Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

O que mudou

Saiba mais sobre o que mudou nesta versão para a Série SRX.

Segurança de aplicativos

  • Descontinuação da versão ssl em assinaturas personalizadas (Série SRX) — A versão ssl em assinaturas personalizadas baseadas em contexto SSL está obsoleta no pacote de assinatura do aplicativo versão 3796 e posterior. Em vez disso, você pode usar a opção ssl-protocol-version. A opção ssl-version está obsoleta, em vez de ser removida imediatamente, para fornecer compatibilidade com versões anteriores e uma oportunidade de colocar sua configuração em conformidade com a nova configuração.

    [Consulte [Assinaturas de aplicativos personalizadas para identificação e contexto do aplicativo.]

  • Limites de configuração para perfis de proxy SSL — A partir desta versão, atualizamos os limites para certificados de CA confiável, certificados de servidor e categorias de URL nas configurações de proxy de encaminhamento SSL e proxy reverso SSL. Essas alterações garantem a conformidade com o limite máximo de tamanho do blob de configuração de 56.986 bytes.

    Alterações no tamanho limite:

    • Certificado de CA confiável/certificados de servidor: limite máximo — 400 (alterado de 1024)
    • Categorias de URL: limite máximo — 800 (inalterado)

    Declarações de configuração:

    Observação: Na configuração de proxy reverso, verifique se o tamanho combinado dos certificados do servidor e das categorias de URL não excede 56.986 bytes. Se o tamanho combinado exceder o limite, a seguinte mensagem de erro será exibida durante a confirmação: Esse erro fornece um detalhamento do uso de memória, ajudando você a ajustar a configuração de acordo.

    [Veja [Configurando o proxy SSL].]

Segurança de conteúdo

  • Configuração do antivírus Sophos para ISSU (Série SRX)—Para usar o antivírus Sophos durante a execução de uma atualização de software em serviço (ISSU), remova as seguintes opções de configuração.

    • edit security utm default-configuration anti-virus forwarding-mode holdset

    • edit security utm default-configuration anti-virus forwarding-mode inline-tap

    Esse cuidado se aplica somente a atualizações de ISSU e não a atualizações autônomas. Depois de concluir o ISSU, você pode reativar as configurações acima. O recurso antivírus Sophos funciona normalmente quando ambos os dispositivos são ativados.

    [Veja a visão geral da configuração do Sophos Antivirus.]

Chassis Clustering

  • Defina um modo de redundância.

    • active-active: primary and secondary nodes in active mode.

    • active-backup: primary in active, secondary in backup mode.

JIMS

Juniper Secure Connect

  • Suporte para iPadOS para verificações de conformidade pré-login no Juniper Secure Connect (Série SRX e vSRX3.0) — Você pode configurar verificações de conformidade pré-login em seu firewall para permitir ou rejeitar endpoints que executam o iPadOS. Use a ipados opção no nível de [edit security remote-access compliance pre-logon name term name match platform] hierarquia para impor essas verificações. Isso garante que apenas dispositivos iPadOS compatíveis tenham permissão de acesso, aumentando a segurança da rede.

    [Consulte conformidade (Juniper Secure Connect).]

Network Address Translation (NAT)

  • Suporte para depuração de NAT (firewalls da série SRX e vSRX) — Para depurar problemas relacionados ao NAT, use a opção nat com o request support information security-components comando.

    [Veja informações sobre solicitação de suporte.]

Gerenciamento e monitoramento de rede

  • Substituição da opção shell — A shell opção não requer mais uma configuração separada e agora é o comportamento padrão. A substituição da opção de shell aumenta a eficiência e simplifica as tarefas de gerenciamento.

PKI

  • Opções de chave SSH para credenciais de conta de usuário. Você pode configurar a opção key-options key-options no nível de hierarquia de usuário <user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key> de login do sistema definido.

    [Veja o login.]

  • Logs do sistema de registro de certificado (Junos) — Adicionamos logs do sistema para notificar se há uma falha de certificado SCEP e CMPv2. Em caso de falha no registro do certificado SCEP, você pode ver a mensagem PKID_SCEP_EE_CERT_ENROLL_FAIL. Em caso de falha no registro do certificado CMPv2, você pode ver a mensagem PKID_CMPV2_EE_CERT_ENROLL_FAIL.

    [Consulte o Explorador de Logs do Sistema.]

Plataforma e infraestrutura

  • Alarme adicionado para indicar falha na gravação dos logs de segurança nos logs de tráfego (SRX4700) — introduzimos alarmes indicando uma falha na gravação dos logs de segurança nos logs de tráfego devido à corrupção do disco ou a um erro de leitura/gravação. Os alarmes são exibidos na saída do comando show system alarmsshow .

Políticas de Segurança

  • Proxy da Web seguro renomeado como Transparent Web Proxy (SRX380, SRX320, SRX340, SRX345, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300 e vSRX3.0) — A partir do Junos OS versão 25.2R1, renomeamos o proxy da Web seguro como proxy da Web transparente. Se você planeja atualizar para o Junos OS Release 25.2R1 e versões posteriores, observe os seguintes pontos sobre o uso da funcionalidade de proxy:

    Todas as instruções e comandos da CLI relacionados ao proxy da Web seguro existentes foram descontinuados. Ou seja, a partir do Junos OS Release 25.2R1, a funcionalidade de proxy web seguro é descontinuada, em vez de removida imediatamente, para oferecer compatibilidade com versões anteriores e uma oportunidade de colocar sua configuração em conformidade com a nova configuração. Como parte dessa alteração, a [edit services web-proxy secure-proxy] hierarquia e todas as opções de configuração nessa hierarquia foram preteridas. Ou seja, a hierarquia das instruções de configuração de proxy transparentes foi alterada de set services web-proxy secure-proxy para set services web-proxy transparent-proxy.

    Para migrar, você precisará substituir as hierarquias de comando existentes pelas novas, conforme mostrado na tabela a seguir.

    Tabela 1: Substituições seguras da hierarquia de proxy da Web
    Hierarquia anterior (proxy da Web seguro) Nova hierarquia (proxy da Web transparente)
    set services web-proxy secure-proxy set services web-proxy transparent-proxy
    set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name> set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>

    Esses ajustes garantem que suas configurações estejam atualizadas e prontas para aproveitar os novos recursos.

    [Veja Transparent Web Proxy (Junos OS versão 25.2R1 e versões posteriores) e Secure Web Proxy (versão do Junos OS anterior ao Junos OS 25.2R1)].

Interface de usuário e configuração

  • Privilégios de acesso para solicitar o comando de informações de suporte (Série ACX, Série EX, Série MX, Série QFX, Firewalls da Série SRX e Firewall virtual vSRX) — O request support information comando foi projetado para gerar informações do sistema para fins de solução de problemas e depuração. Usuários com privilégios de maintenance acesso específicos , view , e view-configuration podem executar o comando request support information.

  • Alterações na saída do show system storage comando (Série ACX, Série EX, Série MX, Série QFX e Série SRX) — Atualizamos a saída do comando para incluir apenas o armazenamento verdadeiro (físico) e excluir qualquer armazenamento no nível do show system storage host/hypervisor. Em versões anteriores, a saída também inclui um armazenamento de contêiner/jail, que não tem um armazenamento separado próprio.

    [Veja mostrar armazenamento do sistema.]

  • Opção para visualizar estatísticas combinadas de uso de espaço em disco para todos os bancos de dados de configuração (Série ACX, Série EX, Série MX, Série QFX, Série SRX e vSRX) — O show system configuration database usage comando fornece a merge opção. Quando você inclui a merge opção, a saída do comando exibe estatísticas combinadas de uso de espaço em disco para todos os bancos de dados de configuração, incluindo o banco de dados de configuração estática e todas as instâncias de banco de dados de configuração efêmeras.

    [Veja mostrar uso do banco de dados de configuração do sistema.]

  • netconf ssh é removido da configuração do dispositivo padrão de fábrica (SRX300, SRX320, SRX340, SRX345 e SRX380) — Para aumentar a [edit system services] segurança, removemos a netconf ssh declaração no nível da hierarquia da configuração do dispositivo padrão de fábrica. Para usar esse serviço, você pode configurar explicitamente a declaração.

VPNs

  • Opção global para desabilitar o descarregamento de hardware IPsec (SRX4700) em linha — você pode desabilitar o descarregamento de hardware do processamento de túnel IPsec no ASIC Mecanismo de Encaminhamento de Pacotes. Use o comando set security ipsec hw-offload-disable para desabilitar globalmente esse processamento IPsec embutido de pacotes. Quando você configura a declaração, o firewall processa túneis IPsec na CPU em vez do ASIC do Mecanismo de Encaminhamento de Pacotes. Essa instrução substitui a opção no-hw-offload oculta anterior no nível da edit security ipsec hierarquia. Essa configuração global fornece uma abordagem simplificada para gerenciar as configurações de descarregamento de hardware IPsec no nível do firewall.

    [Veja ipsec (Segurança).]

  • Descontinuação de algoritmos fracos na VPN IPsec (Série SRX e vSRX 3.0) — Substituímos os algoritmos fracos nas propostas de IKE e IPsec. Você não poderá mais usar os seguintes algoritmos:

    Tabela 2: Opções de CLI do Junos obsoletas
    Digite Algoritmo Declaração Junos CLI
    Algoritmo de criptografia na proposta de IKE des-cbc e 3des-cbc set security ike proposal name encryption-algorithm
    Algoritmo de autenticação na proposta de IKE md5 e sha1 set security ike proposal name authentication-algorithm
    Grupo DH na proposta do IKE group1, group2e group5 set security ike proposal name dh-group
    Algoritmo de criptografia na proposta de IKE des-cbc e 3des-cbc set security ipsec proposal name encryption-algorithm
    Algoritmo de autenticação na proposta de IKE

    hmac-md5-96 e hmac-sha1-96

    		set security ipsec proposal name authentication-algorithm

    Você receberá uma mensagem de aviso se configurar esses algoritmos obsoletos explicitamente. Como alternativa, recomendamos que você configure os algoritmos mais fortes para aumentar a segurança na VPN IPsec.

    [Consulte a proposta (IKE de Segurança e a proposta (IPsec de Segurança).]

  • Instalação padrão do pacote junos-ike em plataformas adicionais (SRX1500, SRX4100, SRX4200, SRX4600 e vSRX3.0) — O junos-ike pacote é instalado por padrão nos firewalls SRX1500, SRX4100, SRX4200, SRX4600 e vSRX3.0, garantindo o suporte padrão para iked o processo do serviço VPN IPsec. Isso se alinha com a instalação padrão existente do pacote na Linha SRX5000 com Mecanismo de Roteamento 3 (SRX5K-SPC3 com RE3). Você pode excluir o junos-ike pacote usando o comando request system software delete junos-ike. Isso executa o processo nesses firewalls, permitindo o kmd gerenciamento flexível de sua infraestrutura de segurança.

    [Veja Suporte ao recurso VPN IPsec com o novo pacote.]

  • Suporte para iPadOS para verificações de conformidade pré-login no Juniper Secure Connect (Série SRX e vSRX3.0) — Você pode configurar verificações de conformidade pré-login em seu firewall para permitir ou rejeitar endpoints que executam o iPadOS. Use a ipados opção no nível de [edit security remote-access compliance pre-logon name term name match platform] hierarquia para impor essas verificações. Isso garante que apenas dispositivos iPadOS compatíveis tenham permissão de acesso, aumentando a segurança da rede.

    [Consulte conformidade (Juniper Secure Connect).]