Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

変更点

SRXシリーズファイアウォールのこのリリースの変更点について説明します。

アプリケーションセキュリティ

  • アプリケーション シグネチャ パッケージ(SRXシリーズファイアウォールおよび vSRX)show services application-identification status コマンドの出力に、アプリケーション パッケージのバージョンリリース日の誤った日付が表示されていました。コマンドの出力には、最初にインストールされたアプリケーション署名パッケージのリリース日が表示されます。新しいバージョンの後続のインストールでは、署名パッケージのリリース日は更新されません。リリース日は、現在インストールされているものと比較してPBバージョン/エンジンバージョンが変更されている署名パッケージをインストールした場合にのみ正しく更新されます。

    Junos OS リリース 24.2 以降では、コマンド出力に正しい日付が表示されるようになりました。

    show services application-identification status」を参照してください。

  • 3DES-CBC暗号の廃止(SRXシリーズファイアウォールとvSRX):以下の暗号方式のサポートは非推奨です。
    • RSA-3DES-EDE-CBC-SHA
    • ECDHE-ECDSA-3DES-EDE-CBC-SHA

    これらの暗号を設定するオプションは、[edit system services ssh]階層では利用できません。

インターフェイス

  • xeポートでの自動ネゴシエーション(SRX380):Junosリリース24.2R2以降、SRX380ファイアウォールの4つのxeポートすべてで自動ネゴシエーションはデフォルトで無効になっています。リモートエンドデバイスで自動ネゴシエイションを無効にすることをお勧めします。自動ネゴシエーションのデフォルトの推奨動作を変更するには、 set interfaces xe-x/y/z gigether-options auto-negotiation コマンドを使用します。

  • Junos OS リリース24.2R1以降、run show lldp local-information interface <interface-name> | display xml コマンドを実行すると、 lldp-local-info ルートタグと lldp-local-interface-info コンテナタグの下に出力が表示されます。run show lldp local-information interface | display xml コマンドを実行すると、 lldp-tlv-filterlldp-tlv-select の情報が出力の lldp-local-interface-info コンテナ タグの下に表示されます。

  • キーワード削除を無効にする(SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M)- set system processesコマンドからwatchdog disableオプションが削除されました。watchdog disableは設定できなくなりました。

  • リアルタイムパフォーマンス監視(SRX1500、SRX1600、SRX2300、SRX4300)の同時プローブ数の上限の引き上げ:リアルタイムパフォーマンス監視(RPM)で許可される同時プローブの数を、以前の500から2000に増やしました。[ probe-limit を参照]

Junos OS APIとスクリプト

  • ping RPC の XML 出力への変更(MX480)—RPC XML 出力が YANG スキーマに準拠するように、 junos-rpc-ping YANG モジュールと対応する Junos XML RPC を更新しました。その結果、次の ping RPC の XML 出力を変更しました。

    • <ping>- XML 出力では、<xnm:error> タグや <xnm:warning> タグではなく、<ping-error-message> タグと <ping-warning-message> タグが出力されます。

    • <request-ping-ce-ip>- XML 出力は、 <lsping-results> ルート要素で囲まれています。

    • <request-ping-ethernet>

      • <ethping-results>ルートタグには、受信した各応答の<cfm-loopback-reply-entry>タグまたは<cfm-loopback-reply-entry-rapid>タグが含まれます。以前のリリースでは、1 つのタグですべての応答を囲んでいました。

      • XML出力には、アプリケーション固有のエラータグのみが含まれ、 <xnm:error> タグは省略されます。

      • これで、 <cfm-loopback-reply-entry-rapid> タグが YANG スキーマに反映されます。

    • <request-ping-overlay>- <ping-overlay-results> 要素に新しい子タグ <hash-udp-src-port>が含まれます。

PKI

  • PKI の重複キーに対する Junos PyEz による出力を修正するための機能強化(MXシリーズ、SRXシリーズ、EXシリーズ)—以前のリリースでは、CLI 出力には show security pki local-certificate detail | display json コマンドを使用して PKI の対応するハッシュ アルゴリズムの重複キーがすべて表示されていましたが、同じ要求されたデータに対して、Junos PyEz は最後のキーのみを表示していました。このリリース以降、CLI 出力と PyEz には、拡張タグを持つすべての重複キーが表示されます。

  • 証明書登録システム ログ(Junos)—SCEP および CMPv2 証明書のエラーが発生した場合に通知するシステム ログを追加しました。SCEP 証明書の登録に失敗すると、PKID_SCEP_EE_CERT_ENROLL_FAILメッセージが表示されます。CMPv2 証明書の登録に失敗すると、PKID_CMPV2_EE_CERT_ENROLL_FAILメッセージが表示されます。システム ログ エクスプローラを参照してください。

ユーザーインターフェイスと構成

  • xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)が含まれます。XML RPCの返信のxmlns:junos名前空間文字列には、show versionコマンドで出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

  • request support informationコマンドのアクセス権限(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズファイアウォール、およびvSRX仮想ファイアウォール) request support information コマンドは、トラブルシューティングとデバッグの目的でシステム情報を生成するように設計されています。特定のアクセス権限 maintenance view 、および view-configuration を持つユーザーは、サポート情報の要求コマンドを実行できます。

  • show system informationおよびshow versionコマンド出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)の変更—show system informationコマンド出力には、Hostnameフィールドが最後ではなく最初にリストされます。show version コマンド出力には、Family フィールドが含まれます。Familyフィールドは、デバイスが分類されるデバイスファミリー(junosjunos-esjunos-exjunos-qfxなど)を識別します。

    [ show system informationshow version を参照してください。

VPN

  • DSA および ECDSA(SRXシリーズ および vSRX 3.0)で生成されたキーペアのダイジェストオプション機能を修正するための機能強化—以前のリリースでは、sha-256 digest および request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa) および request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name コマンドを使用して DSA または ECDSA 暗号化を使用してローカルの自己署名証明書を生成すると、生成された署名には常に sha1 ダイジェストが使用されていました。このリリース以降、指定されたダイジェスト sha-256 が署名ダイジェストに使用されます。以下を使用して確認できます。 show security pki local-certificate certificate-id certificate-id-name detail

  • より大きな鍵サイズ(SRXシリーズ)の RSA 鍵ペアを生成する際のエラーに対処するための機能強化 - 以前の Junos OS リリースでは、サイズが 4096 以上の RSA 鍵ペアを生成すると、コマンド request security pki generate-key-pair certificate-id name type rsa size 4096 でエラー メッセージが表示されることがあり、PKID の応答に時間がかかる場合 error: timeout communicating with pki-service daemon ことがあります。Junos OSリリース23.4R1以降、コマンドはこのエラーメッセージなしで正常に実行されます。

  • シャーシ クラスタ(SRXシリーズ)の IKE 設定管理コマンドの機能拡張--以前の Junos OS リリースでは、シャーシ クラスタ モードで、セカンダリ ノードで以下のコマンドがエラー メッセージ error: IKE-Config-Management not responding to management requests で失敗しました。

    • show security ike statistics

    • show security ike sa ha-link-encryption

    • show security ipsec sa ha-link-encryption

    • show security ipsec inactive-tunnels ha-link-encryption

    • clear security ike sa ha-link-encryption

    • clear security ipsec sa ha-link-encryption

    これらのコマンドは、セカンダリノードではなく、プライマリノードでのみ実行する必要があります。Junos OS リリース 23.4R1 以降、セカンダリ ノードには表示する出力がないため、エラー メッセージは表示されません。

  • VPN監視オプション(SRXシリーズおよびvSRX 3.0)のしきい値と間隔オプションのヘルプ文字列説明の強化–設定ステートメント[set security ipsec vpn-monitor-options]で使用可能なthresholdおよびintervalオプションのヘルプ文字列説明を拡張し、デフォルト値を含めました。既定値を含む次の説明が表示されます。

    [ ipsec (セキュリティ)] を参照してください。

  • show security ipsec security-associations detailコマンドの出力の強化(SRXシリーズおよびvSRX 3.0):ファイアウォールが新しいikedプロセスでIPSec VPNサービスを実行するときに、[edit security ipsec vpn vpn-name]階層レベルでvpn-monitorを有効にした場合のshow security ipsec security-associations detailの出力を強化しました。出力には、コマンド出力のthreshold値とinterval値が表示されます。Junos OS リリース 23.4R1 以降、これらの変更に気付くようになります。

    [ show security ipsec security-associations を参照してください。

  • RG0フェイルオーバー後の証明書検証エラーに対処するための機能強化(SRXシリーズ):シャーシクラスタでRG0フェイルオーバーした後、コマンド show services advanced-anti-malware status の出力に、フェイルオーバー前のセカンダリノードでのCRLダウンロード失敗による Requesting server certificate validation ステータスが表示されることがあります。この問題に対処するために機能強化が行われ、次の変更が表示されます。

    • 何回も再試行しても CRL のダウンロードに繰り返し失敗する場合は、CRL が正常にダウンロードされるまで PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection エラー メッセージが表示されます。

    • クラスターがセカンダリ ノードからプライマリ ノードへのフェールオーバーを実行すると、PKI は新しいプライマリ ノードで新しい CRL のダウンロードをトリガーし、証明書の検証に成功します。

  • PPKを使用したIPSec VPN(SRXシリーズおよびvSRX 3.0)の再認証頻度に関する推奨事項—自動検出 VPN(ADVPN)を含むIPSec VPNの場合、耐量子事前共有キー(PPK)暗号化を使用すると、有効期間を選択します.有効な範囲は 180 ミリ秒後に量子キーとネゴシエートされると、iked プロセスは 4 秒後にキー更新を実行してチャネルを保護します。再認証の頻度を 1 に設定した場合、4 秒後に鍵更新は行われません。そのため、最初の再認証カウントは PPK のデフォルトのキー更新で使用されるため、再認証の頻度を 1 より大きい値に設定することを推奨します。

    [ 「量子安全 IPSec VPN」を参照してください。

  • NAT-T(SRXシリーズファイアウォールおよびNFXシリーズ)向けに最適化されたデッドピア検出-NAT-Tリモートポートが変更されると、ピアデバイスから受信するデッドピア検出(DPD)が新しいセッションを作成し、セッションの不一致やトラフィックの中断につながる可能性があります。これを防ぐには、最適化されたデッドピア検出を有効にします。コマンド set security ike gateway gateway-name dead-peer-detection optimized を使用すると、受信 DPD 中に作成された新しいセッションの有効期限が切れ、既存のトンネル NAT-T セッションが新しいポート番号で更新され、トラフィックが再開されます。 NAT-T についてを参照してください。