変更点

SRX1600 デバイス (SRX1600) でサポートされている Avira アンチウィルス スキャン モード - SRX1600デバイスは、ライト モードでのみ Avira アンチウイルス スキャンをサポートし、ヘビー モードはサポートしません。そのため、デバイスのedit chassis階層レベルで onbox-av-load-flavorSRX1600 ステートメントを削除しました。

「例: Avira アンチウイルスを構成する」を参照してください。

URLチェック操作コマンド更新(SRXシリーズ):Junos OSリリース23.4R1以降、 test security utm web-filtering url-check テストコマンドを使用してURLのカテゴリーとレピュテーションをチェックできるようになりました。このリリースの前には、 test security utm enhanced-web-filtering url-check test コマンドを使用して、URL のカテゴリとレピュテーションをチェックしていました。

テストセキュリティUTM拡張WebフィルタリングURLチェックを参照してください。

セキュリティパッケージURLの更新(SRXシリーズファイアウォールおよびvSRX3.0):Junos OSリリース23.4R1以降、J-Webで、 デバイス管理 > セキュリティパッケージ管理 > URLカテゴリ設定でセキュリティパッケージのURLを更新しました。このURLを使用して、Juniper NextGenまたはJuniper Enhanced Web Filtering パッケージをダウンロードできます。

[ URLカテゴリの設定を参照してください。

内部SAは、現在、内部SA暗号化(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800、vSRX3.0)と呼ばれています。Junos OSリリース23.4R1以降、J-Webでは、グローバル設定で、内部SAをInter SA暗号化に、およびネットワーク>VPN>IPsec VPN>グローバル設定でキーするための内部SAキーに名称変更されました。

[ IPsec VPNのグローバル設定を参照してください。

名前は識別子と呼ばれるようになりました(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800、vSRX3.0)—Junos OSリリース23.4R1以降、J-WebのJ-Webでは、セキュリティサービス>ファイアウォール認証>アドレスプールの名前を識別子に、ネットワークアドレスをサブネットに名称変更しました。

[ アドレスプールページについてを参照してください。

アドレス範囲を名前付きアドレス範囲(SRXシリーズファイアウォールおよびvSRX3.0)と呼ぶようになりました—Junos OSリリース23.4R1以降、J-Webでは、セキュリティサービス>ファイアウォール認証>アドレスプールのアドレス範囲の名前を名前付きアドレス範囲に変更しました。

[ アドレスプールページについてを参照してください。

ルーティングインスタンスをソース仮想ルーター(SRXシリーズファイアウォールおよびvSRX3.0)と呼ぶようになりました—Junos OSリリース23.4R1以降、J-Webでは、セキュリティサービス>ファイアウォール認証>アクセスプロファイル>アクセスプロファイルの作成>Radiusサーバーとセキュリティサービスの作成> ファイアウォール認証>アクセスプロファイル>アクセスプロファイルの作成>LDAPサーバーの作成。

[ アクセス プロファイルの追加を参照してください。

request-commit-server-pauseおよびrequest-commit-server-start(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)のXML出力タグを変更—request system commit server pauseコマンド(request-commit-server-pause RPC)とrequest system commit server startコマンド(request-commit-server-start RPC)のXML出力を変更しました。ルート要素は <commit-server-information> ではなく<commit-server-operation>され、<output> タグの名前は <message> に変更されます。

NETCONF <copy-config>オペレーションは、ファイルへのコピー操作用のfile:// URIをサポートします(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)—NETCONF<copy-config>オペレーションは、<url>がターゲットで、ローカルファイルの絶対パスを指定する場合に、file:// URIの使用をサポートします。

[ <copy-config>を参照してください。

file compare files コマンドを使用してファイルを表示するには、ユーザーにmaintenance権限が必要です — Junos OS および Junos OS Evolved の file compare files コマンドを使用するには、ユーザーにmaintenance権限を持つログインクラスが必要です。

[ ログインクラスの概要を参照してください。

ikedがIPsec VPN(SRXシリーズ)で有効な場合、kmdインスタンスオプションが無効になる—Junos OSリリース23.4R1で、IPsec VPN機能を実行するために、junos-ikedパッケージを使用してikedプロセスを有効にすると、オプション kmd-instance が削除されました。このオプションは、IPsec VPN機能にkmdプロセスがある場合に適用されます。

[ show security ipsec security-associationsを参照してください。

IKEDプロセスを使用したshow security ike saコマンド(SRXシリーズ)でFPC、PIC、KMDインスタンスに関連するオプションが無効である:IKEDプロセスを使用してIPsec VPNを実行するためのパッケージjunos-ikeインストールすると、オプションfpc、pic、およびkmd-instanceが階層show security ike security-associations表示されません。これらのオプションは無効で、Junos OSリリース23.4R1のCLIから削除されています。つまり、SRXシリーズファイアウォールでIKEDプロセスを実行しているIPsec VPNでshow security ike sa fpc 0 pic 0コマンドを使用することはできません。

[ show security ike security-associationsを参照してください。]

セカンダリ ノード(SRXシリーズ)のIKE統計情報をクリアするためのIKE設定管理の機能強化:以前のJunos OSリリースでは、シャーシ クラスタ モードで、ike-config-management(IKEMD)プロセスがセカンダリ ノード上の管理要求に応答しませんでした。コマンド clear security ike stats は失敗し、セカンダリ ノードにエラー メッセージ error: IKE-Config-Management not responding to management requests が表示されます。Junos OSリリース22.4R3以降、コマンドはセカンダリノードでエラーなしで正常に実行されます。

IPsecセキュリティ アソシエーション(MXシリーズ、SRXシリーズ、vSRX 3.0)向けの広範なオプションの導入:show security ipsec security-associationsコマンドにextensiveオプションを導入しました。すべてのトンネル イベントとの IPsec セキュリティ アソシエーションを表示するには、このオプションを使用します。既存の [detail] オプションを使用して、最大 10 個のイベントを時系列の逆順に表示します。

[ show security ipsec security-associationsを参照してください。

CA 証明書の検証の失敗に対処するための機能拡張(SRX シリーズおよび vSRX 3.0)- CA 証明書の場合、設定ステートメント set security pki ca-profile ISRG revocation-check crl url を使用すると、PKI が requestorName を使用して HTTP 1.0 で OCSP リクエストを送信するため、Lets Encrypt サーバーで証明書の検証が失敗します。デフォルトで requestorName なしでHTTP 1.1を使用してOCSPリクエストを送信するために、動作を変更しました。

• HTTP 1.1 を使用しているときにrequestorNameを送信するには、edit security pki ca-profile ca-profile-name revocation-check ocsp階層レベルで hidden オプション add-requestor-name-payloadを使用します。

• HTTP 1.0 を使用して OCSP 要求を送信するには、edit security pki ca-profile ca-profile-name revocation-check ocsp階層レベルで hidden オプション use-http-1.0を使用して下位互換性を確保します。

  [ 失効チェック (セキュリティ PKI) を参照してください。

シャーシクラスタ(SRXシリーズ)のIKE設定管理コマンドの機能強化:Junos OSの以前のリリースでは、シャーシクラスタモードで、以下のコマンドが失敗し、セカンダリノードにエラーメッセージ error: IKE-Config-Management not responding to management requests が発生しました。

• セキュリティ IKE の統計情報を表示する

• show security ike sa ha-link-encryption

• show security ipsec sa ha-link-encryption

• show security ipsec inactive-tunnels ha-link-encryption

• クリアセキュリティIKE SA HAリンク暗号化

• クリアセキュリティIPsec SAhaリンク暗号化

これらのコマンドは、セカンダリ ノードではなく、プライマリ ノードでのみ実行する必要があります。Junos OSリリース23.4R1以降、セカンダリノードには表示する出力がないため、エラーメッセージは表示されません。

show security ipsec security-associations detailコマンドの出力の機能強化(SRXシリーズおよびvSRX 3.0):edit security ipsec vpn vpn-name階層レベルでvpn-monitorを有効にした場合、ファイアウォールが新しいikedプロセスでIPsec VPNサービスを実行している場合のshow security ipsec security-associations detailの出力を強化しました。出力では、コマンド出力の threshold 値と interval値が表示されます。Junos OSリリース23.4R1以降、これらの変更が見られます。

[ show security ipsec security-associationsを参照してください。

show security ipsecコマンド(SRXシリーズおよびvSRX 3.0)のXMLタグの変更 - show security ipsecで以下のコマンドのXMLタグを変更しました。

Junos OSリリース23.4R1以降、新しいXMLタグを使用することで、 show security ipsec commands が有効なXMLを出力することがわかります。