SSL Insight設定ガイド...Application Service Gateway Thunder/AX Series SSL...
Transcript of SSL Insight設定ガイド...Application Service Gateway Thunder/AX Series SSL...
1
Customer Driven Innovation
©2017 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Harmony、A10 Lightning、A10 Thunder、aCloud、ACOS、Affinity、
aFleX、aFlow、aGalaxy、aVCS、aXAPI、IDsentrie、IP-to-ID、SSL Insight、Thunder、Thunder TPS、UASGおよび vThunderは米国およびその他各国に
おけるA10 Networks, Inc. の商標または登録商標です。その他上記の全ての商品およびサービスの名称はそれら各社の商標です。
A10 Networksは本書の誤りに関して責任を負いません。 A10 Networksは、予告なく本書を変更、修正、譲渡、および改訂する権利を留保します。 製
品の仕様や機能は、変更する場合がございますので、ご注意ください。
Application Service Gateway Thunder/AX Series
SSL Insight設定ガイド
Document No. : D-030-03-0069-03-JP
Date : 2016/11/8
A10ネットワークス株式会社
東京都港区六本木3-2-1
住友不動産六本木グランドタワー33階
TEL 03-4520-5700
FAX 03-4520-5702
E-Mail [email protected]
2
Customer Driven Innovation
【 更新履歴 】
Document No. Date 評価ACOSバージョン Comments
D-030-03-0069-01-JP 2016/1/6 4.0.3 初版
D-030-03-0069-02-JP 2016/1/22 4.0.3 Page 14-15 各cipher より priority削除
D-030-03-0069-03-JP 2017/7/31 4.1.0-P7 4.1.0/4.1.1用に更新
【 目 次 】
1. SSL Insight機能について .......................................................................... 3 1.1. 本文書について ............................................................................. 3
2. SSL Insight実装方式 .............................................................................. 4 2.1. 構成例 ..................................................................................... 4 2.1.1. 物理構成 ............................................................................. 5 2.1.2. 論理構成 ............................................................................. 6
2.2. 事前準備 ................................................................................... 7 2.2.1. SSL Insight用CA証明書の作成 ........................................................... 7 2.2.2. 各サーバの準備 ....................................................................... 7
2.3. サンプルコンフィグ ......................................................................... 8 2.3.1. ”shared” パーティション ............................................................... 8 2.3.2. ”inside” パーティション ............................................................... 9 2.3.1. ”outside” パーティション ..............................................................14
2.4. 動作確認 ...................................................................................16 2.4.1. サーバ証明書の失効確認................................................................16 2.4.2. バイパス機能 .........................................................................19 2.4.3. ICAPサーバとの連携 ...................................................................22
3. SSL Insight 参考文書 .............................................................................24
3
Customer Driven Innovation
1.SSL Insight機能について
1.1.本文書について
本文書ではA10 ThunderシリーズのSSL Insight機能について設定例を示します。SSL Insightの動作に関する詳細につい
ては既存の技術資料「Thunder/AX Series SSL Insight」”D-030-03-0058-02-JP.pdf”をご参照下さい。
4
Customer Driven Innovation
2.SSL Insight実装方式
2.1.構成例
本文書では下記の構成を想定します。
・ 一台のThunderでADPを作成しSSL Insightを実装する
・ SSL Insightのインラインに設置するセキュリティ装置はLayer2 Transparentモードで動作する(Layer3で動作
しているケースにおいても実装可能)
・ IPv4の通信環境
本文書ではADPを下記の3パーティション(shared, inside, outside)で構成しています。
sharedにてinsideあるいはoutsideの役割を実装する2パーティションでの構成(”shared=inside”, outside)(inside,
“shared=outside”)も可能です。
パーティション名 本文書での主な役割
shared ・管理インターフェースの提供
・URLクラシフィケーション機能(後述)の有効化 - sharedパーティションでの設定が必須
− ライセンス管理サーバとの通信のためshared(管理あるいはデータインタフェース)からインタ
ーネットへの接続性が必要
inside ・SSL Insight insideとして動作(HTTPS通信のデコード) - サーバ証明書の失効確認
- バイパス機能
- ICAPサーバとの連携
outside SSL Insight outsideとして動作(HTTPS通信のエンコード)
なお、SSL Insightの基本機能に加え、下記の拡張機能を確認します。
・ サーバ証明書の失効確認
OCSPを利用したサーバ証明書の失効確認
・ バイパス機能
URLクラシフィケーションを利用したカテゴリ別でのバイパス指定
class-listを用いた文字列マッチングでのバイパス指定
クライアント認証が必要なホストについての自動バイパス
・ ICAPサーバとの連携
復号化したHTTP通信の内容をICAPサーバに送信し、応答に従って動作
-失効確認について-
失効確認はinsideのパーティションがOCSPを利用して実施します。
具体的には、そのホストに対するアクセスが初回の(失効情報がまだキャッシュされていない)場合、一旦バイ
パスし接続させます(接続させない選択も可能=クライアント側との接続を一旦TCP RSTで切断)。それに併行し
て証明書の状況(Good/Revoked)を確認し、キャッシュします。その後はキャッシュに応じてアクセス制御を行
うことが可能となり、Revokedなホストに対する接続があった場合にはバイパス、あるいは接続を終了(Client
Helloに対してTCP FINでクローズ)することができます。なお、Sever Hello受信時にOCSP Stapling(Certificate
Status)で提示されたStatusについてはキャッシュしません。