Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

O que mudou

Saiba mais sobre o que mudou nesta versão para a Série SRX.

Segurança de aplicativos

  • Depricação da versão ssl em assinaturas personalizadas (Série SRX) — A versão ssl em assinaturas personalizadas baseadas em contexto SSL é preterida na versão 3796 do pacote de assinatura de aplicativos e posteriores. Em vez disso, você pode usar a opção de versão de protocolo ssl. A opção de versão ssl é preterida e não imediatamente removida para fornecer compatibilidade retrógrada e uma oportunidade de colocar sua configuração em conformidade com a nova configuração.

    [Veja [Assinaturas personalizadas de aplicativos para identificação e contexto de aplicativos.]

  • Limites de configuração para perfis de proxy SSL — A partir desta versão, atualizamos os limites para certificados de CA confiáveis, certificados de servidor e categorias de URL em configurações de proxy de encaminhamento SSL e proxy reverso SSL. Essas mudanças garantem a conformidade com o limite máximo de tamanho de blob de configuração de 56.986 bytes.

    Mudanças no tamanho limite:

    • Certificados de CA/servidor confiáveis: limite máximo — 400 (alterado a partir de 1024)
    • Categorias de URL: limite máximo — 800 (inalterado)

    Declarações de configuração:

    Nota: Na configuração de proxy reverso, garanta que o tamanho combinado de certificados de servidor e categorias de URL não exceda 56.986 bytes. Se o tamanho combinado exceder o limite, a seguinte mensagem de erro é exibida durante o commit: Este erro fornece uma quebra do uso de memória, ajudando você a ajustar a configuração de acordo.

    [Veja [Configuração do proxy SSL].]

Segurança de conteúdo

  • Configuração de antivírus Sophos para ISSU (Série SRX) — Para usar o antivírus Sophos enquanto realiza uma atualização de software em serviço (ISSU), remova as seguintes opções de configuração.

    • edit security utm default-configuration anti-virus forwarding-mode holdset

    • edit security utm default-configuration anti-virus forwarding-mode inline-tap

    Essa cautela se aplica apenas aos upgrades ISSU e não a atualizações independentes. Após concluir o ISSU, você pode re habilitar as configurações acima. O recurso de antivírus Sophos funciona como de costume quando ambos os dispositivos aparecem.

    [Veja a visão geral da configuração do Sophos Antivírus.]

Clustering de chassi

  • Definir um modo de redundância.

    • active-active: primary and secondary nodes in active mode.

    • active-backup: primary in active, secondary in backup mode.

JIMS

Juniper Secure Connect

  • Suporte para iPadOS para verificações de conformidade pré-logon no Juniper Secure Connect (Série SRX e vSRX3.0)— você pode configurar verificações de conformidade de pré-lista em seu firewall para permitir ou rejeitar endpoints em execução do iPadOS. Use a opção ipados no nível de [edit security remote-access compliance pre-logon name term name match platform] hierarquia para aplicar essas verificações. Isso garante que apenas dispositivos iPadOS compatíveis tenham acesso permitido, aumentando a segurança de sua rede.

    [Veja conformidade (Juniper Secure Connect).]

Tradução de endereços de rede (NAT)

  • Suporte para depuração de NAT (Firewalls da Série SRX e vSRX) Para depurar problemas relacionados ao NAT, use a opção nat com o comando de componentes de segurança da informação de suporte de solicitação.

    [Veja informações de suporte de solicitação.]

PKI

  • Opções chave de SSH para credenciais de conta de usuário. Você pode configurar a opção de opções-chave key-options no nível de hierarquia de login <user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key> do sistema definido.

    [Veja login.]

  • Logs do sistema de inscrição de certificados (Junos)— Adicionamos logs de sistema para notificar se há falha no certificado SCEP e CMPv2. Na falha na inscrição do certificado de SCEP, você pode ver a mensagem de PKID_SCEP_EE_CERT_ENROLL_FAIL. Na falha na inscrição do certificado CMPv2, você pode ver a mensagem de PKID_CMPV2_EE_CERT_ENROLL_FAIL.

    [Veja o System Log Explorer.]

Plataforma e infraestrutura

  • Alarme adicionado para indicar falha na escrita dos logs de segurança em logs de tráfego (SRX4700)— Introduzimos alarmes indicando uma falha na escrita dos logs de segurança nos logs de tráfego devido à corrupção do disco ou a um erro de leitura/gravação. Os alarmes são exibidos na saída do comando show system alarmsdo show.

Políticas de segurança

  • Proxy web seguro renomeado como Proxy web transparente (SRX380, SRX320, SRX340, SRX345, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 e vSRX3.0)— A partir do lançamento do Junos OS 25.2R1, renomeamos o proxy web seguro como proxy web transparente. Se você estiver planejando atualizar para o Junos OS Release 25.2R1 e versões posteriores, observe os seguintes pontos sobre o uso da funcionalidade proxy:

    Todas as declarações e comandos de CLI relacionados a proxy seguro existentes são preteridos. Ou seja, a partir do Junos OS Release, a funcionalidade de proxy seguro da Web 25.2R1 é preterida, em vez de removida imediatamente, para fornecer compatibilidade retrógrada e uma oportunidade de colocar sua configuração em conformidade com a nova configuração. Como parte dessa mudança, a [edit services web-proxy secure-proxy] hierarquia e todas as opções de configuração sob essa hierarquia são preteridas. Ou seja, a hierarquia para declarações de configuração de proxy transparentes mudou de set services web-proxy secure-proxy para set services web-proxy transparent-proxy.

    Para migrar, você precisará substituir as hierarquias de comando existentes pelas novas, conforme mostrado na tabela a seguir.

    Tabela 1: Substituições seguras da hierarquia de proxy da Web
    Hierarquia anterior (proxy da Web segura) nova hierarquia (Proxy web transparente)
    set services web-proxy secure-proxy set services web-proxy transparent-proxy
    set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name> set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>

    Esses ajustes garantem que suas configurações estejam atualizadas e prontas para aproveitar os novos recursos.

    [Veja Proxy web transparente (versão Junos OS 25.2R1 e versões posteriores) e Secure Web Proxy (versão Junos OS antes do Junos OS 25.2R1)].

Interface e configuração do usuário

  • Privilégios de acesso para o comando de informações de suporte de solicitação (Série ACX, Série EX, Série MX, Série QFX, firewalls da Série SRX e firewall virtual vSRX)— o request support information comando foi projetado para gerar informações do sistema para fins de solução de problemas e depuração. Usuários com privilégios de acesso específicos maintenance view e view-configuration podem executar o comando de informações de suporte.

  • Alterações na show system storage saída de comando (Série ACX, Série EX, Série MX, Série QFX e Série SRX) — atualizamos a saída de comando para incluir apenas armazenamento show system storage verdadeiro (físico) e excluir qualquer armazenamento de nível de host/hipervisor. Em versões anteriores, a saída também inclui um armazenamento de contêiner/prisão, que não tem um armazenamento separado de sua autoria.

    [Veja mostrar armazenamento do sistema.]

  • Opção de visualizar estatísticas combinadas de uso de espaço em disco para todos os bancos de dados de configuração (Série ACX, Série EX, Série MX, Série QFX, Série SRX e vSRX)— o show system configuration database usage comando oferece a opção merge . Quando você inclui a opção merge , a saída de comando exibe estatísticas combinadas de uso de espaço em disco para todos os bancos de dados de configuração, incluindo o banco de dados de configuração estática e todas as instâncias de banco de dados de configuração efêmeras.

    [Veja o uso do banco de dados de configuração do sistema.]

  • netconf ssh é removido da configuração padrão de fábrica de dispositivos (SRX300, SRX320, SRX340, SRX345 e SRX380) — Para aumentar a segurança, removemos a netconf ssh declaração no [edit system services] nível hierárquicos da configuração padrão de fábrica dos dispositivos. Para usar este serviço, você pode configurar explicitamente a declaração.

VPNs

  • Opção global para desabilitar o descarregamento de hardware IPsec em linha (SRX4700)— Você pode desativar o descarregamento de hardware do processamento de túneis IPsec no ASIC do mecanismo de encaminhamento de pacotes. Use o comman set security ipsec hw-offload-disable para desabilitar globalmente esse processamento de pacotes IPsec em linha. Quando você configura a declaração, o firewall processa túneis IPsec na CPU em vez do ASIC do mecanismo de encaminhamento de pacotes. Essa declaração substitui a opção no-hw-offload oculta anterior no nível de edit security ipsec hierarquia. Essa configuração global fornece uma abordagem simplificada para gerenciar as configurações de descarregamento de hardware IPsec no nível do firewall.

    [Veja ipsec (Segurança).]

  • Deprecação de algoritmos fracos em VPN IPsec (Série SRX e vSRX 3.0)— Nós depreciamos os algoritmos fracos em propostas de IKE e IPsec. Você não poderá mais usar os seguintes algoritmos:

    Tabela 2: Opções de Junos CLI preteridas
    Tipo Algoritmo Declaração do Junos CLI
    Algoritmo de criptografia em proposta de IKE des-cbc e 3des-cbc set security ike proposal name encryption-algorithm
    Algoritmo de autenticação em proposta de IKE md5 e sha1 set security ike proposal name authentication-algorithm
    Proposta do Grupo DH em IKE group1, group2e group5 set security ike proposal name dh-group
    Algoritmo de criptografia em proposta de IKE des-cbc e 3des-cbc set security ipsec proposal name encryption-algorithm
    Algoritmo de autenticação em proposta de IKE

    hmac-md5-96 e hmac-sha1-96

    		set security ipsec proposal name authentication-algorithm

    Você receberá uma mensagem de aviso se configurar esses algoritmos preteridos explicitamente. Como alternativa, recomendamos que você configure os algoritmos mais fortes para melhorar a segurança na VPN IPsec.

    [Veja proposta (Security IKE e proposta (Security IPsec).]

  • Instalação padrão do pacote Junos-ike em plataformas adicionais (SRX1500, SRX4100, SRX4200, SRX4600 e vSRX3.0)— o junos-ike pacote é instalado por padrão em firewalls SRX1500, SRX4100, SRX4200, SRX4600 e vSRX3.0, garantindo o suporte padrão para o processo de iked serviço VPN IPsec. Isso se alinha com a instalação padrão existente do pacote em SRX5000 linha com o Mecanismo de Roteamento 3 (SRX5K-SPC3 com RE3). Você pode excluir o junos-ike pacote usando o comando request system software delete junos-ike. Isso executa o kmd processo nesses firewalls, permitindo um gerenciamento flexível da sua infraestrutura de segurança.

    [Veja suporte a recursos de VPN IPsec com novo pacote.]

  • Suporte para iPadOS para verificações de conformidade pré-logon no Juniper Secure Connect (Série SRX e vSRX3.0)— você pode configurar verificações de conformidade de pré-lista em seu firewall para permitir ou rejeitar endpoints em execução do iPadOS. Use a opção ipados no nível de [edit security remote-access compliance pre-logon name term name match platform] hierarquia para aplicar essas verificações. Isso garante que apenas dispositivos iPadOS compatíveis tenham acesso permitido, aumentando a segurança de sua rede.

    [Veja conformidade (Juniper Secure Connect).]