Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

変更点

SRXシリーズファイアウォールのこのリリースでの変更点について説明します。

アプリケーションセキュリティ

  • アプリケーション シグネチャ パッケージ(SRX シリーズ ファイアウォールおよび vSRX)- show services application-identification status コマンドの出力に、アプリケーション パッケージ バージョンのリリース日が正しく表示されません。コマンド出力には、最初にインストールされたアプリケーション署名パッケージのリリース日が表示されます。それ以降の新しいバージョンのインストールでは、署名パッケージのリリース日は更新されません。リリース日は、現在インストールされているものと比較してPBバージョン/エンジンバージョンに変更がある署名パッケージをインストールする場合にのみ正しく更新されます。

    Junos OS リリース 24.2 以降では、コマンド出力に正しい日付が表示されます。

    show services application-identification statusを参照してください

  • 3DES-CBC暗号(SRXシリーズファイアウォールおよびvSRX)の非推奨:以下の暗号のサポートは非推奨です。
    • RSA-3DES-EDE-CBC-SHA
    • ECDHE-ECDSA-3DES-EDE-CBC-SHA

    これらの暗号方式を設定するオプションは、[システムサービスsshの編集]階層では使用できません。

インターフェイス

  • Junos OSリリース24.2R1以降、run show lldp local-information interface <interface-name> | display xmlコマンドを実行すると、lldp-local-infoルートタグの下とlldp-local-interface-infoコンテナタグの下に出力が表示されます。run show lldp local-information interface | display xml コマンドを実行すると、出力の lldp-local-interface-info コンテナー タグの下にlldp-tlv-filterlldp-tlv-select情報が表示されます。

  • キーワード削除の無効化(SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M):set system processesコマンドから [watchdog disable] オプションが削除されました。もうwatchdog disableを設定することはできません。

  • リアルタイム パフォーマンス監視(SRX1500、SRX1600、SRX2300、SRX4300)の同時プローブ数の制限の引き上げ - リアルタイム パフォーマンス監視(RPM)で許可される同時プローブの数を、以前の制限である 500 から 2000 に増やしました。[ プローブ制限を参照してください。]

Junos OS APIとスクリプティング

  • ping RPC用XML出力(MX480)の変更: junos-rpc-ping YANGモジュールと対応するJunos XML RPCをアップデートし、RPC XML出力がYANGスキーマに準拠するようにしました。その結果、次の ping RPC の XML 出力が変更されました。

    • <ping>- XML 出力では、<xnm:error> タグや <xnm:warning> タグではなく、<ping-error-message> タグと <ping-warning-message> タグが出力されます。

    • <request-ping-ce-ip>- XML 出力は <lsping-results> ルート エレメントで囲まれています。

    • <request-ping-ethernet>

      • <ethping-results> ルート タグには、受信した各応答の <cfm-loopback-reply-entry> タグまたは <cfm-loopback-reply-entry-rapid> タグが含まれます。以前のリリースでは、1 つのタグですべての応答を囲んでいました。

      • XML 出力には、アプリケーション固有のエラータグのみが含まれ、 <xnm:error> タグは省略されます。

      • これで、 <cfm-loopback-reply-entry-rapid> タグが YANG スキーマに反映されます。

    • <request-ping-overlay>- <ping-overlay-results> エレメントに新しい子タグ <hash-udp-src-port>が含まれます。

VPN

  • DSA および ECDSA(SRX シリーズおよび vSRX 3.0)で生成されたキー ペアのダイジェスト オプション機能を修正する機能拡張 -- 以前のリリースでは、sha-256 ダイジェストおよび DSA または ECDSA 暗号化を使用して request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa) および request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name コマンドを使用してローカルの自己署名証明書を生成すると、生成される署名には常に sha1 ダイジェストが使用されていました。このリリース以降、指定されたダイジェスト sha-256 が署名ダイジェストに使用されます。を使用して確認できます show security pki local-certificate certificate-id certificate-id-name detail

  • より大きな鍵サイズのRSA鍵ペアを生成する際のエラーに対処するための機能拡張(SRXシリーズ)- 以前のJunos OSリリースでは、サイズが4096以上のRSA鍵ペアを生成すると、コマンド request security pki generate-key-pair certificate-id name type rsa size 4096でエラーメッセージが表示され、PKIDの応答に時間がかかる場合 error: timeout communicating with pki-service daemon が表示されることがあります。Junos OSリリース23.4R1以降、このエラーメッセージが表示されずにコマンドは正常に実行されます。

  • シャーシ クラスタ(SRX シリーズ)の IKE 設定管理コマンドの機能強化 -- 以前の Junos OS リリースのシャーシ クラスタ モードでは、次のコマンドが失敗し、セカンダリ ノードにエラー メッセージ error: IKE-Config-Management not responding to management requests が発生しました。

    • show security ike statistics

    • show security ike sa ha-link-encryption

    • show security ipsec sa ha-link-encryption

    • show security ipsec inactive-tunnels ha-link-encryption

    • clear security ike sa ha-link-encryption

    • clear security ipsec sa ha-link-encryption

    これらのコマンドは、セカンダリ ノードではなく、プライマリ ノードでのみ実行する必要があります。Junos OSリリース23.4R1以降、セカンダリノードには表示する出力がないため、エラーメッセージは表示されません。

  • VPN監視オプション(SRXシリーズおよびvSRX 3.0)のしきい値および間隔オプションのヘルプ文字列説明の機能強化:設定ステートメント[set security ipsec vpn-monitor-options]で使用できるthresholdおよびintervalオプションのヘルプ文字列の説明を、デフォルト値を含めるように拡張しました。次の説明が既定値で表示されます。

    [ ipsec (セキュリティ)を参照してください。

  • show security ipsec security-associations detailコマンドの出力の機能強化(SRXシリーズおよびvSRX 3.0):[edit security ipsec vpn vpn-name]階層レベルでvpn-monitorを有効にした場合、ファイアウォールが新しいikedプロセスでIPsec VPNサービスを実行している場合のshow security ipsec security-associations detailの出力を強化しました。出力では、コマンド出力の threshold 値と interval値が表示されます。Junos OSリリース23.4R1以降、これらの変更が見られます。

    [ show security ipsec security-associationsを参照してください。

  • RG0フェイルオーバー後の証明書検証失敗に対処するための機能強化(SRXシリーズ):シャーシクラスタでのRG0フェイルオーバー後、コマンド show services advanced-anti-malware status の出力に、フェイルオーバー前のセカンダリノードでのCRLダウンロード失敗により、 Requesting server certificate validation ステータスが表示される場合があります。この問題に対処するために機能強化が行われ、次の変更が加えられます。

    • 再試行を複数回試行しても CRL のダウンロードに繰り返し失敗する場合は、CRL が正常にダウンロードされるまで PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection エラー メッセージが表示されます。

    • クラスターがセカンダリ ノードからプライマリ ノードへのフェールオーバーを実行すると、PKI は新しいプライマリ ノードで新しい CRL ダウンロードをトリガーし、証明書の検証に成功します。

  • PPKを使用したIPsec VPN(SRXシリーズおよびvSRX 3.0)の再認証頻度の推奨事項—自動検出VPN(ADVPN)を含むIPsec VPNの場合、ポスト量子事前共有キー(PPK)暗号化を使用の場合、IKEセキュリティアソシエーションがクォンタムキーとネゴシエートされると、ikedプロセスは4秒後にキー更新を実行してチャネルを保護します。再認証の頻度を 1 に設定すると、4 秒後にはキー更新は行われません。そのため、最初の再認証カウントが PPK のデフォルトの鍵更新で使用されるため、再認証の頻度を 1 以上に設定することをお勧めします。

    [ 量子安全IPsec VPNを参照]