Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

変更点

SRXシリーズファイアウォールのこのリリースの変更点について説明します。

アプリケーションセキュリティ

  • アプリケーション シグネチャ パッケージ(SRXシリーズファイアウォールおよび vSRX)show services application-identification status コマンドの出力に、アプリケーション パッケージのバージョンリリース日の誤った日付が表示されていました。コマンドの出力には、最初にインストールされたアプリケーション署名パッケージのリリース日が表示されます。新しいバージョンの後続のインストールでは、署名パッケージのリリース日は更新されません。リリース日は、現在インストールされているものと比較してPBバージョン/エンジンバージョンが変更されている署名パッケージをインストールした場合にのみ正しく更新されます。

    Junos OS リリース 24.2 以降では、コマンド出力に正しい日付が表示されるようになりました。

    show services application-identification status」を参照してください。

  • 3DES-CBC暗号の廃止(SRXシリーズファイアウォールとvSRX):以下の暗号方式のサポートは非推奨です。
    • RSA-3DES-EDE-CBC-SHA
    • ECDHE-ECDSA-3DES-EDE-CBC-SHA

    これらの暗号を設定するオプションは、[edit system services ssh]階層では利用できません。

  • マイクロコードバージョンのIntel CPUを搭載した以下のルーティングエンジンを搭載したJunos 21.4R1以降のプラットフォームでは0x35コンソールに「000: Firmware Bug: TSC_DEADLINE disabled due to Errata ; please update microcode to version: 0x3a (or later)」というエラー警告が表示されます。RE-S-X6-64G、RE-S-X6-128G、REMX2K-X8-64G、RE-PTX-X8-64G、RE-MX2008-X8-64G、RE-MX2008-X8-128G。

インターフェイス

  • Junos OS リリース 24.2R1以降、run show lldp local-information interface <interface-name> | display xml コマンドを実行すると、 lldp-local-info ルートタグと lldp-local-interface-info コンテナタグの下に出力が表示されます。run show lldp local-information interface | display xml コマンドを実行すると、 lldp-tlv-filterlldp-tlv-select の情報が出力の lldp-local-interface-info コンテナタグの下に表示されます。

  • キーワード削除を無効にする(SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M)- set system processesコマンドからwatchdog disableオプションが削除されました。watchdog disable設定はできなくなりました。

  • リアルタイムパフォーマンス監視(SRX1500、SRX1600、SRX2300、SRX4300)の同時プローブ数制限の引き上げ:リアルタイムパフォーマンス監視(RPM)で許可される同時プローブの数を、以前の制限である500から2000に増やしました。[ probe-limit を参照]

Junos OS APIとスクリプト

  • ping RPC の XML 出力への変更(MX480)—RPC XML 出力が YANG スキーマに準拠するように、 junos-rpc-ping YANG モジュールと対応する Junos XML RPC を更新しました。その結果、次の ping RPC の XML 出力を変更しました。

    • <ping>- XML 出力では、<xnm:error> タグや <xnm:warning> タグではなく、<ping-error-message> タグと <ping-warning-message> タグが出力されます。

    • <request-ping-ce-ip>- XML 出力は、 <lsping-results> ルート要素で囲まれています。

    • <request-ping-ethernet>

      • <ethping-results>ルートタグには、受信した各応答の<cfm-loopback-reply-entry>タグまたは<cfm-loopback-reply-entry-rapid>タグが含まれます。以前のリリースでは、1 つのタグですべての応答を囲んでいました。

      • XML出力には、アプリケーション固有のエラータグのみが含まれ、 <xnm:error> タグは省略されます。

      • これで、 <cfm-loopback-reply-entry-rapid> タグが YANG スキーマに反映されます。

    • <request-ping-overlay>- <ping-overlay-results> 要素に新しい子タグ <hash-udp-src-port>が含まれます。

VPN

  • DSA および ECDSA で生成された鍵ペアのダイジェスト オプション機能を修正するための機能強化(SRXシリーズ および vSRX 3.0)--以前のリリースでは、sha-256 digest および request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa) および request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name コマンドを使用して DSA または ECDSA 暗号化を使用してローカルの自己署名証明書を生成すると、生成された署名には常に sha1 ダイジェストが使用されていました。このリリース以降、指定されたダイジェスト sha-256 が署名ダイジェストに使用されます。以下を使用して確認できます。 show security pki local-certificate certificate-id certificate-id-name detail

  • より大きな鍵サイズ(SRXシリーズ)の RSA 鍵ペアを生成する際のエラーに対処するための機能強化 - 以前の Junos OS リリースでは、サイズが 4096 以上の RSA 鍵ペアを生成すると、コマンド request security pki generate-key-pair certificate-id name type rsa size 4096 でエラー メッセージが表示されることがあり、PKID の応答に時間がかかる場合 error: timeout communicating with pki-service daemon ことがあります。Junos OSリリース23.4R1以降、コマンドはこのエラーメッセージなしで正常に実行されます。

  • シャーシ クラスタ(SRXシリーズ)の IKE 設定管理コマンドの機能拡張--以前の Junos OS リリースでは、シャーシ クラスタ モードで、セカンダリ ノードで以下のコマンドがエラー メッセージ error: IKE-Config-Management not responding to management requests で失敗しました。

    • show security ike statistics

    • show security ike sa ha-link-encryption

    • show security ipsec sa ha-link-encryption

    • show security ipsec inactive-tunnels ha-link-encryption

    • clear security ike sa ha-link-encryption

    • clear security ipsec sa ha-link-encryption

    これらのコマンドは、セカンダリノードではなく、プライマリノードでのみ実行する必要があります。Junos OS リリース 23.4R1 以降、セカンダリ ノードには表示する出力がないため、エラー メッセージは表示されません。

  • VPN監視オプション(SRXシリーズおよびvSRX 3.0)のしきい値と間隔オプションのヘルプ文字列説明の強化–設定ステートメント[set security ipsec vpn-monitor-options]で使用可能なthresholdおよびintervalオプションのヘルプ文字列説明を拡張し、デフォルト値を含めました。既定値を含む次の説明が表示されます。

    [ ipsec (セキュリティ)] を参照してください。

  • show security ipsec security-associations detailコマンドの出力の強化(SRXシリーズおよびvSRX 3.0):ファイアウォールが新しいikedプロセスでIPSec VPNサービスを実行するときに、[edit security ipsec vpn vpn-name]階層レベルでvpn-monitorを有効にした場合のshow security ipsec security-associations detailの出力を強化しました。出力には、コマンド出力のthreshold値とinterval値が表示されます。Junos OS リリース 23.4R1 以降、これらの変更に気付くようになります。

    [ show security ipsec security-associations を参照してください。

  • RG0フェイルオーバー後の証明書検証エラーに対処するための機能強化(SRXシリーズ):シャーシクラスタでRG0フェイルオーバーした後、コマンド show services advanced-anti-malware status の出力に、フェイルオーバー前のセカンダリノードでのCRLダウンロード失敗による Requesting server certificate validation ステータスが表示されることがあります。この問題に対処するために機能強化が行われ、次の変更が表示されます。

    • 何回も再試行しても CRL のダウンロードに繰り返し失敗する場合は、CRL が正常にダウンロードされるまで PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection エラー メッセージが表示されます。

    • クラスターがセカンダリ ノードからプライマリ ノードへのフェールオーバーを実行すると、PKI は新しいプライマリ ノードで新しい CRL のダウンロードをトリガーし、証明書の検証に成功します。

  • PPKを使用したIPSec VPN(SRXシリーズおよびvSRX 3.0)の再認証頻度に関する推奨事項—自動検出 VPN(ADVPN)を含むIPSec VPNの場合、耐量子事前共有キー(PPK)暗号化を使用すると、有効期間を選択します.有効な範囲は 180 ミリ秒後に量子キーとネゴシエートされると、iked プロセスは 4 秒後にキー更新を実行してチャネルを保護します。再認証の頻度を 1 に設定した場合、4 秒後に鍵更新は行われません。そのため、最初の再認証カウントは PPK のデフォルトのキー更新で使用されるため、再認証の頻度を 1 より大きい値に設定することを推奨します。

    [ 「量子安全 IPSec VPN」を参照してください。

  • SHA-1 ハッシュ アルゴリズムによる RSA 署名の使用の変更—Junos OS リリース 24.2R1 以降、OpenSSH 8.8/8.8p1 では動作が変更されています。OpenSSH 8.8/8.8p1 は、SHA-1 ハッシュアルゴリズムによる RSA 署名の使用をデフォルトで無効にします。SHA-256 または SHA-512 ハッシュ アルゴリズムで RSA 署名を使用できます。