硬件

全新 SRX4300 防火墙 — 从 Junos OS 24.2R1 版开始，我们推出了中端 SRX4300 防火墙。SRX4300 防火墙提供新一代防火墙功能以及高级威胁检测和缓解功能。这款防火墙非常适合中小型企业边缘、园区边缘、数据中心边缘防火墙，以及分布式企业用例中的安全 VPN 路由器部署。

表 1：SRX4300防火墙支持的功能
特征	描述
底盘	机箱和现场可更换部件（FRU）管理支持，包括：使用传感器进行温度阈值监控电源单元（PSU）控制 PIC 检测交换矩阵管理根据 EM 策略调整风扇速度 [请参阅配置环境温度和机箱级别用户指南。]
机箱群集	支持不中断服务的软件升级（ISSU）和具有媒体访问控制安全性（MACsec）的双控制链路 [请参阅在机箱群集上使用不中断服务的软件升级和媒体访问控制安全性（MACsec）升级机箱群集。]
服务等级（CoS）	支持 CoS [请参阅了解服务等级。]
硬件	SRX4300 是一个带有以下端口的 1-U 机箱： 8 个 10 多速率千兆位以太网接口（MGE） BASE-T 端口 8 个 10 千兆以太网（GbE） SFP+ 端口 4 个 25GbE SFP28 端口 6 个 100GbE QSFP28 端口 2 个 1GbE SFP HA 端口所有端口都支持 MACsec，并支持交流和直流两种型号。要安装 SRX4300 硬件并执行初始软件配置、日常维护和故障排除，请参阅 SRX4300防火墙硬件指南。 [请参阅功能浏览器，了解任何平台的完整功能列表。]
高可用性（HA）和弹性配置	支持 BFD 支持长达 3 x 300 毫秒（msec）的故障检测时间支持多达 100 个 BFD 会话 [请参阅了解静态路由的 BFD 以更快地检测网络故障和了解 BFD 如何检测网络故障。] 多节点高可用性支持节点本地隧道部署中的自动发现 VPN （ADVPN）。节点本地隧道通过向设置中的两个节点提供从 VPN 对等设备到两个节点的单独隧道，增强了多节点高可用性。借助 ADVPN，可以在分支之间动态建立 VPN 隧道。在节点本地隧道部署中将 ADVPN 与多节点高可用性相结合，可确保稳健的网络连接、高效的资源利用率和无缝故障转移能力。 [请参阅多节点高可用性中的 IPsec VPN 支持。] 在路由、混合和默认网关模式下支持多节点高可用性 [请参阅多节点高可用性。] 为以下硬件组件提供平台软件弹性支持：中央处理器外设部件互连（PCI）记忆固态设备（SSD）内部集成电路（I2C）温度传感器电压传感器扇 1+1 冗余模式下的电源单元（PSU）当硬件组件发生故障时，Junos OS 软件：使用故障详细信息（包括时间戳、模块名称和组件名称）记录消息。如果适用，引发或清除警报。使 LED 亮起，表示 FRU 故障。执行本地作，例如自我修复和使组件停止服务。 [请参阅机箱级用户指南。]
接口	接口支持包括四个默认速度如下的 PIC：带 10 Gbps（铜质）的 PIC 0 具有 10 Gbps 的 PIC 1 （SFP+）具有 25 Gbps 的 PIC 2 （SFP28）具有 100 Gbps 的 PIC 3 （QSFP28）默认情况下，Junos OS 会创建 PIC 0。您可以分别插入 SFP+、SFP28 和 QSFP28 收发器来创建 PIC 1、PIC 2 和 PIC 3 接口。 [请参阅 SRX 系列防火墙上的端口速度。] SFP28 端口支持混合速度。您可以在 PIC 模式下配置两个选项;1GbE/10GbE 组合和 25GbE。 [请参阅 SRX 系列防火墙上的端口速度。]
Junos 遥测接口（JTI）	使用基本的 JTI 传感器和新型流量监控传感器，将数据从设备流式传输到收集器。Junos OS 支持以量传感器： PIC CPU 使用率 /junos/security/spu/cpu 流会话和流数据包 /junos/security/spu/flow 逻辑系统的流会话和流数据包 /junos/security/spu/flow/lsys [有关状态传感器，请参阅 Junos YANG 数据模型资源管理器。]
第 7 层安全功能	支持基于策略的高级路由（APBR） [请参阅基于策略的高级路由。] 支持应用识别（AppID） [请参阅应用程序标识。] 支持应用体验质量（AppQoE） [请参阅应用体验质量。] 支持应用服务质量（AppQoS） [请参阅应用 QoS。] 支持内容安全 [请参阅内容安全概述。] 支持入侵检测和防御（IDP） [请参阅入侵检测和防御概述。] 支持瞻博网络 ATP 云 [请参阅文件扫描限制。] 支持瞻博网络深度数据包检测 - 解码器（JDPI） [请参阅瞻博网络深度数据包检测 - 解码器（JDPI-Decoder）。] 支持 SSL 代理 [请参阅 SSL 代理。]
MACsec	在具有以下加密的物理接口上支持静态 CAK 模式下的 MACsec： GCM-AES-128型 GCM-AES-256型 GCM-AES-XPN-128 GCM-AES-XPN-256 通道化端口和交换机到交换机连接支持此功能。 [请参阅配置 MACsec。]
网络管理和监控	支持基于过滤器的数据包捕获，适用于在网络中传输的实时数据包。尚不支持数据通路调试。 [请参阅示例：为数据包捕获配置防火墙过滤器。]
远程访问	支持使用瞻博网络安全连接的远程访问 VPN [请参阅瞻博网络安全连接管理员指南。]
服务应用	支持应用层网关（ALG） [请参阅 ALG 概述。支持在为 IPsec VPN 服务运行 iked 进程的防火墙上使用 IPv6 地址进行 ADVPN 配置 [请参阅自动发现 VPN。] 支持 IPsec VPN 服务的 ChaCha20-Poly1305 经过身份验证的加密算法 [请参阅提议（安全 IKE）和提议（安全 IPsec）。] 在为 IPsec VPN 服务运行 iked 进程的防火墙上，使用 PIM 稀疏模式通过 st0 P2MP 接口支持 AutoVPN 和 ADVPN 中的组播流量。支持 PIM 稀疏模式下的 IPv4 组播。 [请参阅 AutoVPN 和自动发现 VPN。支持 DNS [请参阅了解和配置 DNS、 DNS ALG、 DNS 代理概述、通讯簿中的 DNS 名称和 DNSSEC 概述。] 支持用户身份验证 [请参阅用户身份验证概述。] 支持安全策略 [请参阅配置安全策略。] 支持安全区域 [请参阅安全区域。] 支持网络地址转换（NAT） [请参阅 NAT 配置概述。] 支持用于攻击检测和预防的屏幕选项 [请参阅攻击检测和预防的屏幕选项。] 支持流量处理 [请参阅 SRX 系列防火墙上的流量处理概述。] 支持集成式用户防火墙 [请参阅配置集成用户防火墙。] 支持带有 iked 进程的 IPsec VPN。尚不支持基于策略的 VPN 和组 VPN。 [请参阅 IPsec VPN 配置概述。] 支持 PowerMode IPsec （PMI） [请参阅 PowerMode IPsec.] 支持 DHCP [请参阅 DHCP 概述。] 支持 GTP 和 SCTP [请参阅监控 GTP 流量和 SCTP 概述。] 支持本机报告 [请参阅报告（安全日志）。] 支持内联主动流监控 [请参阅了解内联主动流监控。] 支持 TWAMP [请参阅了解双向主动测量协议。支持 RPM [请参阅SRX 设备的实时性能监控。] 支持逻辑系统 [请参阅逻辑系统概述。]
软件安装和升级	支持 BIOS、安全启动和引导加载程序 [请参阅安全启动和引导加载程序] 支持 jfirmware [请参阅安装和升级固件、请求系统固件升级和显示系统固件。] 支持安全的全自动部署（ZTP） [请参阅安全全自动部署。]
用户访问和身份验证管理	支持基于受信任的平台模块（TPM）的证书，以实现高级反恶意软件（AAMW）保护若要使用基于 TPM 的证书，请执行以下作：设备在设备的启动和重启作期间使用 PKI 加载基于 TPM 的证书。若要查看基于 TPM 的证书 ID（称为 `idev-id`），请使用命令 `show security pki node-local local-certificate certificate-id idev-id` 。 SSL 初始化使用传输层安全证书（TLS）连接来对设备进行身份验证。您可以使用`set services ssl initiation profile profile-name crypto-hardware-offload`命令配置`tpm`该选项。请参阅 show security pki node-local local-certificate and profile （SSL Initiation）.]