Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ce qui a changé

Découvrez les modifications apportées à cette version pour la gamme SRX Series.

Gestion et surveillance du réseau

  • La classe de connexion opérateur ne peut pas afficher les fichiers de trace NETCONF qui ne sont pas lisibles par tout le monde (ACX Series, EX Series, MX Series, PTX Series, QFX Series, SRX Series, vMX et vSRX) : lorsque vous configurez les options de suivi NETCONF au niveau de la [edit system services netconf traceoptions] hiérarchie et que vous limitez l’accès au fichier au propriétaire du fichier en définissant ou en omettant l’instruction no-world-readable (valeur par défaut), les utilisateurs affectés à la operator classe de connexion ne sont pas autorisés à afficher le fichier de suivi.

Installation et mise à niveau du logiciel

  • Nouvelles options pour la request system snapshot commande (ACX Series, EX Series, MX Series, PTX Series, QFX Series et SRX Series) : la request system snapshot commande inclut de nouvelles options pour les instantanés autres que la récupération. Vous pouvez inclure l’option permettant de spécifier un nom défini par l’utilisateur name pour l’instantané, et vous pouvez inclure l’option configuration ou no-configuration pour inclure ou exclure des fichiers de configuration dans l’instantané. Par défaut, l’instantané enregistre les fichiers de configuration, qui incluent le contenu des répertoires /config et /var ainsi que certains fichiers SSH.

    [Voir la demande d’instantané du système (Junos OS avec FreeBSD mis à niveau).]

Vpn

  • Prise en charge limitée des certificats ECDSA avec proxy SSL (SRX Series et vSRX 3.0) : avec proxy SSL configuré sur les pare-feu SRX Series et les pare-feu virtuels vSRX :

    • Les sites Web basés sur ECDSA avec des certificats de serveur P-384/P-521 ne sont pas accessibles avec un certificat root-ca, car le périphérique de sécurité est limité à la prise en charge du groupe P-256.

    • Lorsque root-ca basé sur RSA et le certificat root-ca ECDSA P-384/P-521 sont configurés, tous les sites Web ECDSA ne seront pas accessibles car SSL-Terminator est négocié avec RSA, c’est pourquoi le dispositif de sécurité n’envoie que des chiffrements et des sigalgs RSA au serveur Web de destination lors de l’établissement de liaison SSL. Pour vous assurer que les sites Web basés sur ECDSA et RSA sont accessibles avec le certificat racine RSA, configurez un certificat racine ECDSA 256 bits.

    • Dans certains scénarios, même si un certificat racine ECDSA 256 bits est utilisé dans la configuration du proxy SSL, les sites Web basés sur ECDSA avec des certificats de serveur P-256 ne sont pas accessibles si le serveur ne prend pas en charge les groupes P-256.

    • Dans d’autres scénarios, même si un certificat racine ECDSA 256 bits est utilisé dans la configuration du proxy SSL, les sites Web basés sur ECDSA avec des certificats de serveur P-256 ne sont pas accessibles si le serveur prend en charge des serveurs autres que P-256. Le problème se produit en mode de déchargement matériel avec échec de la vérification des signatures. Étant donné que le déchargement matériel pour le certificat ECDSA est introduit dans Junos OS version 22.1R1, ce problème ne sera pas observé si vous utilisez Junos OS publié avant la version 22.1R1. De plus, le problème n’est pas visible si le proxy SSL pour le certificat ECDSA est géré dans le logiciel.