版本 21.4R3 中的变化

无法与 OCSP 服务器连接以进行撤销检查（SRX 系列设备和 vSRX）— 使用 OCSP 执行撤销检查时，当 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名时，SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下，当 SRX 设备无法与 OCSP 服务器建立连接并且设置了以下配置选项之一时，OCSP 撤销检查将允许或回退使用 CRL：u

• 设置安全 pki ca-profile OCSP-ROOT 撤销-检查 ocsp 连接故障禁用

• 设置安全 pki ca-profile OCSP-ROOT 撤销-检查 ocsp 连接故障回退-crl

当 SRX 设备无法建立与 OCSP 服务器的连接时，如果未配置这些选项，则证书验证将失败。

[请参阅 ocsp（安全 PKI）。]

GRE 的 TCP-MSS 覆盖优先级（SRX 系列和 vSRX 3.0）—

在 SRX 系列防火墙和 vSRX 虚拟防火墙上，传输控制协议最大分段大小 （TCP-MSS） 可能不会在 GRE over IPsec 方案 （GREoIPsec） 中覆盖。这可能会导致网络分片更多，因为 GREoIPsec 流量不会为 TCP-MSS 修改。为了确保 TCP-MSS 与 GREoIPsec 配合使用，请确保按以下顺序（最高到最低）设置应用于 TCP 流量的 MSS 的优先级：

• gre-in 并 gre-out 基于 GREOIPSec TCP 流量的方向

• ipsec-vpn 用于 GREoIPsec 和 IPsec 流量。

• all-tcp 所有 tcp 流量的流量。

NETCONF <edit-config> 的变更RPC 响应（ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— 当操作返回错误时 <edit-config> ，NETCONF 服务器不会在 RPC 响应中发出 <load-error-count> 元素。在早期版本中，当操作失败时， <edit-config> RPC 响应会包含 <load-error-count> 元素。

设备不会丢弃服务器证书链超过 6 的会话。PR1663062

内容过滤 CLI 更新（SRX 系列和 vSRX）— 我们对内容过滤 CLI 进行了以下更新：

• 削减了内容过滤规则匹配标准支持的文件类型列表。现在，只有一个字符串表示所有变体，而不是以唯一 file-type 方式表示文件类型的不同变体。因此， show security utm content-filtering statistics 输出也会更新，使其与规则匹配标准中提供的新文件类型保持一致。
• 已将内容过滤安全日志记录选项 seclog 重命名为 log 与 Junos OS 配置标准匹配。
• 改述了 reason 与内容过滤安全日志消息关联的字符串。

[请参阅 内容过滤（安全 UTM 策略）、 内容过滤（安全功能配置文件）和 显示安全 utm 内容过滤统计信息。]