암호 해독 프로파일
암호 해독 프로파일은 역방향 프록시 또는 정방향 프록시 시나리오에서 멀티 클라우드 방어 게이트웨이에 의해 사용됩니다. 연결이 프록시되면 프런트엔드 세션은 게이트웨이에서 종료되고, 서버에 새 백엔드 세션이 설정됩니다. 이러한 종료의 목적은 트래픽을 암호 해독하고 검사하여 악의적인 활동으로부터 보호하기 위한 것입니다. 암호화된 트래픽을 해독하려면 Decryption Profile(암호 해독 프로파일)이 필요합니다.
암호 해독 프로파일 생성
다음 절차에 따라 암호 해독 프로파일을 생성합니다.
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
Create(생성)를 클릭합니다. |
Step 3 |
Profile Name(프로파일 이름) 및 Description(설명)을 지정합니다. |
Step 4 |
Certificate Method(인증서 방법)으로 Select Existing(기존 선택)을 선택합니다. |
Step 5 |
Certificate(인증서)로 원하는 인증서를 선택합니다. |
Step 6 |
Min TLS Version(최소 TLS 버전)에서 암호 해독 프로파일이 허용하는 가장 낮은 TLS 버전을 선택합니다. 기본값은 TLS 1.0입니다. |
Step 7 |
기본값 이외의(비 PFS) 암호 그룹을 사용하는 경우 Diffie-Hellman 또는 PKCS (RSA) 메뉴에서 원하는 암호 그룹 집합을 선택합니다. |
Step 8 |
Save(저장)를 클릭합니다. |
What to do next
암호 해독 프로파일의 TLS 버전
멀티 클라우드 방어 게이트웨이은(는) 모든 TLS 버전(TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0)을 지원합니다. 사용자는 사용할 최소 TLS 버전을 지정할 수 있으며, 멀티 클라우드 방어 게이트웨이은(는) 지정된 최소 TLS 버전 이상인 TLS 버전을 협상합니다. 멀티 클라우드 방어 게이트웨이은(는) TLS 협상 중에 항상 가능한 가장 높은 TLS 버전을 사용합니다. 멀티 클라우드 방어 게이트웨이이(가) 지정된 최소 TLS 버전을 충족하는 버전을 협상할 수 없는 경우 멀티 클라우드 방어 게이트웨이에서는 세션을 삭제하고 TLS_ERROR
이벤트를 로깅합니다.
Note |
게이트웨이에는 단일 최소 TLS 버전만 적용할 수 있습니다. 정책 규칙 집합 또는 정책 규칙 집합 그룹 내에서 사용되는 모든 서비스 개체에서 참조하는 모든 암호 해독 프로파일에 일관된 최소 TLS 버전을 사용해야 합니다. 다른 최소 TLS 버전이 지정된 경우, 적용할 최소 TLS 버전을 미리 결정할 수 없습니다. |
암호 그룹
멀티 클라우드 방어 게이트웨이는 사용자가 선택 가능한 기본 암호 그룹 집합을 지원합니다. 기본 집합은 항상 선택되는 PFS 암호 그룹입니다. 사용자 선택 가능한 집합은 Diffie-Hellman 및 PKCS(RSA) 암호 그룹(사용자가 선택할 수 있음)입니다. 결합된 암호 그룹 집합(기본 및 사용자 선택)은 게이트웨이에서 안전한 프런트 엔드 암호화 세션을 설정하는 데 사용됩니다. 클라이언트는 선호하는 암호 그룹의 순서가 지정된 목록을 전송합니다. 게이트웨이는 클라이언트가 제출한 순서가 지정된 집합과 게이트웨이에서 사용 가능한 집합에서 선택한 암호 그룹으로 응답합니다. 클라이언트가 서버가 순서를 정의하도록 허용하는 경우, 게이트웨이에서 사용 가능한 순서가 지정된 집합과 클라이언트가 제출한 집합에서 암호 그룹을 선택합니다.
다음은 게이트웨이에서 지원하고 암호 해독 프로파일에서 사용 가능한 암호 그룹의 순서가 지정된 목록입니다.
카테고리 |
암호 그룹 |
키 교환 |
암호화 |
해시 |
기본 |
---|---|---|---|---|---|
PFS |
ECDHE-RSA-AES256-GCM-SHA384 |
ECDHE-RSA |
AES256-GCM |
SHA384 |
✅ |
PFS |
ECDHE-RSA-AES256-CBC-SHA384 |
ECDHE-RSA |
AES256-CBC |
SHA384 |
✅ |
Diffie-Hellman |
DH-RSA-AES256-GCM-SHA384 |
DH-RSA |
AES256-GCM |
SHA384 |
|
PFS |
DHE-RSA-AES256-GCM-SHA384 |
DHE-RSA |
AES256-GCM |
SHA384 |
✅ |
PFS |
DHE-RSA-AES256-CBC-SHA256 |
DHE-RSA |
AES256-CBC |
SHA384 |
✅ |
PFS |
DHE-RSA-AES256-CBC-SHA |
DHE-RSA |
AES256-CBC |
SHA |
✅ |
Diffie-Hellman |
DH-RSA-AES256-SHA256 |
DH-RSA |
AES256-CBC |
SHA256 |
|
Diffie-Hellman |
DH-RSA-AES256-SHA |
DH-RSA |
AES256-CBC |
SHA160 |
|
PKCS(RSA) |
AES256-GCM-SHA384 |
PKCS-RSA |
AES256-GCM |
SHA384 |
|
PKCS(RSA) |
AES256-SHA256 |
PKCS-RSA |
AES256-CBC |
SHA256 |
|
PKCS(RSA) |
AES256-SHA |
PKCS-RSA |
AES256-CBC |
SHA160 |
|
PFS |
ECDHE-RSA-AES128-GCM-SHA256 |
ECDHE-RSA |
AES128-GCM |
SHA256 |
✅ |
PFS |
ECDHE-RSA-AES128-CBC-SHA256 |
ECDHE-RSA |
AES128-CBC |
SHA256 |
✅ |
Diffie-Hellman |
DH-RSA-AES128-GCM-SHA256 |
DH-RSA |
AES128-GCM |
SHA256 |
|
PFS |
DHE-RSA-AES128-GCM-SHA256 |
DHE-RSA |
AES128-GCM |
SHA256 |
✅ |
PFS |
DHE-RSA-AES128-CBC-SHA256 |
DHE-RSA |
AES128-CBC |
SHA256 |
✅ |
Diffie-Hellman |
DH-RSA-AES128-SHA256 |
DH-RSA |
AES128-CBC |
SHA256 |
|
Diffie-Hellman |
DH-RSA-AES128-SHA |
DH-RSA |
AES128-CBC |
SHA160 |
|
PKCS(RSA) |
AES128-GCM-SHA256 |
PKCS-RSA |
AES128-GCM |
SHA256 |
|
PKCS(RSA) |
AES128-SHA256 |
PKCS-RSA |
AES128-CBC |
SHA256 |
|
PKCS(RSA) |
AES128-SHA |
PKCS-RSA |
AES128-CBC |
SHA160 |
|
PFS |
ECDHE-RSA-DES-CBC3-SHA |
ECDHE-RSA |
DES-CBC3 |
SHA |
✅ |
PFS |
ECDHE-RSA-RC4-SHA |
ECDHE-RSA |
RC4 |
SHA |
✅ |
PKCS(RSA) |
RC4-SHA |
PKCS-RSA |
RC4 |
SHA160 |
|
PKCS(RSA) |
RC4-MD5 |
PKCS-RSA |
RC4 |
SHA160 |