Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新变化

了解此版本中 SRX 系列防火墙的更改内容。

应用安全性

  • 应用签名包(SRX 系列防火墙和 vSRX)show services application-identification status 命令输出显示的应用程序包版本发布日期不正确。命令输出显示初始安装的应用程序签名包的发布日期。后续安装的较新版本不会更新签名包的发布日期。只有当安装与当前安装的签名包相比,PB 版本/引擎版本有变化时,发布日期才会正确更新。

    从 Junos OS 24.2 版开始,命令输出会显示正确的日期。

    请参阅 显示服务应用程序标识状态

  • 弃用 3DES-CBC 密码(SRX 系列防火墙和 vSRX)- 不推荐支持以下密码:
    • RSA-3DES-EDE-CBC-SHA
    • ECDHE-ECDSA-3DES-EDE-CBC-SHA

    配置这些密码的选项在 [edit system services ssh] 层次结构中不可用。

  • 从具有以下路由引擎且具有微码版本的 Intel CPU 的 Junos 21.4R1 平台开始0x35在控制台上观察到错误警告“000: Firmware Bug:由于勘误TSC_DEADLINE禁用;请将微码更新为版本:0x3a(或更高版本)”。RE-S-X6-64G、RE-S-X6-128G、REMX2K-X8-64G、RE-PTX-X8-64G、RE-MX2008-X8-64G、RE-MX2008-X8-128G。

身份验证和访问控制

  • SSH 密码选项的 ChaCha20-Poly1305 算法弃用 - SSH 密码选项弃用 ChaCha20-Poly1305 经过身份验证的加密算法。将 aes-128-gcm 和 aes-256-gcm 配置为 SSH 密码选项的加密算法。

    [请参阅 SSH(系统服务)。]

EVPN

  • EVPN MAC-IP 数据库中每个网桥域每个 MAC 地址的 IP 地址关联数限制 — 默认情况下,设备最多可以将 200 个 IP 地址与每个网桥域的单个 MAC 地址相关联。我们提供了一个新的 CLI 语句来自定义这个限制,mac-ip-limit该语句在[edit protocols evpn]层次结构级别上。在大多数用例中,您不需要更改默认限制。如果要更改默认限制,建议不要将此限制设置为每个桥接域每个 MAC 地址超过 300 个 IP 地址。否则,您可能会看到设备上的 CPU 使用率非常高,这可能会降低系统性能。

    [请参阅 mac-ip-limit.]

接口

  • 从 Junos OS 24.2R1 版开始,运行 run show lldp local-information interface <interface-name> | display xml 命令时,输出将显示在 root 标记和容器标记下lldp-local-infolldp-local-interface-info。运行 run show lldp local-information interface | display xml 命令时,lldp-tlv-filterlldp-tlv-select 信息显示在输出的lldp-local-interface-info容器标记下。

  • 禁用关键字移除(SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M)–选项 watchdog disable 已从 set system processes 命令中移除。您无法再配置 watchdog disable

  • 增加了实时性能监控(SRX1500、SRX1600、SRX2300 和 SRX4300)的并发探针数量限制 – 我们已将允许用于实时性能监控 (RPM) 的并发探针数从之前的 500 个增加到 2000 个。[请参阅 探测限制。]

Junos OS API 和脚本

  • 对 ping RPC 的 XML 输出的更改 (MX480) - 我们更新 junos-rpc-ping 了 YANG 模块和相应的 Junos XML RPC,以确保 RPC XML 输出符合 YANG 架构。因此,我们更改了以下 ping RPC 的 XML 输出:

    • <ping>- XML 输出发出 <ping-error-message><ping-warning-message> 标记,而不是 <xnm:error><xnm:warning> 标记。

    • <request-ping-ce-ip>- XML 输出包含在根元素中 <lsping-results>

    • <request-ping-ethernet>

      • <ethping-results>根标记为每个收到的响应都包含一个<cfm-loopback-reply-entry><cfm-loopback-reply-entry-rapid> 标记。在早期版本中,单个标记包含所有响应。

      • XML 输出仅包含特定于应用程序的错误标记,并省略 <xnm:error> 标记。

      • 标记 <cfm-loopback-reply-entry-rapid> 现在反映在 YANG 架构中。

    • <request-ping-overlay>- 元素 <ping-overlay-results> 包含一个新的子标签 <hash-udp-src-port>

用户界面和配置

  • 配置数据库最大大小增加(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)— 我们在[edit system configuration-database]层次结构级别增强了extend-size语句,以增加最大数据库大小。在默认配置数据库大小为 ~400 MB 的设备上,extend-size将最大数据库大小增加到 ~2 GB。在默认配置数据库大小为 ~660 MB 的设备上,extend-size将最大数据库大小增加到 ~2.2 GB。

    [请参阅 configuration-database.]

VPN

  • 修复使用 DSA 和 ECDSA 生成的密钥对的摘要选项功能的增强功能(SRX 系列和 vSRX 3.0)--在早期版本中,使用 sha-256 摘要和 DSA 或 ECDSA 加密使用 request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa)request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name 命令生成本地自签名证书时,生成的签名始终使用 sha1 摘要。从此版本开始,指定的摘要 sha-256 将用于签名摘要。您可以使用 show security pki local-certificate certificate-id certificate-id-name detail

  • 解决生成具有较大密钥大小的 RSA 密钥对时出错的增强功能(SRX 系列)–在早期的 Junos OS 版本中,当您生成大小为 4096 或更大的 RSA 密钥对时,当 PKID 需要更多时间进行响应时,命令 request security pki generate-key-pair certificate-id name type rsa size 4096会显示错误消息 error: timeout communicating with pki-service daemon 。从 Junos OS 23.4R1 版开始,命令将成功运行,而不会出现此错误消息。

  • 箱群集中 IKE 配置管理命令的增强功能(SRX 系列)--在早期的 Junos OS 版本中,在机箱群集模式下,以下命令失败,并在辅助节点上显示错误消息error: IKE-Config-Management not responding to management requests

    • show security ike statistics

    • show security ike sa ha-link-encryption

    • show security ipsec sa ha-link-encryption

    • show security ipsec inactive-tunnels ha-link-encryption

    • clear security ike sa ha-link-encryption

    • clear security ipsec sa ha-link-encryption

    您应仅在主节点(而不是辅助节点)上运行这些命令。从 Junos OS 23.4R1 版开始,您将看不到错误消息,因为辅助节点没有要显示的输出。

  • VPN 监控选项(SRX 系列和 vSRX 3.0)的阈值和间隔选项的帮助字符串说明增强功能 - 我们增强了配置语句[set security ipsec vpn-monitor-options]中提供的和interval选项的帮助字符串说明threshold,以包含默认值。您将看到包含默认值的以下说明:

    [请参阅 ipsec(安全)。]

  • 对 show security ipsec security-associations detail 命令输出的增强功能(SRX 系列和 vSRX 3.0)–我们增强了在[edit security ipsec vpn vpn-name]层次结构级别启用vpn-monitor时,防火墙使用新的 iked 进程运行 IPsec VPN 服务时的show security ipsec security-associations detail输出。命令输出中显示thresholdinterval值。从 Junos OS 23.4R1 版开始,您会注意到这些更改。

    [请参阅 显示安全 IPsec 安全关联。]

  • 解决 RG0 故障切换后证书验证失败的增强功能(SRX 系列)–在机箱群集中进行 RG0 故障切换后,您可能会注意到,在故障切换之前,由于辅助节点上的 CRL 下载失败,命令 show services advanced-anti-malware status 输出会显示 Requesting server certificate validation 状态。我们针对该问题进行了增强功能,你将看到以下更改:

    • 如果即使在多次重试后仍重复无法下载 CRL,您将注意到错误消息 PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection ,直到 CRL 下载成功。

    • 当群集执行从辅助节点到主节点的故障切换时,PKI 会在新的主节点上触发新的 CRL 下载,从而成功验证证书。

  • 使用 PPK 的 IPsec VPN(SRX 系列和 vSRX 3.0)的重新身份验证频率建议 — 对于具有后量子预共享密钥 (PPK) 加密的 IPsec VPN,包括自动发现 VPN (ADVPN),当与量子密钥协商 IKE 安全关联时,IKE 进程会在 4 秒后执行密钥重新生成密钥以保护通道。如果将重新身份验证频率设置为 1,则 4 秒后不会进行密钥更新。因此,我们建议您将重新身份验证频率设置为 1 以上,因为 PPK 默认密钥使用第一个重新身份验证计数。

    [请参阅 量子安全 IPsec VPN。]

  • 使用 SHA-1 散列算法的 RSA 签名的更改 - 从 Junos OS 24.2R1 版开始,OpenSSH 8.8/8.8p1 的行为发生了变化。OpenSSH 8.8/8.8p1 默认禁止使用带有 SHA-1 哈希算法的 RSA 签名。您可以将 RSA 签名与 SHA-256 或 SHA-512 哈希算法配合使用。