Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

変更点

SRXシリーズのこのリリースでの変更点について説明します。

ネットワークの管理と監視

  • 存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除した場合operation="delete"のNETCONFサーバーの<rpc-error>要素への変更—ターゲット設定に存在しない構成要素を削除するために操作が使用したoperation="delete"場合に<edit-config>NETCONFサーバーが返す応答を変更<rpc-error>しました。エラーの重大度は警告ではなくエラーであり、要素には<rpc-error>要素<error-tag>data-missing</error-tag>と要素<error-type>application</error-type>が含まれます。

  • RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での運用に対する <validate> RPC 応答の変更—階層レベルで ステートメント[edit system services netconf]を設定するrfc-compliantと、NETCONF サーバーは操作に<validate>応答して または <ok/> <rpc-error> 要素のみを出力します。以前のリリースでは、RPC 応答には 要素も含まれています<commit-results>

ルーティングポリシーおよびファイアウォールフィルター

  • VPN(SRX、vSRX、NFXプラットフォーム)経由のトラフィック損失防止に関連するコミット警告メッセージを取得するためのSyslog:VPNフラップや障害イベントの発生についてDAX_ITEM_DELETE_ALL、MGDがIKEDまたはKMDプロセスに通知する原因となった、などのwarning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed設定コミット警告warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies 。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。

Vpn

  • show security pki local-certificateコマンド(SRXシリーズ、vSRX 3.0)の出力における代替サブジェクト名の拡張:複数のFQDNを持つ証明書に、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが Alternate subject フィールドに表示されるようになりました。これらの機能強化は、 コマンドの出力 show security pki local-certificate に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。

    [ show security pki local-certificate(View)を参照してください。

  • IPsecセキュリティアソシエーション(MXシリーズ、SRXシリーズ、vSRX 3.0)向けの広範なオプションの導入:コマンドにshow security ipsec security-associationsオプションextensiveを導入しました。すべてのトンネル イベントとの IPsec セキュリティ アソシエーションを表示するには、このオプションを使用します。既存のdetailオプションを使用して、最大 10 個のイベントを時系列の逆順に表示します。

    [ show security ipsec security-associationsを参照してください。

  • セカンダリ ノード(SRXシリーズ)のIKE統計情報をクリアするためのIKE設定管理の機能強化:以前のJunos OSリリースでは、シャーシ クラスタ モードで、ike-config-management(IKEMD)プロセスがセカンダリ ノード上の管理要求に応答しませんでした。コマンド clear security ike statsは失敗し、セカンダリ ノードでエラー メッセージが表示されます error: IKE-Config-Management not responding to management requests 。Junos OSリリース22.4R3以降、コマンドはセカンダリノードでエラーなしで正常に実行されます。

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:

    • P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

    • RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。