このページの目次
変更点
SRXシリーズファイアウォールのこのリリースでの変更点について説明します。
アプリケーションセキュリティ
-
アプリケーション シグネチャ パッケージ(SRX シリーズ ファイアウォールおよび vSRX)-
show services application-identification status
コマンドの出力に、アプリケーション パッケージ バージョンのリリース日が正しく表示されません。コマンド出力には、最初にインストールされたアプリケーション署名パッケージのリリース日が表示されます。それ以降の新しいバージョンのインストールでは、署名パッケージのリリース日は更新されません。リリース日は、現在インストールされているものと比較してPBバージョン/エンジンバージョンに変更がある署名パッケージをインストールする場合にのみ正しく更新されます。Junos OS リリース 24.2 以降では、コマンド出力に正しい日付が表示されます。
- 3DES-CBC暗号(SRXシリーズファイアウォールおよびvSRX)の非推奨:以下の暗号のサポートは非推奨です。
- RSA-3DES-EDE-CBC-SHA
- ECDHE-ECDSA-3DES-EDE-CBC-SHA
これらの暗号方式を設定するオプションは、[システムサービスsshの編集]階層では使用できません。
インターフェイス
-
Junos OSリリース24.2R1以降、run
show lldp local-information interface <interface-name> | display xml
コマンドを実行すると、lldp-local-info
ルートタグの下とlldp-local-interface-info
コンテナタグの下に出力が表示されます。runshow lldp local-information interface | display xml
コマンドを実行すると、出力のlldp-local-interface-info
コンテナー タグの下にlldp-tlv-filter
とlldp-tlv-select
情報が表示されます。 -
キーワード削除の無効化(SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M):
set system processes
コマンドから [watchdog disable
] オプションが削除されました。もうwatchdog disable
を設定することはできません。 -
リアルタイム パフォーマンス監視(SRX1500、SRX1600、SRX2300、SRX4300)の同時プローブ数の制限の引き上げ - リアルタイム パフォーマンス監視(RPM)で許可される同時プローブの数を、以前の制限である 500 から 2000 に増やしました。[ プローブ制限を参照してください。]
Junos OS APIとスクリプティング
-
ping RPC用XML出力(MX480)の変更:
junos-rpc-ping
YANGモジュールと対応するJunos XML RPCをアップデートし、RPC XML出力がYANGスキーマに準拠するようにしました。その結果、次の ping RPC の XML 出力が変更されました。-
<ping>
- XML 出力では、<xnm:error>
タグや<xnm:warning>
タグではなく、<ping-error-message>
タグと<ping-warning-message>
タグが出力されます。 -
<request-ping-ce-ip>
- XML 出力は<lsping-results>
ルート エレメントで囲まれています。 -
<request-ping-ethernet>
—-
<ethping-results>
ルート タグには、受信した各応答の<cfm-loopback-reply-entry>
タグまたは<cfm-loopback-reply-entry-rapid>
タグが含まれます。以前のリリースでは、1 つのタグですべての応答を囲んでいました。 -
XML 出力には、アプリケーション固有のエラータグのみが含まれ、
<xnm:error>
タグは省略されます。 -
これで、
<cfm-loopback-reply-entry-rapid>
タグが YANG スキーマに反映されます。
-
-
<request-ping-overlay>
-<ping-overlay-results>
エレメントに新しい子タグ<hash-udp-src-port>
が含まれます。
-
VPN
-
DSA および ECDSA(SRX シリーズおよび vSRX 3.0)で生成されたキー ペアのダイジェスト オプション機能を修正する機能拡張 -- 以前のリリースでは、sha-256 ダイジェストおよび DSA または ECDSA 暗号化を使用して
request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa)
およびrequest security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name
コマンドを使用してローカルの自己署名証明書を生成すると、生成される署名には常に sha1 ダイジェストが使用されていました。このリリース以降、指定されたダイジェスト sha-256 が署名ダイジェストに使用されます。を使用して確認できますshow security pki local-certificate certificate-id certificate-id-name detail
-
より大きな鍵サイズのRSA鍵ペアを生成する際のエラーに対処するための機能拡張(SRXシリーズ)- 以前のJunos OSリリースでは、サイズが4096以上のRSA鍵ペアを生成すると、コマンド
request security pki generate-key-pair certificate-id name type rsa size 4096
でエラーメッセージが表示され、PKIDの応答に時間がかかる場合error: timeout communicating with pki-service daemon
が表示されることがあります。Junos OSリリース23.4R1以降、このエラーメッセージが表示されずにコマンドは正常に実行されます。 -
シャーシ クラスタ(SRX シリーズ)の IKE 設定管理コマンドの機能強化 -- 以前の Junos OS リリースのシャーシ クラスタ モードでは、次のコマンドが失敗し、セカンダリ ノードにエラー メッセージ
error: IKE-Config-Management not responding to management requests
が発生しました。show security ike statistics
show security ike sa ha-link-encryption
show security ipsec sa ha-link-encryption
show security ipsec inactive-tunnels ha-link-encryption
clear security ike sa ha-link-encryption
-
clear security ipsec sa ha-link-encryption
これらのコマンドは、セカンダリ ノードではなく、プライマリ ノードでのみ実行する必要があります。Junos OSリリース23.4R1以降、セカンダリノードには表示する出力がないため、エラーメッセージは表示されません。
-
VPN監視オプション(SRXシリーズおよびvSRX 3.0)のしきい値および間隔オプションのヘルプ文字列説明の機能強化:設定ステートメント
[set security ipsec vpn-monitor-options]
で使用できるthreshold
およびinterval
オプションのヘルプ文字列の説明を、デフォルト値を含めるように拡張しました。次の説明が既定値で表示されます。user@host# set security ipsec vpn-monitor-options ? Possible completions: interval Monitor interval in seconds Default :10 (2..3600 seconds) threshold Number of consecutive failures to determine connectivity Default :10 (1..65535)
[ ipsec (セキュリティ)を参照してください。
-
show security ipsec security-associations detailコマンドの出力の機能強化(SRXシリーズおよびvSRX 3.0):
[edit security ipsec vpn vpn-name]
階層レベルでvpn-monitor
を有効にした場合、ファイアウォールが新しいikedプロセスでIPsec VPNサービスを実行している場合のshow security ipsec security-associations detail
の出力を強化しました。出力では、コマンド出力のthreshold
値とinterval
値が表示されます。Junos OSリリース23.4R1以降、これらの変更が見られます。[ show security ipsec security-associationsを参照してください。
-
RG0フェイルオーバー後の証明書検証失敗に対処するための機能強化(SRXシリーズ):シャーシクラスタでのRG0フェイルオーバー後、コマンド
show services advanced-anti-malware status
の出力に、フェイルオーバー前のセカンダリノードでのCRLダウンロード失敗により、Requesting server certificate validation
ステータスが表示される場合があります。この問題に対処するために機能強化が行われ、次の変更が加えられます。-
再試行を複数回試行しても CRL のダウンロードに繰り返し失敗する場合は、CRL が正常にダウンロードされるまで
PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection
エラー メッセージが表示されます。 -
クラスターがセカンダリ ノードからプライマリ ノードへのフェールオーバーを実行すると、PKI は新しいプライマリ ノードで新しい CRL ダウンロードをトリガーし、証明書の検証に成功します。
-
-
PPKを使用したIPsec VPN(SRXシリーズおよびvSRX 3.0)の再認証頻度の推奨事項—自動検出VPN(ADVPN)を含むIPsec VPNの場合、ポスト量子事前共有キー(PPK)暗号化を使用の場合、IKEセキュリティアソシエーションがクォンタムキーとネゴシエートされると、ikedプロセスは4秒後にキー更新を実行してチャネルを保護します。再認証の頻度を 1 に設定すると、4 秒後にはキー更新は行われません。そのため、最初の再認証カウントが PPK のデフォルトの鍵更新で使用されるため、再認証の頻度を 1 以上に設定することをお勧めします。
[ 量子安全IPsec VPNを参照]