Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リリース 21.4R3 の変更

フローベースのパケットベースの処理

  • 失効チェック用OCSPサーバーと接続できない(SRXシリーズデバイスとvSRX)— OCSPを使用して失効チェックを実行する場合、SRXデバイスは、OCSPサーバーURLにDNSサーバーが解決できないドメイン名が含まれている場合、OCSPサーバーとの接続を試みません。この場合、SRXデバイスがOCSPサーバーへの接続を確立できず、次の設定オプションのいずれかが設定されている場合、OCSP失効チェックは、CRL:uの使用を許可またはフォールバックします。

    • 設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害の無効化

    • 設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害フォールバック-crl

    SRXデバイスがOCSPサーバーへの接続を確立できず、これらのオプションが設定されていない場合、証明書の検証は失敗します。

    [ ocsp(セキュリティ PKI)を参照してください。]

  • TCP-MSS オーバーライド優先度の変更(SRX シリーズおよび vSRX 3.0)

    SRX シリーズ ファイアウォールおよび vSRX 仮想ファイアウォールでは、伝送制御プロトコルの最大セグメント サイズ(TCP-MSS)が、IPsec シナリオ(GREoIPsec)で上書きされない可能性があります。その結果、TCP-MSS では GREoIPsec トラフィックが変更されないので、ネットワークでフラグメント化が発生する可能性があります。TCP-MSS が GREoIPsec と連携するようにするには、TCP トラフィックに適用される MSS の優先度を以下の順序(最高から最小)で設定してください。

    • gre-ingre-outおよび GREoIPSec TCP トラフィックの方向に基づいて行います。

    • ipsec-vpn GREoIPsec および IPsec トラフィックに対してです。

    • all-tcp すべてのtcpトラフィックに対してです。

ネットワークの管理と監視

  • NETCONF <edit-config> の変更RPC 応答(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)—操作がエラーを返しても <edit-config> 、NETCONF サーバーは RPC 応答で要素を送信 <load-error-count> しません。以前のリリースでは、 <edit-config> RPC 応答には操作が失敗した場合の <load-error-count> 要素が含まれています。

プラットフォームとインフラストラクチャ

  • デバイスは、サーバー証明書チェーンとのセッションを6つ以上ドロップしません。PR1663062

統合脅威管理(UTM)

  • コンテンツ フィルタリング CLI アップデート(SRX シリーズおよび vSRX):コンテンツ フィルタリング CLI の更新情報を以下に示します。

    • コンテンツ フィルタリング ルールの一致条件でサポートされるファイル タイプのリストを調整しました。ファイルタイプのさまざまなバリエーションを一意に表す代わりに、1つの file-type 文字列だけがすべてのバリアントを表すようになりました。したがって、ルール一 show security utm content-filtering statistics 致条件で使用可能な新しいファイル タイプに合わせて出力も更新されます。
    • Junos OS 設定規格にlog合わせて、コンテンツ フィルタリング セキュリティ ロギング オプションseclogの名前を変更しました。
    • コンテンツ フィルタリング セキュリティ ログ メッセージに reason 関連付けられた文字列を言い換えます。

    [ コンテンツフィルタリング(セキュリティUTMポリシー)コンテンツフィルタリング(セキュリティ機能プロファイル)セキュリティutmコンテンツフィルタリング統計を表示するを参照してください。