Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

変更点

vSRX仮想ファイアウォールのこのリリースの変更点について説明します。

J-Web

  • セキュリティパッケージURLの更新(SRXシリーズファイアウォールおよびvSRX3.0):Junos OSリリース23.4R1以降、J-Webで、 デバイス管理 > セキュリティパッケージ管理 > URLカテゴリ設定でセキュリティパッケージのURLを更新しました。このURLを使用して、Juniper NextGenまたはJuniper Enhanced Web Filtering パッケージをダウンロードできます。

    [ URLカテゴリの設定を参照してください。

  • 内部SAは、現在、内部SA暗号化(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800、vSRX3.0)と呼ばれています。Junos OSリリース23.4R1以降、J-Webでは、グローバル設定で、内部SAをInter SA暗号化に、およびネットワーク>VPN>IPsec VPN>グローバル設定キーするための内部SAキーに名称変更されました。

    [ IPsec VPNのグローバル設定を参照してください。

  • 名前は識別子と呼ばれるようになりました(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4600、SRX5400、SRX5800、vSRX3.0)—Junos OSリリース23.4R1以降、J-WebのJ-Webでは、セキュリティサービス>ファイアウォール認証>アドレスプールの名前を識別子に、ネットワークアドレスをサブネットに名称変更しました。

    [ アドレスプールページについてを参照してください。

  • アドレス範囲を名前付きアドレス範囲(SRXシリーズファイアウォールおよびvSRX3.0)と呼ぶようになりました—Junos OSリリース23.4R1以降、J-Webでは、セキュリティサービス>ファイアウォール認証>アドレスプールアドレス範囲の名前を名前付きアドレス範囲に変更しました。

    [ アドレスプールページについてを参照してください。

  • ルーティングインスタンスをソース仮想ルーター(SRXシリーズファイアウォールおよびvSRX3.0)と呼ぶようになりました—Junos OSリリース23.4R1以降、J-Webでは、セキュリティサービス>ファイアウォール認証>アクセスプロファイル>アクセスプロファイルの作成>Radiusサーバーとセキュリティサービスの作成> ファイアウォール認証>アクセスプロファイル>アクセスプロファイルの作成>LDAPサーバーの作成

    [ アクセス プロファイルの追加を参照してください。

Junos XML APIとスクリプティング

  • およびrequest-commit-server-start(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)のrequest-commit-server-pauseXML出力タグが変更されました—コマンド(request-commit-server-pauseRPC)とrequest system commit server startコマンド(request-commit-server-startRPC)のrequest system commit server pauseXML出力が変更されました。ルート要素は <commit-server-operation> <commit-server-information>ではなく で、 タグの名前は <output> に変更されます<message>

ネットワークの管理と監視

  • NETCONF <copy-config> オペレーションは file:// 、ファイルへのコピー操作用の URI をサポートします(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vSRX)—NETCONF <copy-config> オペレーションは、 file:// URI が <url> ターゲットである場合に URI の使用をサポートし、ローカル ファイルの絶対パスを指定します。

    [ <copy-config>を参照してください。

Vpn

  • IPsecセキュリティアソシエーション(MXシリーズ、SRXシリーズ、vSRX 3.0)向けの広範なオプションの導入:コマンドにshow security ipsec security-associationsオプションを導入しextensiveました。すべてのトンネル イベントとの IPsec セキュリティ アソシエーションを表示するには、このオプションを使用します。既存のdetailオプションを使用して、最大 10 個のイベントを時系列の逆順に表示します。

    show security ipsec security-associationsを参照してください

  • クラウドでホストされたハードウェアセキュリティモジュール(HSM)を使用するGCP展開のvSRXインスタンスでは、GCP HSMの接続が失われると、show security hsm statusコマンドが機能するまでに最大2分かかることがあります。

  • クリアおよび再生成キー ペア コマンドの出力の機能強化(vSRX 3.0) -- ハードウェア セキュリティ モジュール(HSM)を使用してセキュア データを管理するために、同じキー ペアをクリアして再生成する場合の、以下のコマンドの出力が変更されました。

    Junos OS 23.4R1リリース以降、コマンドは次のようになります。

    • clear security pki key-pair certificate-id certificate-id-name以前のリリースで表示されていたメッセージKey pair deleted successfullyとは対照的に、 というメッセージが表示されますKey pair deleted successfully from the device. Key pair will be purged from the keyvault based on it's own preferences
    • request security pki generate-key-pair certificate-id certificate-id-name以前のリリースで表示されていたメッセージerror: Failed to generate key pairとは対照的に、 メッセージが表示されますerror: Failed to generate key pair. If the keypair was created and deleted before, please ensure that the keypair has been purged from the keyvault

    これらの変更は、キーペアの削除に関するクラウドプロバイダーの制限 (存在する場合) に合わせて行いました。

  • CA 証明書検証の失敗に対処するための機能拡張(SRX シリーズおよび vSRX 3.0)- CA 証明書の場合、PKI が を使用して HTTP 1.0 requestorNameで OCSP リクエストを送信するため、設定ステートメントset security pki ca-profile ISRG revocation-check crl urlを使用すると、Lets Encrypt サーバーで証明書の検証が失敗します。デフォルトで を使用しない HTTP 1.1 requestorName を使用して OCSP リクエストを送信するために、動作を変更しました。

    • HTTP 1.1 を使用する場合に requestorName を送信するには、階層レベルで hidden オプションadd-requestor-name-payloadedit security pki ca-profile ca-profile-name revocation-check ocspを使用します。

    • HTTP 1.0 を使用して OCSP 要求を送信するには、階層レベルで hidden オプションuse-http-1.0edit security pki ca-profile ca-profile-name revocation-check ocspを使用して下位互換性を確保します。

      [ 失効チェック (セキュリティ PKI) を参照してください。

  • show security ipsec security-associations detailコマンドの出力の機能強化(SRXシリーズおよびvSRX 3.0)- ファイアウォールが新しいikedプロセスでIPsec VPNサービスを実行する際の、 階層レベルで有効にedit security ipsec vpn vpn-namevpn-monitorしたときの出力show security ipsec security-associations detailを強化しました。出力は、 コマンド出力に と値を表示しますthresholdinterval。Junos OSリリース23.4R1以降、これらの変更が見られます。

    [ show security ipsec security-associationsを参照してください。

  • コマンド(SRXシリーズおよびvSRX 3.0)の show security ipsec XMLタグの変更:で以下のコマンド show security ipsecのXMLタグを変更しました。

    コマンド

    新しい XML タグ

    古い XML タグ

    show security ipsec tunnel-events-statistics |display xml validate

    ipsec-tunnel-event-statistics

    usp-ipsec-tunnel-event-statistics-information

    show security ipsec inactive-tunnels detail | display xml validate

    ipsec-unestablished-tunnel-information

    ipsec-security-association-information

    Junos OSリリース23.4R1以降、新しいXMLタグを使用すると、 show security ipsec commands 有効なXMLが出力されます。