Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Ce qui a changé dans la version 21.4R3

Traitement basé sur les flux basé sur les paquets

  • Impossible de se connecter au serveur OCSP pour la vérification de révocation (périphériques SRX Series et vSRX) : lors de la vérification de révocation à l’aide d’OCSP, le périphérique SRX ne tente pas de se connecter au serveur OCSP lorsque l’URL du serveur OCSP contient un nom de domaine que le serveur DNS ne peut pas résoudre. Dans ce cas, lorsque le périphérique SRX ne peut pas établir de connexion au serveur OCSP et que l’une des options de configuration suivantes est définie, la vérification de révocation OCSP autorise ou revient à l’utilisation de la liste de révocation de certificats :

    • définir la sécurité profil ca pki vérification de la révocation OCSP-ROOT échec de connexion ocsp désactiver

    • définir la sécurité pki ca-profile OCSP-ROOT revocation-check ocsp connection-failure fallback-crl

    Lorsque le périphérique SRX ne peut pas établir de connexion au serveur OCSP et si ces options ne sont pas configurées, la validation du certificat échoue.

    [Voir ocsp (PKI de sécurité).]

  • Modifications apportées à la priorité de remplacement TCP-MSS pour GRE (SRX Series et vSRX 3.0) :

    Sur les pare-feu SRX Series et les pare-feu virtuels vSRX, la taille maximale du segment TCP-MSS (Transmission Control Protocol Maximum Segment Size) ne peut pas être remplacée dans les scénarios GRE over IPsec (GREoIPsec). Cela peut entraîner une fragmentation accrue du réseau, car le trafic GREoIPsec n’est pas modifié pour TCP-MSS. Pour vous assurer que TCP-MSS fonctionne avec GREoIPsec, veillez à définir la priorité de MSS appliquée au trafic TCP dans l’ordre suivant (du plus élevé au plus bas) :

    • gre-in et gre-out en fonction de la direction du trafic TCP GREoIPSec.

    • ipsec-vpn pour le trafic GREoIPsec et IPsec.

    • all-tcp pour tout le trafic TCP.

Gestion et surveillance du réseau

  • Modifications apportées à la NETCONF <edit-config> Réponse RPC (ACX Series, EX Series, MX Series, PTX Series, QFX Series, SRX Series, vMX et vSRX) : lorsque l’opération renvoie une erreur, le serveur NETCONF n’émet pas d’élément <edit-config> <load-error-count> dans la réponse RPC. Dans les versions antérieures, la <edit-config> réponse RPC inclut l’élément lorsque l’opération <load-error-count> échoue.

Plate-forme et infrastructure

  • L’appareil n’abandonne pas la session avec une chaîne de certificats de serveur supérieure à 6. PR1663062

Gestion unifiée des menaces (UTM)

  • Mises à jour de l’interface de ligne de commande de filtrage de contenu (SRX Series et vSRX) : nous avons les mises à jour suivantes de l’interface de ligne de commande de filtrage de contenu :

    • Réduction de la liste des types de fichiers pris en charge pour les critères de correspondance des règles de filtrage de contenu. Au lieu de représenter de manière unique les différentes variantes d’un type de fichier, une file-type seule chaîne représente désormais toutes les variantes. Par conséquent, la show security utm content-filtering statistics sortie est également mise à jour pour s’aligner sur les nouveaux types de fichiers disponibles dans les critères de correspondance des règles.
    • Renommez l’option seclog de journalisation de sécurité filtrage de contenu en pour qu’elle corresponde à la norme de log configuration Junos OS.
    • Reformulation de la chaîne associée au message du journal de reason sécurité du filtrage de contenu.

    [Voir filtrage de contenu (Stratégie UTM de sécurité), filtrage de contenu (Profil de fonctionnalité de sécurité) et afficher les statistiques de filtrage de contenu UTM de sécurité.]