Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

更改内容

了解此版本中针对 SRX 系列的更改。

网络管理和监控

  • 操作删除不存在的配置对象(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)时operation="delete"对 NETCONF 服务器元素<rpc-error>的更改 — 我们更改<rpc-error>了 NETCONF 服务器在操作用于operation="delete"删除目标配置中不存在的配置元素时返回<edit-config>的响应。错误严重性为错误而不是警告,元素<rpc-error>包括<error-tag>data-missing</error-tag><error-type>application</error-type>元素。

  • 对符合 RFC 的 NETCONF 会话(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)中操作的 <validate> RPC 响应的更改 — 在层次结构级别配置rfc-compliant[edit system services netconf]语句时,NETCONF 服务器仅发出 or <ok/> <rpc-error> 元素来响应<validate>操作。在早期版本中,RPC 回复还包括该<commit-results>元素。

路由策略和防火墙过滤器

  • 用于捕获与通过 VPN(SRX、vSRX、NFX 平台)的流量丢失防护相关的提交警告消息的系统日志 — 配置提交警告,例如 warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed 导致 MGD 通知 IKED 或 KMD 进程 DAX_ITEM_DELETE_ALL 导致 VPN 抖动和中断事件。这些警告消息由系统日志捕获,以防止通过 VPN 丢失流量。我们建议您解决这些系统日志警告消息,以防止重大中断。

Vpn

  • “显示安全性 pki 本地证书”命令输出中备用使用者名称的增强功能(SRX 系列,vSRX 3.0)— 具有多个 FQDN 的证书现在可在字段中显示所有相关域、IPv4 或 IPv6 地址和电子邮件地址 Alternate subject 。这些增强功能可在命令输出 show security pki local-certificate 中看到。早些时候,命令输出仅显示最后一个 FQDN 详细信息。

    [请参阅 显示安全 PKI 本地证书(查看)。]

  • 为 IPsec 安全关联引入了广泛的选项(MX 系列、SRX 系列和 vSRX 3.0)— 我们引入了 extensive 命令的选项 show security ipsec security-associations 。使用此选项可显示与所有隧道事件的 IPsec 安全关联。使用现有 detail 选项可按时间倒序显示最多十个事件。

    [请参阅 显示安全 IPsec 安全关联。]

  • 用于清除辅助节点上的 IKE 统计信息的 IKE 配置管理增强功能(SRX 系列)— 在早期 Junos OS 版本中,在机箱群集模式下,IKE-config-Management (IKEMD) 进程不响应辅助节点上的管理请求。命令 clear security ike stats失败,并在辅助节点上显示错误消息 error: IKE-Config-Management not responding to management requests 。从 Junos OS 22.4R3 版开始,命令可成功运行,辅助节点上不会出错。

  • 通过 SSL 代理(SRX 系列和 vSRX 3.0)提供有限 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理:

    • 任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站,因为安全设备仅限于支持 P-256 组。

    • 配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后,由于 SSL 终结器是与 RSA 协商的,因此无法访问所有 ECDSA 网站,这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书,请配置 256 位 ECDSA 根证书。

    • 在某些情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器不支持 P-256 组,也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

    • 在其他情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器支持 P-256 以外的 sigalg,则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载,因此如果使用 22.1R1 之前发布的 Junos OS,则不会出现此问题。此外,如果在软件中处理 ECDSA 证书的 SSL 代理,则看不到此问题。