Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Les VPN

  • Prise en charge des tunnels en mode passif (SRX4600) : activez cette fonctionnalité à l’aide de l’instruction set security ipsec vpn vpn-name passive-mode-tunnelingde configuration. Cette fonctionnalité vous permet d’effectuer un tunnelisation IPsec des paquets mal formés, en contournant les vérifications IP actives, les vérifications TTL et la fragmentation habituelles.

    Voir [passive-mode-tunneling (security), show security ipsec security-associations, et show security ipsec inactive-tunnels.]

  • Qualité de service améliorée à l’aide de DSCP par SA dans un VPN IPsec avec processus iked (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX3.0) : nous prenons en charge la classification du trafic avec DSCP (Differentiated Services Code Point) par association de sécurité (SA) dans les VPN IPsec à l’aide du processus iked. Cette fonctionnalité est disponible lorsque vous exécutez le service VPN IPsec sans la configuration du mode PowerMode IPsec (PMI). Il permet à vos passerelles VPN de négocier des SA enfants distinctes pour chaque type de CoS.

    [Voir VPN IPsec basés sur CoS, afficher les associations de sécurité ipsec et afficher les statistiques ipsec de sécurité.]

  • Intégration de Juniper® Secure Connect avec JIMS (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX 3.0) : les pare-feu SRX Series peuvent envoyer les événements d’état de connexion VPN d’accès distant de Juniper Secure Connect à Juniper® Identity Management Service (JIMS) à l’aide de la solution PTIM (push to identity management). Par défaut, Junos OS active cette fonctionnalité lorsque vous l’utilisez identity-management au niveau de la [edit services user-identification] hiérarchie.

    Vous pouvez utiliser les options suivantes pour configurer cette fonctionnalité :

    • no-push-to-identity-management au niveau de la [edit security ike gateway gateway-name aaa] hiérarchie pour désactiver la communication du processus iked avec JIMS.

    • user-domain au niveau de la [edit security remote-access profile realm-name options] hiérarchie pour configurer éventuellement le nom d’alias de domaine.

    Voir [Intégration de Juniper Secure Connect avec JIMS, gestion des identités et profil (Juniper Secure Connect).]

  • Migration de VPN basés sur des stratégies vers des VPN basés sur le routage (cSRX, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX3.0) : migrez les VPN basés sur des stratégies vers des VPN basés sur le routage lorsque vous exécutez le service VPN IPsec avec le processus iked. Vous devez configurer plusieurs objets VPN sur une interface logique point à point st0 partagée pour effectuer la migration.

    [Voir Interface st0 point à point partagée et migration de VPN basés sur des stratégies vers des VPN basés sur le routage.]

  • Authentification des utilisateurs basée sur SAML dans Juniper® Secure Connect (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX 3.0) : Juniper Secure Connect VPN d’accès distant prend en charge l’authentification des utilisateurs à l’aide du langage SAML (Security Assertion Markup Language) version 2. Pour effectuer l’authentification des utilisateurs distants à l’aide de SAML, exécutez le service VPN à l’aide du processus iked sur votre pare-feu et assurez-vous que vous disposez de l’application Juniper Secure Connect prise en charge par SAML.

    Configurez les paramètres du fournisseur de services SAML et du fournisseur d’identité au niveau de la [edit access saml] hiérarchie. Activez les paramètres SAML dans la configuration du profil d’accès à l’aide de la set access profile profile-name authentication-order saml commande.

    Voir [Authentification SAML dans Juniper Secure Connect, saml, ordre d’authentification (profil d’accès), saml (profil d’accès), options saml, show network-access aaa saml assertion-cache, show network-access aaa assertion-cache, show network-access aaa statistics, request network-access aaa saml load-idp-metadata, request network-access aaa saml export-sp-metadata, clear network-access aaa saml assertion-cache, Effacer les métadonnées IDP SAML d’accès au réseau et effacer les statistiques AAA d’accès réseau.]

  • Authentification de signature dans IKEv2 (cSRX, MX240, MX304, MX480, MX960, MX10004, MX10008, SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX 3.0) : sécurisez votre service VPN IPsec qui s’exécute à l’aide du processus iked avec l’authentification de signature IKEv2 basée sur RFC 7427. Activez cette fonctionnalité à l’aide des options suivantes :

    • digital-signature: configurez cette option au niveau de la [edit security ike proposal proposal-name authentication-method] hiérarchie pour activer la méthode d’authentification de signature. Vous ne pouvez utiliser cette méthode que si votre appareil échange un algorithme de hachage de signature avec son homologue.

    • signature-hash-algorithm: configurez cette option au niveau de la [edit security ike proposal proposal-name] hiérarchie pour permettre à l’appareil homologue d’utiliser un ou plusieurs algorithmes de hachage de signature spécifiques (SHA1, SHA256, SHA384 et SHA512). Notez que les homologues IKE peuvent utiliser différents algorithmes de hachage dans différentes directions.

    Voir [Authentification de signature dans IKEv2, proposition (IKE de sécurité) et algorithme de hachage de signature (IKE de sécurité).]