Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

更改内容

了解此版本中针对 vSRX 虚拟防火墙所做的更改。

J-Web

  • 更新的安全包 URL(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们在 “设备管理 ”> “安全包管理 ”>“URL 类别设置”中更新了安全包 URL。您可以使用此 URL 下载瞻博网络下一代或瞻博网络增强型 Web 过滤软件包。

    [请参阅 URL 类别设置

  • 内部 SA 现在称为内部 SA 加密(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800 和 vSRX3.0)— 从 Junos OS 版本 23.4R1 开始,在 J-Web 中,我们将内部 SA 重命名为内部 SA 加密,并将内部 SA 密钥重命名为在全局设置>输入网络> VPN > IPsec VPN

    [请参阅 IPsec VPN 全局设置。]

  • 名称现在称为标识符(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800 和 vSRX3.0)— 从 Junos OS 版本 23.4R1 开始,在 J-Web 中,我们在安全服务>防火墙身份验证>地址中将名称重命名为标识符,将网络地址重命名为子网

    [请参阅 关于地址池页面

  • 地址范围现在称为命名地址范围(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们已在安全服务>防火墙身份验证>地址池中将地址范围重命名为命名地址范围

    [请参阅 关于地址池页面

  • 路由实例现在称为源虚拟路由器(SRX 系列防火墙和 vSRX3.0)— 从 Junos OS 版本 23.4R1 的 J-Web 开始,我们已将路由实例重命名为源虚拟路由器,并将安全服务中的源地址重命名为源虚拟路由器源地址源接口 >防火墙身份验证>访问配置文件>创建访问配置文件>创建 RADIUS 服务器和安全服务> 防火墙身份验证>访问配置文件>创建访问配置文件>创建 LDAP 服务器

    [请参阅 添加访问配置文件。]

Junos XML API 和脚本

  • 和(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)的 request-commit-server-pause request-commit-server-start XML 输出标记已更改 — 我们更改了命令 (request-commit-server-pauseRPC) 和request system commit server start命令 (request-commit-server-startRPC) 的 request system commit server pause XML 输出。根元素代替 <commit-server-operation> <commit-server-information><output>并且标记重命名为 <message>

网络管理和监控

  • NETCONF <copy-config> 操作支持 file:// 用于复制到文件操作的 URI(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)— NETCONF <copy-config> 操作支持在 file:// URI 是目标时使用 <url> URI,并指定本地文件的绝对路径。

    [请参阅 <copy-config>.]

Vpn

  • IPsec 安全关联引入了广泛的选项(MX 系列、SRX 系列和 vSRX 3.0)— 我们引入了extensive命令的选项show security ipsec security-associations。使用此选项可显示与所有隧道事件的 IPsec 安全关联。使用现有detail选项可按时间倒序显示最多十个事件。

    请参见 显示安全 IPsec 安全关联

  • 在具有云托管硬件安全模块 (HSM) 的 GCP 部署中的 vSRX 实例上,如果您丢失了 GCP HSM 连接,则显示安全 hsm 状态命令最多可能需要 2 分钟才能正常工作。

  • 清除和重新生成密钥对命令 (vSRX 3.0) 输出的增强 - 当您清除并重新生成同一密钥对以使用硬件安全模块 (HSM) 管理安全数据时,我们修改了以下命令的输出。

    从 Junos OS 23.4R1 版本开始,命令:

    • clear security pki key-pair certificate-id certificate-id-name 显示消息 Key pair deleted successfully from the device. Key pair will be purged from the keyvault based on it's own preferences,而不是在先前版本中显示的消息 Key pair deleted successfully
    • request security pki generate-key-pair certificate-id certificate-id-name 显示消息 error: Failed to generate key pair. If the keypair was created and deleted before, please ensure that the keypair has been purged from the keyvault ,而不是先前版本中显示的消息 error: Failed to generate key pair

    我们进行了这些更改,以符合云提供商对密钥对删除的限制(如果有)。

  • 解决 CA 证书验证失败的增强功能(SRX 系列和 vSRX 3.0)– 对于 CA 证书,当 set security pki ca-profile ISRG revocation-check crl url PKI 在 HTTP 1.0 requestorName上发送带有 .我们对行为进行了修改,以便使用 HTTP 1.1 发送 OCSP 请求,而无需默认发送 requestorName

    • 若要在使用 HTTP 1.1 时发送,requestorName请在层次结构级别使用edit security pki ca-profile ca-profile-name revocation-check ocsp隐藏选项add-requestor-name-payload

    • 要使用 HTTP 1.0 发送 OCSP 请求,请在层次结构级别使用edit security pki ca-profile ca-profile-name revocation-check ocsp隐藏选项use-http-1.0以确保向后兼容性。

      [请参阅 吊销检查(安全 PKI)。]

  • 对显示安全性 ipsec 安全关联详细信息命令(SRX 系列和 vSRX 3.0)输出的增强 – 我们增强了在层次结构级别启用vpn-monitoredit security ipsec vpn vpn-name防火墙使用新的 iked 进程运行 IPsec VPN 服务时的输出show security ipsec security-associations detail。输出在命令输出中显示thresholdinterval值。从 Junos OS 23.4R1 版开始,您会注意到这些变化。

    [请参阅 显示安全 IPsec 安全关联。]

  • 修改命令的 show security ipsec XML 标记(SRX 系列和 vSRX 3.0)– 我们已在 更改 show security ipsec了以下命令的 XML 标记。

    命令

    新的 XML 标记

    旧 XML 标记

    show security ipsec tunnel-events-statistics |display xml validate

    ipsec-tunnel-event-statistics

    usp-ipsec-tunnel-event-statistics-information

    show security ipsec inactive-tunnels detail | display xml validate

    ipsec-unestablished-tunnel-information

    ipsec-security-association-information

    从 Junos OS 23.4R1 版开始,使用新的 XML 标记时,您会注意到会 show security ipsec commands 发出有效的 XML。