変更点

ジュニパー NextGen Webフィルタリングライセンス警告の強化(SRXシリーズおよびvSRX)—Junos OS Release 24.4R1以降、対応する有効なライセンスなしでWebフィルタリングタイプを juniper-enhanced または ng-juniper に設定すると、システムは警告メッセージを生成しません。ライセンスの欠落によりWebフィルタリングがダウンしているかどうかは、 show security utm web-filtering status コマンドを使用して確認できます。

このリリース以前のバージョンでは、有効なライセンスなしでWebフィルタリングタイプを juniper-enhanced または ng-juniper に設定すると、システムが警告メッセージを生成していました。

[ show security utm Webフィルタリングステータス と ジュニパー次世代Webフィルタリングの概要を参照してください。]

xeポートの自動ネゴシエーション(SRX380)—Junosリリース24.2R2以降、SRX380ファイアウォールの4つのxeポートすべてで自動ネゴシエイションはデフォルトで無効になっています。リモートエンドデバイスで自動ネゴシエイションを無効にすることをお勧めします。自動ネゴシエーションのデフォルトの推奨動作を変更するには、 set interfaces xe-x/y/z gigether-options auto-negotiation コマンドを使用します。

起動時のソフトウェアアップグレードを特定するためのコミットスクリプト入力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)—junos-contextノードセットにはsw-upgrade-in-progressタグが含まれています。コミットスクリプトは、sw-upgrade-in-progressタグ値をテストして、ブート時にコミットが実行され、ソフトウェアアップグレードが進行中かどうかを判断できます。タグ値は、ソフトウェアのアップグレード、ソフトウェアのダウングレード、またはロールバック後の最初の再起動時にコミットが行われた場合にyesされます。デバイスが正常に起動している場合、タグ値はnoされます。

[ 「Junos OS 自動化スクリプトのグローバルパラメータと変数を参照してください。]

SNMPv3(Junos)のDES廃止—SNMPv3のDES(データ暗号化標準)プライバシープロトコルは、セキュリティが弱く、暗号化攻撃に対する脆弱性があるため、非推奨になりました。セキュリティを強化するには、SNMPv3ユーザー向けの暗号化アルゴリズムとして、トリプルデータ暗号化標準(3DES)または高度な暗号化標準(CFB128-AES-128プライバシープロトコル)を設定します。

[ privacy-3des および privacy-aes128 を参照してください。

PKI(MXシリーズ、SRXシリーズ、EXシリーズ)の重複キーに対するJunos PyEzによる出力修正の強化—以前のリリースでは、CLI出力に show security pki local-certificate detail | display json コマンドを使用してPKI内の対応するハッシュアルゴリズムの重複キーをすべて表示していましたが、同じリクエストデータについて、Junos PyEzは最後のキーのみを表示します。このリリース以降、CLI出力とPyEzは、拡張タグを持つすべての重複キーを表示します。

JSON形式の状態データ(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)のコンパクトフォーマットは非推奨です—JunosデバイスがJSON形式の状態データをコンパクト形式で出力することができなくなったため、[edit system export-format state-data json]階層レベルでcompactオプションを削除しました。

request support informationコマンドのアクセス権限(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズファイアウォール、vSRX仮想ファイアウォール)—request support informationコマンドは、トラブルシューティングとデバッグを目的としてシステム情報を生成するように設計されています。特定のアクセス権限maintenance、view、view-configurationを持つユーザーは、request support informationコマンドを実行できます。

show system informationおよびshow versionコマンド出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)の変更—show system informationコマンド出力では、Hostnameフィールドが最後ではなく最初に一覧表示されます。show versionコマンドの出力には、Familyフィールドが含まれます。Familyフィールドは、デバイスが分類されるデバイスファミリー(junos、junos-es、junos-ex、junos-qfxなど)を識別します。

[ show system information と show versionを参照してください。]

Juniper Secure Connect(SRXシリーズ、およびvSRX 3.0)のコンプライアンスチェックが追加されました—Junos OSでは、コンプライアンスチェックを追加して、Juniper Secure ConnectクライアントのみがリモートアクセスVPN接続を確立できるようにし、非準拠のリモートアクセスクライアントからの接続要求を拒否するようになりました。この動作は、IPsec VPNオブジェクトにアタッチされたリモートアクセスプロファイルを使用したVPN接続で発生します。

IPsec VPNサービス(SRXシリーズ、およびvSRX 3.0)のsyslogメッセージの変更—IPsec VPNサービスのsyslogメッセージに変更を加えました。次の点に気付くでしょう。 kmdプロセスを使用してIPsec VPNサービスを実行すると、トンネルIDフィールドがKMD_PM_SA_ESTABLISHED syslogメッセージに追加されます。- iked プロセスを使用して IPsec VPN サービスを実行する場合、IPsec キー更新イベントに対して新しい syslog メッセージ IKE_VPN_SA_ESTABLISHED が追加されました。

IPsec VPNセキュリティアソシエーション(SRXシリーズファイアウォール、およびvSRX 3.0)のライフタイムキロバイトオプションの変更—IPsec VPNセキュリティアソシエーションで許可される最小IPsecプロポーザルのライフタイムキロバイト値が64KBから64000KBに変更されました。

[ プロポーザル(セキュリティIPsec)を参照してください。]

IPsec VPNサービス(SRXシリーズ、およびvSRX 3.0)のsyslogメッセージの変更—IPsec VPNサービスのsyslogメッセージに変更を加えました。以下の点に気付くでしょう。 - kmdプロセスを使用してIPsec VPNサービスを実行すると、Tunnel-idフィールドがKMD_PM_SA_ESTABLISHED syslogメッセージに追加されます。ikedプロセスを使用してIPsec VPNサービスを実行している場合、IPsecキー更新イベントに新しいsyslogメッセージIKE_VPN_SA_STASHEDが追加されました。

Juniper Secure Connect(SRXシリーズおよびvSRX3.0)でのログオン前のコンプライアンスチェックに対するiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを設定して、iPadOSを実行しているエンドポイントを許可または拒否できます。これらのチェックを適用するには、[edit security remote-access compliance pre-logon name term name match platform]階層レベルでipadosオプションを使用します。これにより、準拠した iPadOS デバイスのみがアクセスが許可され、ネットワークのセキュリティが強化されます。

[ コンプライアンス(Juniper Secure Connect)を参照してください。]

ikedプロセスを使用したIPsec VPNの無効なCLIコマンド削除(SRXシリーズおよびvSRX 3.0)—ikedプロセスを使用してIPsec VPNサービスを実行している場合、サポートされていないJunos OS CLIコマンド clear security ike respond-bad-spi-countはファイアウォールに表示されなくなります。この更新により、認識されないCLIの無効なコマンド表示を防止できます。kmd プロセスでコマンドを引き続き使用できます。

[ clear security ike respond-bad-spi-countを参照してください。]