Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Was hat sich geändert?

Erfahren Sie, was sich in dieser Version für Firewalls der SRX-Serie geändert hat.

Content-Sicherheit

  • Avira Antivirus-Scan-Modus wird auf SRX1600-Gerät unterstützt (SRX1600) – SRX1600 Gerät unterstützt den Avira Antivirus-Scan nur im Light-Modus und nicht im Heavy-Modus. Daher haben wir die onbox-av-load-flavor Anweisung auf der edit chassis Hierarchieebene für SRX1600 Gerät entfernt.

    Siehe Beispiel: Avira Antivirus konfigurieren.

  • URL Check Operational Command Update (SRX-Serie): Ab Junos OS Version 23.4R1 können Sie den test security utm web-filtering url-check Befehl test verwenden, um die Kategorie und den Ruf einer URL zu überprüfen. Vor dieser Version wurde der test security utm enhanced-web-filtering url-check Befehl test verwendet, um die Kategorie und den Ruf einer URL zu überprüfen.

    Weitere Informationen finden Sie unter Testsicherheit utm enhanced-web-filtering url-check.

J-Web

  • Aktualisierte URL des Sicherheitspakets (Firewalls der SRX-Serie und vSRX3.0) – Ab Junos OS Version 23.4R1 haben wir in J-Web die URL des Sicherheitspakets in der Geräteverwaltung > in der Verwaltung von Sicherheitspaketen > in den Einstellungen für URL-Kategorien aktualisiert. Sie können diese URL verwenden, um das Paket Juniper NextGen oder Juniper Enhanced Web Filtering herunterzuladen.

    [Siehe Einstellungen für URL-Kategorien.]

  • Die interne SA heißt jetzt Internal SA Encryption (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 und vSRX3.0) – Ab Junos OS Version 23.4R1 haben wir in J-Web Internal SA in Inter SA Encryption und Internal SA Keys to Key in Network > VPN > IPsec VPN > Global Settings umbenannt.

    [Siehe Globale IPsec-VPN-Einstellungen.]

  • Der Name heißt jetzt Identifier (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 und vSRX3.0) – Ab Junos OS Version 23.4R1 haben wir in J-Web Name in Identifier und Network Address Address in Security Services > Firewall Authentication > Address Pools in Subnet umbenannt.

    [Weitere Informationen finden Sie auf der Seite Adresspools.]

  • Adressbereich heißt jetzt benannte Adressbereiche (Firewalls der SRX-Serie und vSRX3.0) – Ab Junos OS Version 23.4R1 haben wir in J-Web Adressbereich in Benannte Adressbereiche in Security Services > Firewall-Authentifizierungs - > Adresspools umbenannt.

    [Weitere Informationen finden Sie auf der Seite Adresspools.]

  • Routing-Instanz heißt jetzt Source Virtual Router (Firewalls der SRX-Serie und vSRX3.0) – Ab Junos OS Version 23.4R1 haben wir in J-Web die Routing-Instanz in Security Services in Source Virtual Router und Source Address to Source Interface in Security Services > Firewall Authentication > Access Profile > Create Access Profile > Create Radius Server and Security Services > umbenanntFirewall-Authentifizierung > Zugriffsprofil > Zugriffsprofil erstellen > LDAP-Server erstellen.

    [Siehe Hinzufügen eines Zugriffsprofils.]

Junos XML-API und Skripterstellung

  • XML-Ausgabe-Tags geändert für request-commit-server-pause und request-commit-server-start (ACX-Serie, EX-Serie, MX-Serie, QFX-Serie, SRX-Serie und vSRX): Wir haben die XML-Ausgabe für den request system commit server pause Befehl (request-commit-server-pause RPC) und den request system commit server start Befehl (request-commit-server-start RPC) geändert. Das Stammelement ist <commit-server-operation> anstelle von <commit-server-information>, und das <output> Tag wird in umbenannt.<message>

Netzwerkmanagement und -überwachung

  • NETCONF-Vorgänge <copy-config> unterstützen einen URI für Vorgänge zum Kopieren in Dateien (ACX-Serie, EX-Serie, MX-Serie, QFX-Serie, SRX-Serie und vSRX): Die NETCONF-Operation unterstützt die file://Verwendung eines file:// URI, wenn <url> dies das Ziel ist und den absoluten Pfad einer lokalen Datei angibt.<copy-config>

    [Siehe <copy-config>.]

Benutzeroberfläche und Konfiguration

  • Für das Anzeigen von Dateien mit dem file compare files Befehl müssen Benutzer über die Berechtigung verfügen maintenance : Für den file compare files Befehl in Junos OS und Junos OS Evolved muss ein Benutzer über eine Anmeldeklasse mit maintenance Berechtigung verfügen.

    [Siehe Übersicht über Anmeldeklassen.]

VPNs

  • Ungültige kmd-instance-Option, wenn iked für IPsec-VPNs (SRX-Serie) aktiviert ist: Wir haben die Option kmd-instance entfernt, wenn Sie den iked-Prozess mithilfe des junos-iked-Pakets zum Ausführen von IPsec-VPN-Funktionen in Junos OS Version 23.4R1 aktivieren. Diese Option ist anwendbar, wenn Sie über einen kmd-Prozess für IPsec-VPN-Funktionen verfügen.

    [Siehe show security ipsec security-associations.]

  • Optionen, die sich auf FPC-, PIC- und KMD-Instanzen beziehen, sind ungültig in show security ike sa command with IKED process (SRX Series) – Mit junos-ike installiertem Paket zum Ausführen von IPsec VPN mit IKED process werden die Optionen fpcpic und kmd-instance nicht in show security ike security-associations der Hierarchie angezeigt. Diese Optionen sind ungültig und wurden aus der CLI von Junos OS Version 23.4R1 entfernt. Dies bedeutet, dass Sie den Befehl nicht mit IPsec-VPN verwenden show security ike sa fpc 0 pic 0 können, das den IKED-Prozess auf Ihrer Firewall der SRX-Serie ausführt.

    [Siehe show security ike security-associations.]

  • Verbesserungen bei der Verwaltung der IKE-Konfiguration zum Löschen von IKE-Statistiken auf dem sekundären Knoten (SRX-Serie) – In früheren Junos OS-Versionen reagierte der IKEMD-Prozess (ike-config-Management) in einem Chassis-Cluster-Modus nicht auf Verwaltungsanforderungen auf dem sekundären Knoten. Der Befehl clear security ike statsschlägt mit der Fehlermeldung error: IKE-Config-Management not responding to management requests auf dem sekundären Knoten fehl. Ab Junos OS Version 22.4R3 wird der Befehl erfolgreich ausgeführt, ohne dass der Fehler auf dem sekundären Knoten auftritt.

  • Einführung einer umfassenden Option für IPsec-Sicherheitszuordnungen (MX-Serie, SRX-Serie und vSRX 3.0): Wir haben die extensive Option für den show security ipsec security-associations Befehl eingeführt. Verwenden Sie diese Option, um IPsec-Sicherheitszuordnungen mit allen Tunnelereignissen anzuzeigen. Verwenden Sie die vorhandene detail Option, um bis zu zehn Ereignisse in umgekehrter chronologischer Reihenfolge anzuzeigen.

    [Siehe show security ipsec security-associations.]

  • Verbesserungen zur Behebung von Fehlern bei der Überprüfung von CA-Zertifikaten (SRX-Serie und vSRX 3.0) – Bei CA-Zertifikaten schlägt die Zertifikatsvalidierung mit dem Lets Encrypt-Server fehl, wenn die Konfigurationsanweisung set security pki ca-profile ISRG revocation-check crl url verwendet wird, da PKI die OCSP-Anforderung auf HTTP 1.0 mit der requestorName. Wir haben Änderungen am Verhalten vorgenommen, um die OCSP-Anfrage mit HTTP 1.1 ohne das requestorName standardmäßig zu senden.

    • Um die requestorName bei Verwendung von HTTP 1.1 zu senden, verwenden Sie die Option add-requestor-name-payload hidden auf Hierarchieebene edit security pki ca-profile ca-profile-name revocation-check ocsp .

    • Um die OCSP-Anforderung mit HTTP 1.0 zu senden, verwenden Sie die Option use-http-1.0 hidden auf Hierarchieebene edit security pki ca-profile ca-profile-name revocation-check ocsp , um die Abwärtskompatibilität sicherzustellen.

      [Siehe Widerrufsprüfung (Sicherheits-PKI).]

  • Verbesserungen an den IKE-Konfigurationsverwaltungsbefehlen im Chassis-Cluster (SRX-Serie) – In früheren Junos OS-Versionen schlugen die folgenden Befehle in einem Chassis-Cluster-Modus mit der Fehlermeldung error: IKE-Config-Management not responding to management requests auf dem sekundären Knoten fehl:

    • Sicherheits-IKE-Statistiken anzeigen

    • show security ike sa ha-link-encryption

    • show security ipsec sa ha-link-encryption

    • show security ipsec inactive-tunnels ha-link-encryption

    • clear security ike sa ha-link-encryption

    • Klare Sicherheit ipsec sa ha-link-encryption

    Sie sollten diese Befehle nur auf dem primären Knoten und nicht auf dem sekundären Knoten ausführen. Ab Junos OS Version 23.4R1 wird die Fehlermeldung nicht mehr angezeigt, da für den sekundären Knoten keine Ausgabe angezeigt werden kann.

  • Verbesserungen an der Ausgabe des Befehls show security ipsec security-associations detail (SRX-Serie und vSRX 3.0) – Wir haben die Ausgabe der show security ipsec security-associations detail Aktivierung vpn-monitor auf Hierarchieebene edit security ipsec vpn vpn-name verbessert, wenn Ihre Firewall IPsec-VPN-Dienste mit dem neuen iked-Prozess ausführt. Die Ausgabe zeigt und interval Werte in der Befehlsausgabe anthreshold. Ab Junos OS Version 23.4R1 werden Sie diese Änderungen bemerken.

    [Siehe show security ipsec security-associations.]

  • Änderung der XML-Tags für show security ipsec Befehle (SRX-Serie und vSRX 3.0) – Wir haben die XML-Tags für die folgenden Befehle unter show security ipsecgeändert.

    Befehl

    Neues XML-Tag

    Altes XML-Tag

    show security ipsec tunnel-events-statistics |display xml validate

    ipsec-tunnel-event-statistics

    usp-ipsec-tunnel-event-statistics-information

    show security ipsec inactive-tunnels detail | display xml validate

    ipsec-unestablished-tunnel-information

    ipsec-security-association-information

    Ab Junos OS Version 23.4R1 werden Sie mit den neuen XML-Tags feststellen, dass gültiges show security ipsec commands XML ausgegeben wird.