Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

更改内容

了解此版本中针对 SRX 系列的更改。

网络管理和监控

  • 操作员登录类被限制查看全局不可读的 NETCONF 跟踪文件(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 在层次结构级别配置 [edit system services netconf traceoptions] NETCONF 跟踪选项并通过设置或省略no-world-readable语句(默认值)来限制对文件所有者的文件访问时,分配给operator登录类的用户无权查看跟踪文件。

软件安装和升级

  • 命令的新 request system snapshot 选项(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列和 SRX 系列)— 命令 request system snapshot 包括非恢复快照的新选项。您可以包括 name 为快照指定用户定义名称的选项,也可以包括 configuration 用于在快照中包含或排除配置文件的或 no-configuration 选项。默认情况下,快照会保存配置文件,其中包括 /config/var 目录以及某些 SSH 文件的内容。

    [请参阅 请求系统快照 (Junos OS with UpgradeFreeBSD)。]

Vpn

  • 通过 SSL 代理(SRX 系列和 vSRX 3.0)提供有限 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理:

    • 任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站,因为安全设备仅限于支持 P-256 组。

    • 配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后,由于 SSL 终结器是与 RSA 协商的,因此无法访问所有 ECDSA 网站,这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书,请配置 256 位 ECDSA 根证书。

    • 在某些情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器不支持 P-256 组,也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

    • 在其他情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器支持 P-256 以外的 sigalg,则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载,因此如果使用 22.1R1 之前发布的 Junos OS,则不会出现此问题。此外,如果在软件中处理 ECDSA 证书的 SSL 代理,则看不到此问题。