新变化
了解此版本中针对 SRX 系列的更改内容。
应用安全性
-
在自定义签名中剥夺 SSL 版本(SRX 系列)— 在应用签名包版本 3796 及更高版本中,不推荐使用 SSL 基于上下文的自定义签名中的 SSL 版本。您可以改用 ssl-protocol-version 选项。ssl-version 选项已弃用(而不是立即删除),以提供向后兼容性,并有机会使您的配置符合新配置。
[请参阅 [用于应用标识和上下文的自定义应用签名。]
-
SSL 代理配置文件的配置限制 — 从此版本开始,我们更新了 SSL 转发代理和 SSL 反向代理配置中的可信 CA 证书、服务器证书和 URL 类别的限制。这些更改可确保符合 56,986 字节的最大配置 Blob 大小限制。
限制大小的变化:
- 受信任的 CA 证书/服务器证书:最大限制 - 400(从 1024 更改)
- URL 类别:最大限制 - 800(不变)
配置语句:
user@host# set services ssl proxy profile profile-name trusted-ca (all | [ca-profile] ) user@host# set services ssl proxy profile profile-name server-certificate user@host# set services ssl proxy profile profile-name whitelist-url-categories [whitelist url categories]
注意:在反向代理配置中,确保服务器证书和 URL 类别的总大小不超过 56,986 字节。如果组合大小超过限制,则在提交过程中会显示以下错误消息:ERROR: Maximum blob size (56986 bytes) exceeded...current blob size is 57014 bytes. 400 Server certs are taking 54400 bytes, and 27 URL categories are taking 1728 bytes.
[请参阅[配置SSL代理]。
内容安全
-
适用于 ISSU 的 Sophos 防病毒配置(SRX 系列) — 要在执行不中断服务的软件升级 (ISSU) 时使用 Sophos 防病毒软件,请删除以下配置选项。
-
edit security utm default-configuration anti-virus forwarding-mode holdset -
edit security utm default-configuration anti-virus forwarding-mode inline-tap
此注意仅适用于 ISSU 升级,不适用于独立升级。完成 ISSU 后,可以重新启用上述配置。当两台设备启动时,Sophos 防病毒功能会照常运行。
[请参阅 Sophos Antivirus 配置概述。
-
机箱群集
-
定义冗余模式。
-
active-active: primary and secondary nodes in active mode. -
active-backup: primary in active, secondary in backup mode.
-
JIMS
-
要使推送到身份管理成功将身份验证条目推送到 JIMS,必须配置 JIMS 并验证 JIMS 状态是否为联机。
瞻博网络安全连接
-
在瞻博网络安全连接(SRX 系列和 vSRX3.0)中支持 iPadOS 进行登录前合规性检查 - 您可以在防火墙上配置登录前合规性检查,以允许或拒绝运行 iPadOS 的端点。
ipados在[edit security remote-access compliance pre-logon name term name match platform]层次结构级别使用选项来强制执行这些检查。这确保只允许兼容的 iPadOS 设备访问,从而增强网络的安全性。[请参阅 合规性(瞻博网络安全连接).]
网络地址转换 (NAT)
-
支持 NAT 调试(SRX 系列防火墙和 vSRX) 要调试 NAT 相关问题,请将 NAT 选项与 request support information security-components 命令一起使用。
[请参阅 请求支持信息。
PKI
-
用户帐户凭据的 SSH 密钥选项。您可以在设置系统登录用户
<user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key>层次结构级别配置密钥选项key-options。[请参阅 登录。
-
证书注册系统日志 (Junos) - 我们添加了系统日志,以便在出现 SCEP 和 CMPv2 证书故障时进行通知。在 SCEP 证书注册失败时,您可以看到PKID_SCEP_EE_CERT_ENROLL_FAIL消息。在 CMPv2 证书注册失败时,可以看到PKID_CMPV2_EE_CERT_ENROLL_FAIL消息。
[请参阅 系统日志资源管理器。]
平台和基础架构
-
添加了告警,指示将安全日志写入流量日志失败 (SRX4700) — 我们引入了告警,指示由于磁盘损坏或读/写错误,将安全日志写入流量日志失败。报警显示在 show 命令
show system alarms的输出中。
安全策略
-
安全 Web 代理重命名为透明 Web 代理(SRX380、SRX320、SRX340、SRX345、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300 和 vSRX3.0)— 从 Junos OS 版 25.2R1 开始,我们已将安全 Web 代理重命名为透明 Web 代理。如果您计划升级到 Junos OS 25.2R1 及更高版本,请注意以下有关使用代理功能的要点:
所有与安全 Web 代理相关的现有 CLI 语句和命令都将弃用。也就是说,从 Junos OS 25.2R1 版开始,安全 Web 代理功能将被弃用(而不是立即删除),以提供向后兼容性,并有机会使您的配置符合新配置。作为此更改的一部分,
[edit services web-proxy secure-proxy]将弃用层次结构和此层次结构下的所有配置选项。也就是说,透明代理配置语句的层次结构已从set services web-proxy secure-proxy更改为set services web-proxy transparent-proxy。若要迁移,需要将现有命令层次结构替换为新命令层次结构,如下表所示。
表 1:安全 Web 代理层次结构替换 以前的层次结构(安全 Web 代理) 新层次结构(透明 Web 代理) set services web-proxy secure-proxyset services web-proxy transparent-proxyset security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name>set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>这些调整确保您的配置是最新的,并准备好利用新功能。
[请参阅 透明 Web 代理 (Junos OS 版本 25.2R1 及更高版本)和安全 Web 代理 (Junos OS 25.2R1 之前的 Junos OS 版本)]。
用户界面和配置
-
请求支持信息命令的访问权限(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列防火墙和 vSRX 虚拟防火墙) — 命令
request support information用于生成系统信息,以便进行故障排除和调试。具有特定访问权限maintenance、view、 的用户view-configuration可以执行请求支持信息命令。 -
命令输出的
show system storage变更(ACX 系列、EX 系列、MX 系列、QFX 系列和 SRX 系列)— 我们更新了show system storage命令输出,仅包含真正的(物理)存储,并排除任何主机/虚拟机管理程序级别的存储。在早期版本中,输出还包括一个容器/监狱存储,它没有自己的单独存储。[请参阅 显示系统存储。]
-
用于查看所有配置数据库(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)的组合磁盘空间使用统计信息的选项 - 命令
show system configuration database usage提供merge选项。包含该merge选项时,命令输出将显示所有配置数据库(包括静态配置数据库和所有临时配置数据库实例)的组合磁盘空间使用情况统计信息。[请参阅 显示系统配置数据库使用情况。]
-
netconf ssh已从出厂默认设备配置(SRX300、SRX320、SRX340、SRX345 和 SRX380)中移除 — 为了增强安全性,我们已从出厂默认设备配置中移除netconf ssh了层次结构级别的语句[edit system services]。要使用此服务,您可以显式配置语句。
VPN
-
禁用内联 IPsec 硬件卸载 (SRX4700) 的全局选项 — 您可以在 数据包转发引擎 ASIC 中禁用 IPsec 隧道处理的硬件卸载。使用 comman
set security ipsec hw-offload-disable全局禁用这种数据包的内联 IPsec 处理。配置语句时,防火墙将在 CPU 中处理 IPsec 隧道,而非数据包转发引擎 ASIC。此语句将替换之前在edit security ipsec层次结构级别上的隐藏选项no-hw-offload。这种全局配置提供了一种在防火墙级别管理 IPsec 硬件卸载设置的简化方法。[请参阅 ipsec(安全)。]
-
弃用 IPsec VPN 中的弱算法(SRX 系列和 vSRX 3.0)— 我们已弃用 IKE 和 IPsec 提议中的弱算法。您将无法再使用以下算法:
表 2:已弃用的 Junos CLI 选项 类型 算法 Junos CLI 语句 IKE 提议中的加密算法 des-cbc和3des-cbcset security ike proposal name encryption-algorithmIKE 提议中的身份验证算法 md5和sha1set security ike proposal name authentication-algorithmIKE 提议中的 DH 组 group1、group2和group5set security ike proposal name dh-groupIKE 提议中的加密算法 des-cbc和3des-cbcset security ipsec proposal name encryption-algorithmIKE 提议中的身份验证算法 hmac-md5-96和hmac-sha1-96set security ipsec proposal name authentication-algorithm如果显式配置这些已弃用的算法,您将收到一条警告消息。另外,我们建议您配置更强的算法来增强 IPsec VPN 的安全性。
[请参阅 提议(安全 IKE)和 提议(安全 IPsec)。]
-
默认在其他平台(SRX1500、SRX4100、SRX4200、SRX4600 和 vSRX3.0)上安装 junos-ike 软件包 -
junos-ike默认情况下,软件包安装在 SRX1500、SRX4100、SRX4200、SRX4600 和 vSRX3.0 防火墙上,确保默认支持iked进程 IPsec VPN 服务。这与带有路由引擎 3 的 SRX5000 系列(带 RE3 的 SRX5K-SPC3)上的软件包的现有默认安装一致。您可以使用命令request system software delete junos-ike删除junos-ike软件包。这会在这些防火墙上运行kmd该过程,从而灵活管理您的安全基础架构。[请参阅 新软件包的 IPsec VPN 功能支持。]
-
在瞻博网络安全连接(SRX 系列和 vSRX3.0)中支持 iPadOS 进行登录前合规性检查 - 您可以在防火墙上配置登录前合规性检查,以允许或拒绝运行 iPadOS 的端点。
ipados在[edit security remote-access compliance pre-logon name term name match platform]层次结构级别使用选项来强制执行这些检查。这确保只允许兼容的 iPadOS 设备访问,从而增强网络的安全性。[请参阅 合规性(瞻博网络安全连接).]