Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新变化

了解此版本中的 SRX 系列更改。

内容安全性

  • 瞻博网络下一代 Web 过滤许可证警告增强功能(SRX 系列和 vSRX) — 从 Junos OS 24.4R1 版开始,如果将 Web 过滤类型配置为 juniper-enhancedng-juniper 不配置相应的有效许可证,系统不会生成警告消息。您可以使用 comamnd 确认 Web 过滤是否由于许可证丢失 show security utm web-filtering status 而关闭。

    在此版本之前,如果将 Web 过滤类型 juniper-enhanced 配置为有效许可证或 ng-juniper 不使用有效许可证,系统都会生成一条警告消息。

    [请参见显示安全 utm Web 过滤状态和瞻博网络新一代 Web 过滤概述。]

接口和机箱

  • xe 端口中的自动协商 (SRX380) — 从 Junos 24.2R2 版开始,默认情况下,SRX380 防火墙的所有四个 xe 端口上的自动协商均处于禁用状态。建议在远程终端设备上禁用自动协商。要更改自动协商默认建议行为,请使用命令 set interfaces xe-x/y/z gigether-options auto-negotiation

Junos XML API 和脚本

  • 提交脚本输入以在启动期间识别软件升级(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)junos-context 节点集包含sw-upgrade-in-progress标记。提交脚本可以测试标记值,sw-upgrade-in-progress以确定提交是否在启动期间进行,并且软件升级是否正在进行中。标记值是yes提交是否发生在软件升级、软件降级或回滚后的第一次重新启动期间。标记值是no设备是否正常启动。

    [请参阅 Junos OS 自动化脚本中的全局参数和变量。]

网络管理和监控

  • SNMPv3 DES 弃用 (Junos) — SNMPv3 的数据加密标准 (DES) 隐私协议已被弃用,因为它的安全性较弱,而且容易受到加密攻击。为了增强安全性,请将三重数据加密标准 (3DES) 或高级加密标准(CFB128-AES-128 隐私协议)配置为 SNMPv3 用户的加密算法。

    [参见 privacy-3desprivacy-aes128

PKI

  • 增强功能,用于修复 Junos PyEz 中重复密钥的输出(MX 系列、SRX 系列、EX 系列) — 在早期版本中,尽管 CLI 输出使用命令显示show security pki local-certificate detail | display json了 PKI 中相应散列算法的所有重复密钥,但对于相同的请求数据,Junos PyEz 仅显示最后一个密钥。从此版本开始,CLI 输出和 PyEz 显示所有带有增强型标记的重复键。

用户界面和配置

  • 对于 JSON 格式的状态数据(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX),已弃用紧凑格式 - 我们已移除compact层次结构级别的[edit system export-format state-data json]选项,因为 Junos 设备不再支持以紧凑格式发出 JSON 格式的状态数据。

  • 请求支持信息命令的访问权限(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列防火墙和 vSRX 虚拟防火墙) — 该request support information命令旨在生成系统信息以进行故障排除和调试。具有特定访问权限maintenanceview的用户,view-configuration可以执行请求支持信息命令。

  • 对和命令输出的show system informationshow version更改(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)show system information 命令输出首先Hostname列出字段,而不是最后列出字段。命令输出包括show version字段Family。该Family字段标识设备分类所属的设备系列,例如,junosjunos-esjunos-exjunos-qfx

    [请参阅 显示系统信息显示版本

VPN

  • 为瞻博网络安全连接(SRX 系列和 vSRX 3.0)添加了合规性检查 — 在 Junos OS 中,我们添加了合规性检查,以强制只有瞻博网络安全连接客户端才能建立远程访问 VPN 连接,并拒绝来自不合规远程访问客户端的连接请求。对于使用附加到 IPsec VPN 对象的远程访问配置文件的 VPN 连接,您会注意到此行为。

  • 对 IPsec VPN 服务(SRX 系列和 vSRX 3.0)的系统日志消息的更改 — 我们对 IPsec VPN 服务的系统日志消息进行了更改。您会注意到: 使用 kmd 进程运行 IPsec VPN 服务时,隧道 ID 字段将添加到KMD_PM_SA_ESTABLISHED系统日志消息中。- 使用 iked 进程运行 IPsec VPN 服务时,为 IPsec 密钥重钥事件添加了新的系统日志消息 IKE_VPN_SA_ESTABLISHED 。

  • 对 IPsec VPN 安全性关联(SRX 系列防火墙和 vSRX 3.0)中生存期千字节选项的更改 — IPsec VPN 安全性关联允许的最小 IPsec 提议生存千字节值从 64KB 更改为 64000KB。

    [参见 提案(安全性 IPsec)。]

  • 对 IPsec VPN 服务(SRX 系列和 vSRX 3.0)的系统日志消息的更改 — 我们对 IPsec VPN 服务的系统日志消息进行了更改。您会注意到: - 使用 kmd 进程运行 IPsec VPN 服务时,隧道 ID 字段将添加到KMD_PM_SA_ESTABLISHED系统日志消息中。使用 iked 进程运行 IPsec VPN 服务时,系统会为 IPsec 密钥更新事件添加新的系统日志消息 IKE_VPN_SA_ESTABLISHED 。

  • 瞻博网络安全连接(SRX 系列和 vSRX3.0)中支持 iPadOS 进行预登录合规性检查 - 您可以在防火墙上配置登录前合规性检查,以允许或拒绝运行 iPadOS 的端点。在层次结构级别使用[edit security remote-access compliance pre-logon name term name match platform]ipados选项强制执行这些检查。这可确保仅允许访问合规的 iPadOS 设备,从而增强网络的安全性。

    [参见 合规性(瞻博网络安全连接)。]

  • 具有 iked 进程的 IPsec VPN 的 CLI 命令移除无效(SRX 系列和 vSRX 3.0) — 使用 iked 进程运行 IPsec VPN 服务时,防火墙不再显示不受支持的 Junos OS CLI 命令clear security ike respond-bad-spi-count。此更新可防止对无法识别的 CLI 显示无效命令。您可以继续将该命令与 kmd 进程一起使用。

    [参见 clear security ike respond-bad-spi-count