Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新变化

了解此版本中的 SRX 系列更改。

应用安全性

  • 自定义签名中的 ssl 版本弃用(SRX 系列) — 基于 SSL 上下文的自定义签名中的 ssl 版本在应用程序签名包版本 3796 及更高版本中已被弃用。您可以改用 ssl-protocol-version 选项。ssl-version 选项已弃用,而不是立即删除,以提供向后兼容性并有机会使您的配置符合新配置。

    [请参阅 [用于应用识别和上下文自定义应用签名。]

  • SSL 代理配置文件的配置限制 — 从此版本开始,我们更新了 SSL 正向代理和 SSL 反向代理配置中可信 证书颁发机构证书、服务器证书和 URL 类别的限制。这些更改可确保符合 56,986 字节的最大配置 blob 大小限制。

    限制大小的变化:

    • 可信证书颁发机构证书/服务器证书:上限 - 400(从 1024 更改)
    • 网址类别:上限 - 800(不变)

    配置语句:

    注意:在反向代理配置中,确保服务器证书和 URL 类别的总大小不超过 56,986 字节。如果组合大小超过限制,则在提交期间会显示以下错误消息: 此错误提供了内存使用情况的明细,可帮助您相应地调整配置。

    [请参阅 [配置 SSL 代理]。]

内容安全性

  • 适用于 ISSU 的 Sophos 防病毒配置(SRX 系列) — 要在执行不中断服务的软件升级 (ISSU) 时使用 Sophos 防病毒,请删除以下配置选项。

    • edit security utm default-configuration anti-virus forwarding-mode holdset

    • edit security utm default-configuration anti-virus forwarding-mode inline-tap

    此警告仅适用于 ISSU 升级,不适用于独立升级。完成 ISSU 后,您可以重新启用上述配置。当两台设备启动时,Sophos 防病毒功能照常运行。

    [请参阅 Sophos Antivirus 配置概述

机箱群集

  • 定义冗余模式。

    • active-active: primary and secondary nodes in active mode.

    • active-backup: primary in active, secondary in backup mode.

JIMS

瞻博网络安全连接

  • 瞻博网络安全连接(SRX 系列和 vSRX3.0)中支持 iPadOS 进行预登录合规性检查 - 您可以在防火墙上配置登录前合规性检查,以允许或拒绝运行 iPadOS 的端点。在层次结构级别使用[edit security remote-access compliance pre-logon name term name match platform]ipados选项强制执行这些检查。这可确保仅允许访问合规的 iPadOS 设备,从而增强网络的安全性。

    [参见 合规性(瞻博网络安全连接)。]

网络地址转换 (NAT)

  • 支持 NAT 调试(SRX 系列防火墙和 vSRX) — 要调试与 NAT 相关的问题,请将 nat 选项与 request support information security-components 命令一起使用。

    [请参阅 请求支持信息

网络管理和监控

  • 用 shell 选项 — 该shell选项不再需要单独的配置,现在是默认行为。弃用 shell 选项可以提高效率并简化管理任务。

PKI

  • 用户帐户凭据的 SSH 密钥选项。您可以在设置的系统登录用户<user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key>层级配置键选项key-options

    [参见登录。

  • 证书注册系统日志 (Junos) — 我们添加了系统日志,以便在 SCEP 和 CMPv2 证书失败时发出通知。SCEP 证书注册失败时,可以看到PKID_SCEP_EE_CERT_ENROLL_FAIL消息。在 CMPv2 证书注册失败时,您可以看到PKID_CMPV2_EE_CERT_ENROLL_FAIL消息。

    [请参阅 系统日志资源管理器

平台和基础架构

  • 添加了警报以指示无法将安全日志写入流量日志 (SRX4700) — 我们引入了警报,指示由于磁盘损坏或读/写错误,无法将安全日志写入流量日志。报警将显示在 show 命令 show system alarms的输出中。

安全性策略

  • 安全 Web 代理已重命名为透明 Web 代理(SRX380、SRX320、SRX340、SRX345、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300 和 vSRX3.0)—从 Junos OS 25.2R1 版开始,我们已将安全 Web 代理重命名为透明 Web 代理。如果您计划升级到 Junos OS 25.2R1 及更高版本,请注意以下有关使用代理功能的要点:

    弃用所有现有的安全 Web 代理相关的 CLI 语句和命令。也就是说,从 Junos OS 25.2R1 版开始,安全 Web 代理功能将被弃用,而不是立即删除,以提供向后兼容性并让您的配置符合新配置。在此更改中, [edit services web-proxy secure-proxy] 该层次结构和此层次结构下的所有配置选项均被弃用。也就是说,透明代理配置语句的层次结构已从 set services web-proxy secure-proxy 更改为 set services web-proxy transparent-proxy

    要迁移,您需要将现有命令层次结构替换为新命令层次结构,如下表所示。

    表 1:安全 Web 代理层次结构替换
    以前的层次结构(安全 Web 代理) 新层次结构(透明 Web 代理)
    set services web-proxy secure-proxy set services web-proxy transparent-proxy
    set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name> set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>

    这些调整可确保您的配置是最新的,并准备好利用新功能。

    [请参阅 透明 Web 代理 (Junos OS 版本 25.2R1 及更高版本)和安全 Web 代理 (Junos OS 25.2R1 之前的 Junos OS 版本)]。

用户界面和配置

  • 请求支持信息命令的访问权限(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列防火墙和 vSRX 虚拟防火墙) — 该request support information 命令用于生成系统信息以进行故障排除和调试。具有特定访问权限 maintenance view 的用户, view-configuration 可以执行请求支持信息命令。

  • 对命令输出的show system storage更改(ACX 系列、EX 系列、MX 系列、QFX 系列和 SRX 系列) — 我们已更新命令输出,show system storage以仅包含 true(物理)存储,并排除任何主机/虚拟机管理程序级别存储。在早期版本中,输出还包括一个容器/监狱存储,它没有自己的单独存储。

    [请参阅 显示系统存储

  • 用于查看所有配置数据库(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)的组合磁盘空间使用统计信息的选项 — 该 show system configuration database usage 命令提供该 merge 选项。包含该 merge 选项后,命令输出将显示所有配置数据库(包括静态配置数据库和所有临时配置数据库实例)的组合磁盘空间使用统计信息。

    [请参阅 显示系统配置数据库使用情况

  • netconf ssh 已从出厂默认设备配置(SRX300、SRX320、SRX340、SRX345 和 SRX380)中移除 — 为了增强安全性,我们已从出厂默认设备配置中移除 netconf ssh 了层次结构级别的语句 [edit system services] 。要使用此服务,可以显式配置该语句。

VPN

  • 禁用内联 IPsec 硬件卸载 (SRX4700) 的全局选项 — 您可以在 数据包转发引擎 ASIC 中禁用 IPsec 隧道处理的硬件卸载。使用 comman set security ipsec hw-offload-disable 对数据包进行全局禁用此内联 IPsec 处理。配置该语句时,防火墙将在 CPU 中处理 IPsec 隧道,而非数据包转发引擎 ASIC。此语句将替换之前在层次结构级别上的edit security ipsec隐藏选项no-hw-offload。此全局配置提供了一种在防火墙级别管理 IPsec 硬件卸载设置的简化方法。

    [请参阅 ipsec(安全性)。]

  • 用 IPsec VPN 中的弱算法(SRX 系列和 vSRX 3.0) — 我们已弃用 IKE 和 IPsec 提议中的弱算法。您将无法再使用以下算法:

    表 2:已弃用的 Junos CLI 选项
    类型 算法 Junos CLI 声明
    IKE 提议中的加密算法 des-cbc 以及 3des-cbc set security ike proposal name encryption-algorithm
    IKE 提议中的身份验证算法 md5 以及 sha1 set security ike proposal name authentication-algorithm
    IKE 提议中的 DH 组 group1group2、和 group5 set security ike proposal name dh-group
    IKE 提议中的加密算法 des-cbc 以及 3des-cbc set security ipsec proposal name encryption-algorithm
    IKE 提议中的身份验证算法

    hmac-md5-96 以及 hmac-sha1-96

    		set security ipsec proposal name authentication-algorithm

    如果显式配置这些已弃用的算法,您将收到一条警告消息。或者,我们建议您配置更强的算法来增强 IPsec VPN 中的安全性。

    [参见 提案(安全性 IKE)和 提案(安全性 IPsec)。]

  • 默认在其他平台(SRX1500、SRX4100、SRX4200、SRX4600 和 vSRX3.0)上安装 junos-ike 软件包 — 默认情况下,该junos-ike软件包安装在 SRX1500、SRX4100、SRX4200、SRX4600 和 vSRX3.0 防火墙上,确保对进程的iked默认支持 IPsec VPN 服务。这与带有路由引擎 3 的 SRX5000 系列(带 RE3 的 SRX5K-SPC3)上软件包的现有默认安装一致。您可以使用命令request system software delete junos-ike删除软件包。junos-ike这会在这些防火墙上运行该kmd流程,从而允许灵活管理您的安全基础架构。

    [请参阅 新软件包提供的 IPsec VPN 功能支持。]

  • 瞻博网络安全连接(SRX 系列和 vSRX3.0)中支持 iPadOS 进行预登录合规性检查 - 您可以在防火墙上配置登录前合规性检查,以允许或拒绝运行 iPadOS 的端点。在层次结构级别使用[edit security remote-access compliance pre-logon name term name match platform]ipados选项强制执行这些检查。这可确保仅允许访问合规的 iPadOS 设备,从而增强网络的安全性。

    [参见 合规性(瞻博网络安全连接)。]