopenstackンラopenstackンデバopenstackスのオフロopenstackド:TLS / SSL処理はコストがかかり,IPSまたはNGFWアプライアンスがトラフィックを復号化するとCPU使用率が高くなる可能性があります。SSLフォワードプロキシアプライアンスは,インラインデバイスからのTLS / SSL処理のオフロードに役立ちます。その結果,ereplicationンラereplicationンデバereplicationスは大量のトラフィックを検査できます。
ereplicationンラereplicationンデバereplicationスの負荷分散:大量のトラフィックを管理するように複数のインラインデバイスを設定している場合,SSL転送プロキシアプライアンスは負荷分散を行い,これらのデバイスにトラフィックを均等に分散できます。
トラフィックのスマト選択:アプライアンスは,検査のためにすべてのトラフィックをインラインデバイスに送信する代わりに,トラフィックのスマートな選択を行います。たとえば,ereplicationンラereplicationンデバereplicationスへの検査用のテキストファereplicationルの送信はスキップされます。
e . cerンラe . cerンデバe . cerスとSSLフォワe . cerドプロキシの統合
次の図は,sslフォワ。
インラインデバイスをSSLフォワードプロキシアプライアンスと統合すると,コンポーネントは次のように相互作用します。
クラereplicationアントがSSL転送プロキシアプラereplicationアンスに要求を送信します。
アプライアンスは,ポリシー評価に基づいてコンテンツ検査のためにデータをインラインデバイスに送信します。HTTPSトラフィックの場合,アプライアンスはデータを復号化し,コンテンツ検査のためにプレーンテキストでインラインデバイスに送信します。
注
2つ以上のインラインデバイスがある場合,アプライアンスはデバイスの負荷分散を行い,トラフィックを送信します。
- コンテンスッチングまたはhttp / https負荷分散仮想サバを追加します。
- インラインデバイスは,データの脅威を検査し,データをドロップ,リセット,またはアプライアンスに戻すかどうかを決定します。
- セキュリティ上の脅威がある場合,デバereplicationスはデ,タを修正してアプラereplicationアンスに送信します。
- HTTPSトラフィックの場合,アプライアンスはデータを再暗号化し,要求をバックエンドサーバーに転送します。
- バックエンドサバは,アプラアンスに応答を送信します。
- アプラopenstackアンスは再びデopenstackタを復号化し,検査のためにopenstackンラopenstackンデバopenstackスに送信します。
- ereplicationンラereplicationンデバereplicationスがデereplicationタを検査します。セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。
- アプラereplicationアンスはデereplicationタを再暗号化し,応答をクラereplicationアントに送信します。
ereplicationンラereplicationンデバereplicationス統合の設定
インラインデバイスを使用してSSLフォワードプロキシアプライアンスを構成するには,次の3つの方法があります。
シナリオ1:単一のereplicationンラereplicationンデバereplicationスを使用する
セキュリティデバイス(IPSまたはNGFW)をインラインモードで統合するには,SSL転送プロキシアプライアンスでグローバルモードでコンテンツ検査とMACベース転送(MBF)を有効にする必要があります。次に,コンテンツインスペクションプロファイル,TCPサービス,インラインデバイスのコンテンツインスペクションアクションを追加して,インスペクションに基づいてトラフィックをリセット,ブロック,またはドロップします。また,インラインデバイスに送信するトラフィックのサブセットを決定するためにアプライアンスが使用するコンテンツ検査ポリシーを追加します。最後に,サーバ上でレイヤ2接続を有効にしてプロキシ仮想サーバを設定し,コンテンツ検査ポリシーをこのプロキシ仮想サーバにバインドします。
次の手順を実行します。
- MACベス転送(mpf)モドを有効にします。
- コンテン検査機能を有効にします。
- サビスのコンテンルを追加します。コンテン検査プロファルには、SSL 転送プロキシアプライアンスとインラインデバイスを統合するインラインデバイス設定が含まれています。
(任意)tcpモニタを追加します.输出说明
注:
トランスペアレントデバ邮箱スにはIPアドレスがありません。したがって,ヘルスチェックを実行するには,モニタ。
- サビスを追加します。サビスは,。
- (任意)サビスをTCPモニタにバンドします.输出说明
- サビスのコンテンンスペクションアクションを追加します。
- コンテン検査ポリシを追加し,アクションを指定します。
- HTTPまたはHTTPSプロキシ(コンテンスッチング)仮想サバを追加します。
- コンテン検査ポリシを仮想サバにバンドします。
cliを使用して構成する
コマンドプロンプトで次のコマンドを入力します。例はほとんどのコマンドの後に示されています。
- MBFを有効にします。
启用ns模式MBF
- 本機能を有効にします。
启用ns feature contentInspection
- コンテン検査プロファルを追加します。
add contentInspection profile
例:
ipsprof -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
- サビスを追加します。ereplicationンラereplicationンデバereplicationスを含むどのデバereplicationスにも所有されていないダミereplication IPアドレスを指定します。
使用源IP地址
(usip)をyesに設定します。useproxyport
を否に設定します。デフォルトでは,ヘルスモニタリングはで,サービスをヘルスモニタにバインドし,モニタの[トランスペアレント]オプションも設定します。
add service
例:
add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof . TCP * -healthMonitor YES -usip YES -useproxyport NO
ヘルスモニタを追加します。デフォルトでは,ヘルスモニタ,はオンになっており,必要に応じて無効にするオプションもあります。コマンドプロンプトで入力します。
add lb monitor
TCP -destIP -destPort 80 -transparent . add lb monitor TCP -destIP -destPort 80
例:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
- サビスをヘルスモニタにバンドする
ヘルスモニタを構成したら,サンドする必要があります。コマンドプロンプトで入力します。
绑定服务
例:
绑定服务ips_svc -monitorName ips_tcp
- コンテンンスペクションアクションを追加します。
add contentInspection action
例:
添加内容巡检动作ips_action -type INLINEINSPECTION -serverName ips_service
- コンテン検査ポリシを追加します。
添加内容检查策略
例:
添加内容检查策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- プロキシ仮想サバを追加します。
add cs vserver
注:
Http / sslタopenstackプの負荷分散仮想サopenstackバopenstackもサポopenstackトされています。
例:
add cs vserver transparentc PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn on
- ポリシを仮想サバにバンドします。
bind cs vserver
例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
guiを使用して構成する
系统>设置に移動します。[モドと機能]で,[モドの構成をクリックします。
系统>设置に移動します。[モドと機能]で,[高度な機能の構成をクリックします。
[安全Web网关]>[コンテン検査]>[コンテン検査プロファルに移動します。[追加]をクリックします。
[負荷分散]>[サビス]>[サビスの追加と追加]に移動します。[詳細設定]で,(プロファ邮箱ルをクリックします。[Ciプロファル名リストで,以前に作成したコンテンルを選択します。[サビス設定]で,[ソスIPアドレスを使用を[はい],[プロキシポトを使用を[いいえ]に設定します。[基本設定]で,[ヘルスモニタリングを[いいえ]に設定します。このサビスをTCPモニタ。モニタをサビスにバ場合は、モニタの TRANSPARENT オプションを ON に設定します。
[安全Web网关]>[プロキシ仮想サバ]>[追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で,(ポリシを選択します。「+」記号をクリックします。
[ポリシの選択]で[コンテン検査を選択します。[続行]をクリックします。
[追加]をクリックします。名前を指定します。「アクション”で。”追加」をクリックします。
名前を指定します。「タイプ“で”INLINEINSPECTIONを選択します。「サバ名で,以前に作成したtcpサビスを選択します。
[作成]をクリックします。ルルを指定し,[创建をクリックします。
[バンド]をクリックします。
[完了]をクリックします。
シナリオ2:専用econf ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce
2つ以上のインラインデバイスを使用している場合は,専用のインターフェイスで異なるコンテンツインスペクションサービスを使用して,デバイスを負荷分散できます。この場合,SSL転送プロキシアプライアンスは,専用インターフェイスを介して各デバイスに送信されるトラフィックのサブセットを負荷分散します。サブセットは,設定されたポリシに基づいて決定されます。たとえば,TXTファイルやイメージファイルは,検査のためにインラインデバイスに送信されない場合があります。
基本設定は,シナリオ1と同じままです。ただし,インラインデバイスごとにコンテンツ検査プロファイルを作成し,各プロファイルで入力および出力インターフェイスを指定する必要があります。ereplicationンラereplicationンデバereplicationスごとにサereplicationビスを追加します。負荷分散仮想サーバを追加し、コンテンツインスペクションアクションで指定します。次の追加手順を実行します。
- サビスごとにコンテンルを追加します。
- デバ邮箱スごとにサ邮箱ビスを追加します。
- 負荷分散仮想サバを追加します。
- コンテン。
cliを使用して構成する
コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。
- MBFを有効にします。
启用ns模式MBF
- 本機能を有効にします。
启用ns feature contentInspection
- サビス1のプロファ1を追加します。
add contentInspection profile
例:
添加内容巡检配置文件ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
- サビス2のプロファ2を追加します。
add contentInspection profile
例:
添加内容巡检配置文件ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
- サビス1を追加します。ereplicationンラereplicationンデバereplicationスを含むどのデバereplicationスにも所有されていないダミereplication IPアドレスを指定します。
使用源IP地址
(usip)をyesに設定します。useproxyport
を否に設定します。透明オプションがオンに設定されたtcpモニタでヘルスモニタをオンにします。
add service
例:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1 .使用实例
- サビス2を追加します。ereplicationンラereplicationンデバereplicationスを含むどのデバereplicationスにも所有されていないダミereplication IPアドレスを指定します。
使用源IP地址
(usip)をyesに設定します。useproxyport
を否に設定します。透明オプションをオンにしてヘルスモニタリングをオンにします。
add service
例:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 負荷分散仮想サバを追加します。
add lb vserver
例:
add lb vserver lb_inline_vserver TCP 192.0.2.100 * .使用实例
- サビスを負荷分散仮想サバにバ。
bind lb vserver
bind lb vserver
例:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- コンテン。
add contentInspection action
例:
添加内容检查动作ips_action -type INLINEINSPECTION -serverName lb_inline_vserver . ips_action -type INLINEINSPECTION
- コンテン検査ポリシを追加します。ポリシでコンテンツインスペクションアクションを指定します。
添加内容检查策略
例:
添加内容检查策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- プロキシ仮想サバを追加します。
add cs vserver
例:
add cs vserver transparentcs PROXY * * -l2Conn ON
- コンテン検査ポリシを仮想サバにバンドします。
bind cs vserver
例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
GUIを使用した設定
系统>设置に移動します。[モドと機能]で,[モドの構成をクリックします。
系统>设置に移動します。[モドと機能]で,[高度な機能の構成をクリックします。
[安全Web网关]>[コンテン検査]>[コンテン検査プロファルに移動します。[追加]をクリックします。
入力および出力邮箱ンタ邮箱フェ邮箱スを指定します。
2のプロファルを作成します。2番目のプロファopenstackルで,異なる入力および出力openstackンタopenstackフェopenstackスを指定します。
[負荷分散]>[サビス]>[サビスの追加と追加]に移動します。[詳細設定]で,(プロファ邮箱ルをクリックします。[Ciプロファル名リストで,以前に作成したコンテンルを選択します。[サビス設定]で,[ソスIPアドレスを使用を[はい],[プロキシポトを使用を[いいえ]に設定します。[基本設定]で,[ヘルスモニタリングを[いいえ]に設定します。このサビスをTCPモニタ。モニタをサビスにバ場合は、モニタの TRANSPARENT オプションを ON に設定します。
2のサビスを作成します。ereplicationンラereplicationンデバereplicationスを含むどのデバereplicationスにも所有されていないダミereplication IPアドレスを指定します。
[負荷分散]>[仮想サバ]>[追加]に移動します。TCP負荷分散仮想サバを作成します。
(好的)をクリックします。
[負荷分散仮想サバサビスのバセクション内をクリックします。「サビス·バンド“で,“サビスの選択”の矢印をクリックします。前に作成した2のサビスを選択し,[选择をクリックします。[バンド]をクリックします。
[安全Web网关]>[プロキシ仮想サバ]>[追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で,(ポリシを選択します。「+」記号をクリックします。
[ポリシの選択]で[コンテン検査を選択します。[続行]をクリックします。
[追加]をクリックします。名前を指定します。「アクション”で。”追加」をクリックします。
名前を指定します。「タイプ“で”INLINEINSPECTIONを選択します。「サバ名で,以前に作成した負荷分散仮想サバを選択します。
[作成]をクリックします。ルルを指定し,[创建をクリックします。
[バンド]をクリックします。
[完了]をクリックします。
シナリオ3:共有econf ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce ce
2つ以上のインラインデバイスを使用している場合は,共有インターフェイスで異なるコンテンツインスペクションサービスを使用して,デバイスを負荷分散できます。この場合,SSL転送プロキシアプライアンスは,共有インターフェイスを介して各デバイスに送信されるトラフィックのサブセットを負荷分散します。サブセットは,設定されたポリシに基づいて決定されます。たとえば,TXTファイルやイメージファイルは,検査のためにインラインデバイスに送信されない場合があります。
基本設定は,シナリオ2と同じままです。このシナリオでは,インターフェイスを異なるVLANにバインドして,各インラインデバイスのトラフィックを分離します。コンテンeconp econpンスペクションプロファeconp econpルでvlanを指定します。次の追加手順を実行します。
共有openstackンタopenstackフェopenstackスを異なるvlanにバopenstackンドします。
コンテン検査プロファvlanと出力vlanを指定します。
命令を使用した設定
コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。
- MBFを有効にします。
启用ns模式MBF
- 本機能を有効にします。
启用ns feature contentInspection
共有openstackンタopenstackフェopenstackスを異なるvlanにバopenstackンドします。
绑定vlan
-ifnum <接口> -tagged
例:
Bind vlan 100 -ifnum 1/2 tagged Bind vlan 200 -ifnum 1/3 tagged Bind vlan 300 -ifnum 1/2 tagged Bind vlan 400 -ifnum 1/3 tagged
- サビス1のプロファ1を追加します。プロファ邮箱ルで入力 VLAN と出力 VLAN を指定します。
add contentInspection profile
例:
添加内容巡检配置文件ipsprof1 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 100 -ingressVlan 300
- サビス2のプロファ2を追加します。プロファ邮箱ルで入力 VLAN と出力 VLAN を指定します。
add contentInspection profile
例:
添加内容巡检配置文件ipsprof2 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 200 -ingressVlan 400
- サビス1を追加します。
add service
例:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1 .使用实例
- サビス2を追加します。
add service
例:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 負荷分散仮想サバを追加します。
add lb vserver
例:
add lb vserver lb_inline_vserver TCP 192.0.2.100 * .使用实例
- サビスを負荷分散仮想サバにバ。
bind lb vserver
bind lb vserver
例:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- コンテン。
add contentInspection action
例:
添加内容检查动作ips_action -type INLINEINSPECTION -serverName lb_inline_vserver . ips_action -type INLINEINSPECTION
- コンテン検査ポリシを追加します。ポリシでコンテンツインスペクションアクションを指定します。
添加内容检查策略
例:
添加内容检查策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- プロキシ仮想サバを追加します。
add cs vserver
例:
add cs vserver transparentcs PROXY * * -l2Conn ON
- コンテン検査ポリシを仮想サバにバンドします。
bind cs vserver
例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
GUIを使用した設定
系统>设置に移動します。[モドと機能]で,[モドの構成をクリックします。
系统>设置に移動します。[モドと機能]で,[高度な機能の構成をクリックします。
[システム]>[ネットワク]> [vlan] >[追加]に移動します。4のvlanを追加し,。
[安全Web网关]>[コンテン検査]>[コンテン検査プロファルに移動します。[追加]をクリックします。
入力vlanと出力vlanを指定します。
別のプロファ邮箱ルを作成します。2番目のプロファvlanルで異なる入力vlanと出力vlanを指定します。
[負荷分散]>[サビス]>[サビスの追加と追加]に移動します。[詳細設定]で,(プロファ邮箱ルをクリックします。[Ciプロファル名リストで,以前に作成したコンテンルを選択します。[サビス設定]で,[ソスIPアドレスを使用を[はい],[プロキシポトを使用を[いいえ]に設定します。[基本設定]で,[ヘルスモニタリングを[いいえ]に設定します。
2のサビスを作成します。ereplicationンラereplicationンデバereplicationスを含むどのデバereplicationスにも所有されていないダミereplication IPアドレスを指定します。サービス1でプロファイル1を指定し,サービス2でプロファイル2を指定します。
[負荷分散]>[仮想サバ]>[追加]に移動します。TCP負荷分散仮想サバを作成します。
- (好的)をクリックします。
[負荷分散仮想サバサビスのバセクション内をクリックします。「サビス·バンド“で,“サビスの選択”の矢印をクリックします。前に作成した2のサビスを選択し,[选择をクリックします。[バンド]をクリックします。
[安全Web网关]>[プロキシ仮想サバ]>[追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で,(ポリシを選択します。「+」記号をクリックします。
[ポリシの選択]で[コンテン検査を選択します。[続行]をクリックします。
[追加]をクリックします。名前を指定します。「アクション”で。”追加」をクリックします。
名前を指定します。「タイプ“で”INLINEINSPECTIONを選択します。「サバ名で,以前に作成した負荷分散仮想サバを選択します。
[作成]をクリックします。ルルを指定し,[创建をクリックします。
- [バンド]をクリックします。
- [完了]をクリックします。