リリース 21.4R3 の変更
フローベースのパケットベースの処理
-
失効チェック用OCSPサーバーと接続できない(SRXシリーズデバイスとvSRX)— OCSPを使用して失効チェックを実行する場合、SRXデバイスは、OCSPサーバーURLにDNSサーバーが解決できないドメイン名が含まれている場合、OCSPサーバーとの接続を試みません。この場合、SRXデバイスがOCSPサーバーへの接続を確立できず、次の設定オプションのいずれかが設定されている場合、OCSP失効チェックは、CRL:uの使用を許可またはフォールバックします。
-
設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害の無効化
-
設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害フォールバック-crl
SRXデバイスがOCSPサーバーへの接続を確立できず、これらのオプションが設定されていない場合、証明書の検証は失敗します。
[ ocsp(セキュリティ PKI)を参照してください。]
-
-
TCP-MSS オーバーライド優先度の変更(SRX シリーズおよび vSRX 3.0)—
SRX シリーズ ファイアウォールおよび vSRX 仮想ファイアウォールでは、伝送制御プロトコルの最大セグメント サイズ(TCP-MSS)が、IPsec シナリオ(GREoIPsec)で上書きされない可能性があります。その結果、TCP-MSS では GREoIPsec トラフィックが変更されないので、ネットワークでフラグメント化が発生する可能性があります。TCP-MSS が GREoIPsec と連携するようにするには、TCP トラフィックに適用される MSS の優先度を以下の順序(最高から最小)で設定してください。
-
gre-in
gre-out
および GREoIPSec TCP トラフィックの方向に基づいて行います。 -
ipsec-vpn
GREoIPsec および IPsec トラフィックに対してです。 -
all-tcp
すべてのtcpトラフィックに対してです。
-
ネットワークの管理と監視
-
NETCONF
<edit-config>
の変更RPC 応答(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)—操作がエラーを返しても<edit-config>
、NETCONF サーバーは RPC 応答で要素を送信<load-error-count>
しません。以前のリリースでは、<edit-config>
RPC 応答には操作が失敗した場合の<load-error-count>
要素が含まれています。
プラットフォームとインフラストラクチャ
-
デバイスは、サーバー証明書チェーンとのセッションを6つ以上ドロップしません。PR1663062
統合脅威管理(UTM)
-
コンテンツ フィルタリング CLI アップデート(SRX シリーズおよび vSRX):コンテンツ フィルタリング CLI の更新情報を以下に示します。
- コンテンツ フィルタリング ルールの一致条件でサポートされるファイル タイプのリストを調整しました。ファイルタイプのさまざまなバリエーションを一意に表す代わりに、1つの
file-type
文字列だけがすべてのバリアントを表すようになりました。したがって、ルール一show security utm content-filtering statistics
致条件で使用可能な新しいファイル タイプに合わせて出力も更新されます。 - Junos OS 設定規格に
log
合わせて、コンテンツ フィルタリング セキュリティ ロギング オプションseclog
の名前を変更しました。 - コンテンツ フィルタリング セキュリティ ログ メッセージに
reason
関連付けられた文字列を言い換えます。
[ コンテンツフィルタリング(セキュリティUTMポリシー)、 コンテンツフィルタリング(セキュリティ機能プロファイル)、 セキュリティutmコンテンツフィルタリング統計を表示するを参照してください。
- コンテンツ フィルタリング ルールの一致条件でサポートされるファイル タイプのリストを調整しました。ファイルタイプのさまざまなバリエーションを一意に表す代わりに、1つの