アプリケーション識別(AppID)

アプリケーション署名パッケージのインストールの機能強化(ファイアウォールとvSRX SRXシリーズ)— Junos OS リリース 24.2R1以降、以下の変更によりアプリケーション署名パッケージのインストールが強化されました。

• アプリケーション署名パッケージのインストール中に、システムはデータプレーン検証を実行します。この検証では、パッケージ内のエラーがチェックされます。成功すると、インストールが続行されます。エラーが見つかった場合、インストールは停止し、以前のアクティブなバージョンに戻ります。

• シャーシ クラスタ セットアップを使用する場合、システムはまずプライマリ ノードにアプリケーション シグネチャ パッケージをインストールし、問題や問題がないかチェックします。検証が成功すると、セカンダリノードへの同じパッケージのインストールに進みます。

• 自動ロールバック機能により、システムは以前に動作していたバージョンのアプリケーション署名パッケージに戻すことができるようになりました。さらに、アプリケーション署名パッケージのインストール中に問題が発生した場合に、以前に指定されたロールバックバージョンが保持されます。

新しい機能強化により、必要に応じて既知の作業バージョンに戻すことで、スムーズな移行が保証されます。

「アプリケーションを識別するためのアプリケーションシグネチャ」を参照してください。

CASBサポート(SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX3.0)—JunosリリースOS 24.2R1以降、SRXシリーズファイアウォールはクラウドアクセスセキュリティブローカー(CASB)をサポートします。

CASBは、使用中のSaaSアプリケーションを検出し、クラウドアプリケーションへのアクセスを保護および管理するための可視性と緻密な制御を提供します。SRXシリーズファイアウォールでは、CASBは、以下のクラウドアプリケーションのセットに対してインラインアクティビティ制御を提供します。

• 箱
• Dropbox
• Salesforce
• Google ドキュメント
• OneDrive
• SharePoint
• スラック
• Gmailの

[クラウドアクセスセキュリティブローカー(CASB)ポリシー]を参照してください。

SSLプロキシの機能拡張(SRXシリーズファイアウォールおよびvSRX3.0)— Junos OS リリース 24.2R1以降、SRXシリーズファイアウォール上のSSLプロキシに以下の拡張機能が導入されています。

• SSL 開始時の SNI 拡張のサポート (SSL-I)。
• クライアント証明書検証のための SSL-I での証明書チェーンのサポート。
• P-256 に加えて、SSL プロキシ プロファイルの P-384、P-512 EC グループをサポートします。
• 非プロキシモードでのSSL開始およびSSL終了プロファイル用の新しいECDSA暗号のサポート:
  • ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • ECDHE_ECDSA_WITH_CHACHA20_POLY1305
• SSL 設定のための新しい syslog メッセージ。
  • SSL_CONFIG_MEMORY_ALLOCATION_FAILURE— メモリ割り当ての場合
  • SSL_CONFIG_PROFILE_PROCESS_ERR —SSL プロファイル処理の場合
  • SSL_CONFIG_CERT_PROCESS_ERR— SSL 証明処理用。
  • SSL_GLOBAL_CONFIG_PROCESS_ERR:SSL グローバル設定の場合。
  • SSL_CONFIG_PKI_IPC_ERR - SSL-PKI の IPC 通信用

  [ Cipher Suites for SSL Proxy.] を参照してください。