硬件
-
新的SRX4300防火墙 — 从 Junos OS 24.2R1 版开始,我们引入了中端SRX4300防火墙。SRX4300防火墙提供新一代防火墙功能以及高级威胁检测和缓解措施。此防火墙非常适合中小型企业边缘、园区边缘、数据中心边缘防火墙以及分布式企业用例的安全 VPN 路由器部署。
表 1:SRX4300防火墙支持的功能 特征
描述
底盘
机箱群集
-
支持不中断服务的软件升级 (ISSU) 和具有媒体访问控制安全性 (MACsec) 的双控制链路
[请参阅使用机箱群集上的不 中断服务软件升级 和 媒体访问控制安全 (MACsec) 升级机箱群集。]
服务等级 (CoS)
-
支持 CoS
[请参阅 了解服务等级。
硬件
-
SRX4300是带有以下端口的 1-U 机箱:
-
8 个 10 个多速率千兆以太网接口 (mge) BASE-T 端口
-
8 个 10 千兆以太网 (GbE) SFP+ 端口
-
4 个 25GbE SFP28 端口
-
6 个 100GbE QSFP28 端口
-
两个 1GbE SFP HA 端口
所有端口均支持 MACsec,并支持交流和直流变体。
要安装 SRX4300 硬件并执行初始软件配置、例行维护和故障排除,请参阅 SRX4300防火墙硬件指南。
[有关适用于任何平台的功能的完整列表,请参阅 功能资源管理器 。
-
高可用性 (HA) 和复原能力
-
支持 BFD
-
支持长达 3 x 300 毫秒 (msec) 的故障检测时间
-
支持多达 100 个 BFD 会话
[请参阅 了解静态路由的 BFD 以更快地检测网络故障 和 了解 BFD 如何检测网络故障。]
-
-
多节点高可用性支持节点本地隧道部署中的自动发现 VPN (ADVPN)。
节点-本地隧道通过提供从 VPN 对等设备到设置中两个节点的单独隧道来增强多节点高可用性。借助 ADVPN,可以在分支之间动态建立 VPN 隧道。在节点-本地隧道部署中将 ADVPN 与多节点高可用性相结合,可确保可靠的网络连接、高效的资源利用率和无缝的故障转移功能。
[请参阅 多节点高可用性中的 IPsec VPN 支持。]
-
支持路由、混合和默认网关模式下的多节点高可用性
[请参阅 多节点高可用性。]
-
为以下硬件组件提供平台软件弹性支持:
-
中央处理器
-
外设组件互连 (PCI)
-
记忆
-
固态设备 (SSD)
-
内部集成电路 (I2C)
-
温度传感器
-
电压传感器
-
扇
-
1+1 冗余模式下的电源单元 (PSU)
当硬件组件发生故障时,Junos OS 软件:
-
记录包含失败详细信息的消息,包括时间戳、模块名称和组件名称。
-
引发或清除警报(如果适用)。
-
使 LED 亮起以指示 FRU 故障。
-
执行本地操作,例如自我修复和使组件停止服务。
[请参阅 机箱级用户指南。]
-
接口
-
接口支持包括四个具有以下默认速度的 PIC:
-
PIC 0 与 10 Gbps(铜缆)
-
具有 10 Gbps 的 PIC 1 (SFP+)
-
具有 25 Gbps 的 PIC 2 (SFP28)
-
具有 100 Gbps 的 PIC 3 (QSFP28)
默认情况下,Junos OS 会创建 PIC 0。您可以分别插入 SFP+、SFP28 和 QSFP28 收发器来创建 PIC 1、PIC 2 和 PIC 3 接口。
[请参阅 SRX 系列防火墙上的端口速度。]
-
-
SFP28 端口支持混合速度。
您可以在 PIC 模式下配置两个选项;1GbE/10GbE 组合和 25GbE。
[请参阅 SRX 系列防火墙上的端口速度。]
Junos 遥测接口 (JTI)
-
使用基本 JTI 传感器和新的流量监控传感器将数据从设备流式传输到收集器。Junos OS 支持以量传感器:
-
PIC CPU 利用率 /junos/security/spu/cpu
-
流会话和流数据包 /junos/security/spu/flow
-
逻辑系统的流会话和流数据包 /junos/security/spu/flow/lsys
[有关状态传感器,请参阅 Junos YANG 数据模型资源管理器。
-
第 7 层安全功能
MACsec
-
在具有以下加密的物理接口上支持静态 CAK 模式下的 MACsec:
-
GCM-AES-128
-
GCM-AES-256
-
GCM-AES-XPN-128
-
GCM-AES-XPN-256
通道化端口和交换机间连接支持此功能。
[请参阅 配置 MACsec。
-
网络管理和监控
-
支持对通过网络传输的实时数据包进行基于过滤器的数据包捕获。尚不支持数据路径调试。
[请参阅 示例:为数据包捕获配置防火墙过滤器。
远程访问
-
支持使用瞻博网络安全连接的远程访问 VPN
[请参阅《瞻博网络安全连接管理员指南》]
服务应用
-
支持应用层网关 (ALG)
[见 ALG概述。
-
支持在运行 IPsec VPN 服务的 iked 进程的防火墙上使用 IPv6 地址进行 ADVPN 配置
[请参阅 自动发现 VPN。
-
支持 IPsec VPN 服务的 ChaCha20-Poly1305 身份验证加密算法
[请参阅 提案(安全 IKE) 和建议 (安全 IPsec)。]
-
在运行 IPsec VPN 服务的 iked 进程的防火墙上使用 PIM 稀疏模式,通过 st0 P2MP 接口,支持 AutoVPN 和 ADVPN 中的组播流量。支持 PIM 稀疏模式下的 IPv4 多播。
-
支持 DNS
-
支持用户身份验证
[请参阅 用户身份验证概述。]
-
支持安全策略
[请参阅 配置安全策略。]
-
支持安全区域
[请参阅 安全区域。
-
支持网络地址转换 (NAT)
[请参阅 NAT 配置概述。]
-
支持用于攻击检测和预防的屏幕选项
[请参阅 用于攻击检测和预防的屏幕选项。]
-
支持流量处理
[请参阅 SRX 系列防火墙上的流量处理概述。]
-
支持集成用户防火墙
[请参阅 配置集成用户防火墙。]
- 支持具有 iked 进程的 IPsec VPN。目前尚不支持基于策略的 VPN 和组 VPN。
[请参阅 IPsec VPN 配置概述。]
-
支持 PowerMode IPsec (PMI)
[请参阅 电源模式 IPsec。]
-
支持 DHCP
[请参阅 DHCP 概述。]
-
支持 GTP 和 SCTP
[ 请参阅监控 GTP 流量 和 SCTP 概述。]
-
支持本机报告
[请参阅报告(安全日志)。
-
支持内联主动流量监控
[请参阅 了解内联主动流监控。]
-
支持 TWAMP
[请参阅 了解双向主动测量协议。
-
支持 RPM
[请参阅SRX 设备的实时性能监控。]
-
支持逻辑系统
[请参阅 逻辑系统概述。]
软件安装和升级
-
支持 BIOS、安全启动和启动加载程序
[请参阅 安全启动和启动加载程序]
-
支持 jfirmware
-
支持安全全自动部署 (ZTP)
[请参阅 安全零接触配置。]
用户访问和身份验证管理
支持基于受信任的平台模块 (TPM) 的证书,以实现高级反恶意软件 (AAMW) 保护 要使用基于 TPM 的证书,请执行以下操作:
-
在设备的启动和重启操作期间,设备使用 PKI 加载基于 TPM 的证书。要查看基于 TPM 的证书 ID(称为
idev-id
),请使用show security pki node-local local-certificate certificate-id idev-id
命令。 -
SSL 初始化使用传输层安全性 (TLS) 连接的证书对设备进行身份验证。您可以使用命令配置
set services ssl initiation profile profile-name crypto-hardware-offload
该tpm
选项。
请参阅 显示安全 PKI 节点本地证书 和 配置文件(SSL 初始化)。]
-