Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

更改内容

了解此版本中针对 SRX 系列防火墙的更改。

内容安全

  • SRX1600设备 (SRX1600) 支持 Avira 防病毒扫描模式 — SRX1600设备仅支持轻型模式下的 Avira 防病毒扫描,不支持重型模式。因此,我们在SRX1600设备的层次结构级别删除onbox-av-load-flavoredit chassis了该语句。

    请参阅 示例:配置 Avira 防病毒软件。

  • URL 检查操作命令更新(SRX 系列)— 从 Junos OS 版本 23.4R1 开始,您可以使用测试命令检查 test security utm web-filtering url-check URL 的类别和信誉。在此版本的早期版本中, test security utm enhanced-web-filtering url-check test 命令用于检查 URL 的类别和信誉。

    请参阅 测试安全性 utm 增强型 Web 过滤 URL 检查。

J-Web

  • 更新的安全包 URL(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们在 “设备管理 ”> “安全包管理 ”>“URL 类别设置”中更新了安全包 URL。您可以使用此 URL 下载瞻博网络下一代或瞻博网络增强型 Web 过滤软件包。

    [请参阅 URL 类别设置

  • 内部 SA 现在称为内部 SA 加密(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800 和 vSRX3.0)— 从 Junos OS 版本 23.4R1 开始,在 J-Web 中,我们将内部 SA 重命名为内部 SA 加密,并将内部 SA 密钥重命名为在全局设置>输入网络> VPN > IPsec VPN

    [请参阅 IPsec VPN 全局设置。]

  • 名称现在称为标识符(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800 和 vSRX3.0)— 从 Junos OS 版本 23.4R1 开始,在 J-Web 中,我们在安全服务>防火墙身份验证>地址中将名称重命名为标识符,将网络地址重命名为子网

    [请参阅 关于地址池页面

  • 地址范围现在称为命名地址范围(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们已在安全服务>防火墙身份验证>地址池中将地址范围重命名为命名地址范围

    [请参阅 关于地址池页面

  • 路由实例现在称为源虚拟路由器(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们已将路由实例重命名为源虚拟路由器,并将安全服务中的源地址重命名为源虚拟路由器源地址源接口 >防火墙身份验证>访问配置文件>创建访问配置文件>创建 RADIUS 服务器和安全服务> 防火墙身份验证>访问配置文件>创建访问配置文件>创建 LDAP 服务器

    [请参阅 添加访问配置文件。]

Junos XML API 和脚本

  • 和(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)的 request-commit-server-pause request-commit-server-start XML 输出标记已更改 — 我们更改了命令 (request-commit-server-pauseRPC) 和request system commit server start命令 (request-commit-server-startRPC) 的 request system commit server pause XML 输出。根元素代替 <commit-server-operation> <commit-server-information><output>并且标记重命名为 <message>

网络管理和监控

  • NETCONF <copy-config> 操作支持 file:// 用于复制到文件操作的 URI(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)— NETCONF <copy-config> 操作支持在 file:// URI 是目标时使用 <url> URI,并指定本地文件的绝对路径。

    [请参阅 <copy-config>.]

用户界面和配置

  • 使用 file compare files 命令查看文件需要用户具有 maintenance 权限 file compare files Junos OS 和 Junos OS 演化版中的命令要求用户具有具有权限的 maintenance 登录类。

    [请参阅 登录类概述。]

VPN

  • 为 IPsec VPN(SRX 系列)启用 iked 时,kmd 实例选项无效 — 当您使用 junos-iked 软件包启用 iked 进程以在 Junos OS 版本 23.4R1 中运行 IPsec VPN 功能时,我们删除了该选项 kmd-instance 。当您具有 IPsec VPN 功能的 kmd 进程时,此选项适用。

    [请参阅 显示安全 IPsec 安全关联。]

  • 与 FPC、PIC 和 KMD 实例相关的选项在“显示安全 ike sa 命令(带有 IKED 进程)”(SRX 系列)中无效 — 安装 junos-ike 软件包以使用进程运行 IKED IPsec VPN,选项 fpc、 将在 pic kmd-instance 层次结构中看到 show security ike security-associations 。这些选项无效,已从 Junos OS 23.4R1 版的 CLI 中移除。这意味着,不能将命令与在 SRX 系列防火墙上运行 IKED 进程的 IPsec VPN 配合使用 show security ike sa fpc 0 pic 0

    [请参阅 显示安全 IKE 安全关联。]

  • 用于清除辅助节点上的 IKE 统计信息的 IKE 配置管理增强功能(SRX 系列)— 在早期 Junos OS 版本中,在机箱群集模式下,IKE-config-Management (IKEMD) 进程不响应辅助节点上的管理请求。命令 clear security ike stats失败,并在辅助节点上显示错误消息 error: IKE-Config-Management not responding to management requests 。从 Junos OS 22.4R3 版开始,命令可成功运行,辅助节点上不会出错。

  • IPsec 安全关联引入了广泛的选项(MX 系列、SRX 系列和 vSRX 3.0)— 我们引入了extensive命令的选项show security ipsec security-associations。使用此选项可显示与所有隧道事件的 IPsec 安全关联。使用现有detail选项可按时间倒序显示最多十个事件。

    [请参阅 显示安全 IPsec 安全关联。]

  • 解决 CA 证书验证失败的增强功能(SRX 系列和 vSRX 3.0)– 对于 CA 证书,当 set security pki ca-profile ISRG revocation-check crl url PKI 在 HTTP 1.0 requestorName上发送带有 .我们对行为进行了修改,以便使用 HTTP 1.1 发送 OCSP 请求,而无需默认发送 requestorName

    • 若要在使用 HTTP 1.1 时发送,requestorName请在层次结构级别使用edit security pki ca-profile ca-profile-name revocation-check ocsp隐藏选项add-requestor-name-payload

    • 要使用 HTTP 1.0 发送 OCSP 请求,请在层次结构级别使用edit security pki ca-profile ca-profile-name revocation-check ocsp隐藏选项use-http-1.0以确保向后兼容性。

      [请参阅 吊销检查(安全 PKI)。]

  • 机箱群集中 IKE 配置管理命令的增强功能(SRX 系列)– 在早期 Junos OS 版本中,在机箱群集模式下,以下命令失败,辅助节点上显示错误消息 error: IKE-Config-Management not responding to management requests

    • 显示安全 IKE 统计信息

    • 显示安全 IKE SA HA-LINK-ENCRYPTION

    • 显示安全 IPsec SA HA-链路加密

    • 显示安全 IPsec 非活动隧道 HA-链路加密

    • 清除安全性 IKE SA HA-LINK-ENCRYPTION

    • 清除安全性 IPsec SA HA-链路加密

    您应该只在主节点上运行这些命令,而不是在辅助节点上运行。从 Junos OS 版本 23.4R1 开始,您将不会看到错误消息,因为辅助节点没有要显示的输出。

  • 对显示安全性 ipsec 安全关联详细信息命令(SRX 系列和 vSRX 3.0)输出的增强 – 我们增强了在层次结构级别启用vpn-monitoredit security ipsec vpn vpn-name防火墙使用新的 iked 进程运行 IPsec VPN 服务时的输出show security ipsec security-associations detail。输出在命令输出中显示thresholdinterval值。从 Junos OS 23.4R1 版开始,您会注意到这些变化。

    [请参阅 显示安全 IPsec 安全关联。]

  • 修改命令的 show security ipsec XML 标记(SRX 系列和 vSRX 3.0)– 我们已在 更改 show security ipsec了以下命令的 XML 标记。

    命令

    新的 XML 标记

    旧 XML 标记

    show security ipsec tunnel-events-statistics |display xml validate

    ipsec-tunnel-event-statistics

    usp-ipsec-tunnel-event-statistics-information

    show security ipsec inactive-tunnels detail | display xml validate

    ipsec-unestablished-tunnel-information

    ipsec-security-association-information

    从 Junos OS 23.4R1 版开始,使用新的 XML 标记时,您会注意到会 show security ipsec commands 发出有效的 XML。