更改内容
了解此版本中针对 SRX 系列的更改。
网络管理和监控
-
操作员登录类被限制查看全局不可读的 NETCONF 跟踪文件(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 在层次结构级别配置
[edit system services netconf traceoptions]
NETCONF 跟踪选项并通过设置或省略no-world-readable
语句(默认值)来限制对文件所有者的文件访问时,分配给operator
登录类的用户无权查看跟踪文件。
软件安装和升级
-
命令的新
request system snapshot
选项(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列和 SRX 系列)— 命令request system snapshot
包括非恢复快照的新选项。您可以包括name
为快照指定用户定义名称的选项,也可以包括configuration
用于在快照中包含或排除配置文件的或no-configuration
选项。默认情况下,快照会保存配置文件,其中包括 /config 和 /var 目录以及某些 SSH 文件的内容。
Vpn
-
通过 SSL 代理(SRX 系列和 vSRX 3.0)提供有限 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理:
-
任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站,因为安全设备仅限于支持 P-256 组。
-
配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后,由于 SSL 终结器是与 RSA 协商的,因此无法访问所有 ECDSA 网站,这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书,请配置 256 位 ECDSA 根证书。
-
在某些情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器不支持 P-256 组,也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。
-
在其他情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器支持 P-256 以外的 sigalg,则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载,因此如果使用 22.1R1 之前发布的 Junos OS,则不会出现此问题。此外,如果在软件中处理 ECDSA 证书的 SSL 代理,则看不到此问题。
-