ハードウェア
-
新しいSRX4300ファイアウォール—Junos OS リリース24.2R1より、ミッドレンジSRX4300ファイアウォールが導入されました。SRX4300ファイアウォールは、次世代ファイアウォール機能と高度な脅威検出および緩和策を提供します。このファイアウォールは、小規模エンタープライズのエッジ、キャンパスエッジ、データセンターエッジファイアウォール、分散型エンタープライズユースケース向けのセキュアVPNルーターの導入に最適です。
表 1: SRX4300 ファイアウォールでサポートされる機能 特徴
形容
シャシ
-
以下を含むシャーシと現場交換可能ユニット(FRU)の管理サポート:
-
センサによる温度閾値監視
-
電源ユニット(PSU)制御
-
PIC検出
-
ファブリック管理
-
EMポリシーに従ったファン速度調整
[周囲 温度 と シャーシレベルのユーザーガイドの設定を参照してください。
-
シャーシ クラスタ
-
ISSU(インサービスソフトウェアアップグレード)と、メディアアクセス制御セキュリティ(MACsec)によるデュアルコントロールリンクのサポート
[シャーシ クラスタでの インサービス ソフトウェア アップグレード と MACsec(メディア アクセス制御セキュリティ)を使用したシャーシ クラスタのアップグレードを参照してください。]
サービスクラス(CoS)
-
CoSのサポート
[ サービス クラスについてを参照してください。
ハードウェア
-
SRX4300は、以下のポートを備えた 1-U シャーシです。
-
8 個の 10 マルチレート ギガビット イーサネット インターフェイス(mge)BASE-T ポート
-
10ギガビットイーサネット(GbE)SFP+ポート8個
-
4 つの 25GbE SFP28 ポート
-
6 個の 100GbE QSFP28 ポート
-
2 つの 1GbE SFP HA ポート
すべてのポートはMACsec対応で、ACとDCの両方のバリエーションをサポートします。
SRX4300 ハードウェアをインストールし、ソフトウェアの初期設定、定期メンテナンス、トラブルシューティングを実行するには、 SRX4300 ファイアウォール ハードウェア ガイドを参照してください。
[任意のプラットフォームの機能の完全なリストについては、 機能エクスプローラー を参照してください。
-
高可用性(HA)と耐障害性
-
BFDのサポート
-
最大3 x 300ミリ秒(msec)の障害検出時間をサポート
-
最大100のBFDセッションをサポート
[ ネットワーク障害検出を高速化するためのスタティックルートのBFDについて および BFDがネットワーク障害を検出する方法についてを参照してください。]
-
-
マルチノード高可用性は、ノードローカルトンネルの導入において、自動検出 VPN(ADVPN)をサポートします。
ノードローカルトンネルは、VPN ピアデバイスから設定内の両方のノードに個別のトンネルを提供することで、マルチノードの高可用性を強化します。ADVPN を使用すると、スポーク間で VPN トンネルを動的に確立できます。ノードローカルトンネルの導入でADVPNとマルチノード高可用性を組み合わせることで、堅牢なネットワーク接続、効率的なリソース利用、シームレスなフェイルオーバー機能が確保されます。
[ マルチノード高可用性における IPSec VPN サポートを参照してください。
-
ルーティング、ハイブリッド、デフォルトゲートウェイモードでのマルチノード高可用性のサポート
[ 「マルチノード高可用性」を参照してください。
-
次のハードウェアコンポーネントに対して、プラットフォームソフトウェアの耐障害性サポートを提供します。
-
CPU
-
PCI(Peripheral Component Interconnect)
-
記憶
-
ソリッドステートデバイス(SSD)
-
集積回路間(I2C)
-
温度センサー
-
電圧センサー
-
扇
-
1+1冗長モードのPSU(電源ユニット)
ハードウェア コンポーネントに障害が発生すると、Junos OS ソフトウェアは以下を実行します。
-
タイムスタンプ、モジュール名、コンポーネント名などの障害の詳細を含むメッセージをログに記録します。
-
該当する場合、アラームを発生または解除します。
-
LEDを点灯させてFRU障害を示します。
-
自己修復やコンポーネントのサービス停止などのローカルアクションを実行します。
[ シャーシレベルのユーザーガイドを参照してください]
-
インターフェイス
-
インターフェイスサポートには、以下のデフォルト速度を持つ4つのPICが含まれます。
-
PIC 0、10Gbps (銅線)
-
PIC 1、10 Gbps(SFP+)
-
25Gbps のPIC 2(SFP28)
-
100Gbps 搭載のPIC 3(QSFP28)
Junos OSはデフォルトでPIC0を作成します。SFP+、SFP28、QSFP28 トランシーバをそれぞれ挿入することで、PIC 1、PIC 2、PIC 3 インターフェイスを作成できます。
[「 SRXシリーズファイアウォールのポートスピード」を参照]
-
-
SFP28 ポートでの混合速度のサポート。
PICモードでは、2つのオプションを設定できます。1GbE/10GbEの組み合わせと25GbE。
[「 SRXシリーズファイアウォールのポートスピード」を参照]
Junos Telemetry Interface(JTI)
-
基本的なJTIセンサーと新しいフロー監視センサーを使用して、デバイスからコレクターにデータをストリーミングします。Junos OS は、以下のフローセンサーをサポートしています。
-
PIC CPU使用率 /junos/security/spu/cpu
-
フロー セッションとフロー パケット /junos/security/spu/flow
-
論理システムのフロー セッションとフロー パケット /junos/security/spu/flow/lsys
[状態センサーについては、 Junos YANG データ モデル エクスプローラーを参照してください。
-
レイヤー 7 セキュリティ機能
-
APBR(Advanced Policy-based Routing)のサポート
[ 高度なポリシーベースのルーティングを参照してください。]
-
アプリケーション識別(AppID)のサポート
[ アプリケーション識別を参照]
-
AppQoE(Application Quality of Experience)のサポート
-
アプリケーションのサービス品質(AppQoS)のサポート
[ アプリケーション QoS を参照]
-
コンテンツセキュリティのサポート
[ コンテンツ セキュリティの概要を参照してください。
-
侵入検出および防止(IDP)のサポート
[侵入 検出および防御の概要を参照してください。
-
Juniper ATP Cloudのサポート
[ 「ファイル スキャンの制限」を参照してください。
-
ジュニパーネットワークスのディープパケットインスペクションデコーダー(JDPI)に対応
[ 「Juniper Networks Deep Packet Inspection-Decoder (JDPI-Decoder)」を参照してください]
-
SSLプロキシのサポート
[ SSL プロキシーを参照]
MACsec
-
以下の暗号化を使用した物理インターフェイスでの静的 CAK モードでの MACsec のサポート:
-
GCM-AES-128
-
GCM-AES-256
-
GCM-AES-XPN-128
-
GCM-AES-XPN-256
この機能は、チャネル化されたポートとスイッチ間接続でサポートされます。
[ MACsecの設定を参照]
-
ネットワーク管理と監視
-
ネットワーク上を移動するリアルタイムデータパケットのためのフィルターベースの入力しますのサポート。データパスのデバッグのサポートはまだ利用できません。
リモート アクセス
-
Juniper Secure Connectを使用したリモートアクセスVPNに対応
[『Juniper Secure Connect管理者ガイド』を参照してください。
サービス アプリケーション
-
アプリケーション層ゲートウェイ(ALG)のサポート
[ ALGの概要を参照してください。
-
IPSec VPN サービスの iked プロセスを実行するファイアウォールでの IPv6 アドレスを使用した ADVPN 設定のサポート
[ 自動検出 VPN を参照してください。
-
IPSec VPN サービス向け ChaCha20-Poly1305 認証済み暗号化アルゴリズムのサポート
[ プロポーザル(セキュリティIKE) と プロポーザル(セキュリティIPsec)を参照してください。
-
IPSec VPN サービスの iked プロセスを実行するファイアウォールで、st0 P2MP インターフェイス上で PIM スパース モードを使用した iked プロセスを使用した AutoVPN および ADVPN のマルチキャスト トラフィックのサポート。PIM スパース モードで IPv4 マルチキャストをサポートします。
-
DNSのサポート
[ DNSの理解と設定、 DNS ALG、 DNSプロキシの概要、 アドレス帳のDNS名、 およびDNSSECの概要を参照してください。
-
ユーザー認証のサポート
[ 「ユーザー認証の概要」を参照してください。
-
セキュリティポリシーのサポート
[ セキュリティ ポリシーの設定を参照してください。
-
セキュリティゾーンのサポート
[ セキュリティゾーンを参照してください。]
-
ネットワークアドレス変換(NAT)のサポート
[ NAT設定の概要を参照してください。
-
攻撃の検知と防止のための画面オプションのサポート
[ 攻撃の検出と防止のための画面オプションを参照してください。
-
トラフィック処理のサポート
[「 SRXシリーズファイアウォールでのトラフィック処理の概要」を参照してください]
-
統合型ユーザー ファイアウォールのサポート
[ 統合型ユーザーファイアウォールの設定を参照してください。
- iked プロセスによる IPSec VPN のサポート。ポリシーベースVPNおよびグループVPNのサポートはまだ利用できません。
[ 「IPSec VPN 設定の概要」を参照してください。
-
PowerMode IPsec(PMI)のサポート
[ PowerMode IPsec を参照]
-
DHCP のサポート
[ DHCPの概要を参照してください。
-
GTP および SCTP のサポート
[ 「GTP トラフィックのモニタリング と SCTP の概要」を参照してください。
-
オンボックスレポートのサポート
[ レポート(セキュリティログ)を参照してください。]
-
インライン アクティブ フロー監視のサポート
[インライン アクティブ フロー監視についてを参照してください。
-
TWAMP のサポート
[ Understanding Two-Way Active Measurement Protocolを参照してください。
-
RPMのサポート
[「SRXデバイスのリアルタイムパフォーマンス監視」を参照]
-
論理システムのサポート
[ 論理システムの概要を参照してください。
ソフトウェアのインストールとアップグレード
-
BIOS、セキュアブート、ブートローダーのサポート
[ セキュアブートとブートローダーを参照]
-
jfirmware のサポート
[ ファームウェアのインストールとアップグレード、 システムファームウェアのアップグレードの要求、および システムファームウェアの表示を参照してください。
-
セキュアなゼロタッチプロビジョニング(ZTP)のサポート
[ セキュアなゼロタッチプロビジョニングを参照]
ユーザーアクセスと認証管理
高度なマルウェア対策 (AAMW) 保護のためのトラステッド プラットフォーム モジュール (TPM) ベースの証明書のサポート TPM ベースの証明書を使用するには、次のようにします。
-
デバイスは、デバイスの起動および再起動操作中に PKI を使用して TPM ベースの証明書を読み込みます。TPM ベースの証明書IDを表示するには、
idev-id
コマンドを使用しますshow security pki node-local local-certificate certificate-id idev-id
。 -
SSLイニシエーションは、トランスポート層セキュリティ(TLS)接続の証明書を使用してデバイスを認証します。コマンドを使用して オプション
tpm
set services ssl initiation profile profile-name crypto-hardware-offload
を設定できます。
show security pki node-local local-certificate and profile(SSL 開始)を参照してください。
-