Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新变化

了解此版本中针对 SRX 系列的更改内容。

内容安全

  • 瞻博网络新一代 Web 过滤许可证警告增强功能(SRX 系列和 vSRX)— 从 Junos OS 24.4R1 版开始,如果将 Web 过滤类型配置为 juniper-enhancedng-juniper 不配置相应的有效许可证,则系统不会生成警告消息。您可以使用 comamnd 确认 Web 过滤是否由于缺少许可证 show security utm web-filtering status 而关闭。

    在此版本的早期版本中,如果将 Web 过滤类型配置为 juniper-enhancedng-juniper 不配置为有效许可证,则系统将生成警告消息。

    [请参阅 显示安全 UTM Web 过滤状态瞻博网络新一代 Web 过滤概述。]

接口和机箱

  • xe 端口中的自动协商 (SRX380) — 从 Junos 24.2R2 版开始,默认情况下,SRX380 防火墙的所有四个 xe 端口上的自动协商处于禁用状态。建议在远程终端设备上禁用自动协商。要更改自动协商默认建议的行为,请使用命令 set interfaces xe-x/y/z gigether-options auto-negotiation

Junos XML API 和脚本

  • 提交脚本输入以识别启动期间的软件升级(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)junos-context 节点集包含sw-upgrade-in-progress标记。提交脚本可以测试标记值,sw-upgrade-in-progress以确定提交是否在启动期间发生,以及软件升级是否正在进行中。如果提交发生在软件升级、软件降级或回滚后的第一次重新启动期间,则标记值yes为。标记值为no设备是否正常启动。

    [请参阅 全局参数和 Junos OS 自动化脚本中的变量。]

网络管理和监控

  • SNMPv3 的 DES 弃用 (Junos) - 由于安全性较弱且容易受到加密攻击,SNMPv3 的数据加密标准 (DES) 隐私协议已弃用。为了增强安全性,请将三重数据加密标准 (3DES) 或高级加密标准(CFB128-AES-128 隐私协议)配置为 SNMPv3 用户的加密算法。

    [参见 privacy-3desprivacy-aes128

PKI

  • 修复 Junos PyEz 输出中 PKI 中重复密钥(MX 系列、SRX 系列、EX 系列)的增强功能 — 在早期版本中,虽然 CLI 输出使用show security pki local-certificate detail | display json命令在 PKI 中显示相应散列算法的所有重复密钥,但对于相同的请求数据,Junos PyEz 仅显示最后一个密钥。从此版本开始,CLI 输出和 PyEz 将显示所有带有增强标签的重复密钥。

用户界面和配置

  • 已弃用用于 JSON 格式状态数据的紧凑格式(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)- 我们已在[edit system export-format state-data json]层次结构级别移除该compact选项,因为 Junos 设备不再支持以紧凑格式发出 JSON 格式的状态数据。

  • 请求支持信息命令的访问权限(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列防火墙和 vSRX 虚拟防火墙) — 命令 request support information 旨在生成系统信息,以便进行故障排除和调试。具有特定访问权限 maintenanceview、 的用户 view-configuration 可以执行请求支持信息命令。

VPN

  • 添加了瞻博网络安全连接(SRX 系列和 vSRX 3.0)的合规性检查 - 在 Junos OS 中,我们添加了合规性检查,以强制只有瞻博网络安全连接客户端才能建立远程访问 VPN 连接,并拒绝来自不合规的远程访问客户端的连接请求。您会注意到,使用附加到 IPsec VPN 对象的远程访问配置文件的 VPN 连接会出现此行为。

  • 对 IPsec VPN 服务(SRX 系列和 vSRX 3.0)的系统日志消息的更改—我们对 IPsec VPN 服务的系统日志消息进行了更改。您会注意到: 使用 kmd 进程运行 IPsec VPN 服务时,隧道 ID 字段将添加到KMD_PM_SA_ESTABLISHED系统日志消息中。- 当使用 iked 进程运行 IPsec VPN 服务时,为 IPsec 重新密钥事件添加了新的系统日志消息IKE_VPN_SA_ESTABLISHED。

  • 对 IPsec VPN 安全关联(SRX 系列防火墙和 vSRX 3.0)中的生存期千字节选项的更改 - IPsec VPN 安全关联允许的最小 IPsec 提议生存期千字节值从 64KB 更改为 64000KB。

    [请参阅 提案(安全 IKE)。]

  • 对 IPsec VPN 服务(SRX 系列和 vSRX 3.0)的系统日志消息的更改—我们对 IPsec VPN 服务的系统日志消息进行了更改。您会注意到: - 使用 kmd 进程运行 IPsec VPN 服务时,隧道 ID 字段将添加到KMD_PM_SA_ESTABLISHED系统日志消息中。当使用 iked 进程运行 IPsec VPN 服务时,将为 IPsec 重新密钥事件添加新的系统日志消息IKE_VPN_SA_ESTABLISHED。