変更点

Juniper NextGen Webフィルタリングライセンス警告拡張(SRXシリーズおよびvSRX):Junos OS リリース 24.4R1以降、対応する有効なライセンスがないWebフィルタリングタイプを juniper-enhanced または ng-juniper に設定した場合、システムは警告メッセージを生成しません。ライセンスがないためにWebフィルタリングがダウンしているかどうかは、 show security utm web-filtering status コマンドを使用して確認できます。

このリリースより前では、有効なライセンスなしで Web フィルタリング タイプを juniper-enhanced または ng-juniper に設定すると、警告メッセージが生成されました。

[ 「show security utm web-filtering status 」および「 Juniper NextGen Webフィルタリングの概要」を参照してください。

xeポートでの自動ネゴシエーション(SRX380):Junosリリース24.2R2以降、SRX380ファイアウォールの4つのxeポートすべてで自動ネゴシエーションはデフォルトで無効になっています。リモートエンドデバイスで自動ネゴシエイションを無効にすることをお勧めします。自動ネゴシエーションのデフォルトの推奨動作を変更するには、 set interfaces xe-x/y/z gigether-options auto-negotiation コマンドを使用します。

ブート時のソフトウェア アップグレードを特定するためのコミット スクリプト入力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)—junos-context ノード セットには sw-upgrade-in-progress タグが含まれます。コミット スクリプトは、sw-upgrade-in-progress タグ値をテストして、ブート時にコミットが行われ、ソフトウェア アップグレードが進行中かどうかを判断することができます。タグ値は、ソフトウェアのアップグレード、ソフトウェアのダウングレード、またはロールバック後の最初の再起動時にコミットが行われた場合にyesされます。デバイスが正常に起動している場合、タグ値はnoされます。

[ Junos OS自動化スクリプトのグローバルパラメーターと変数を参照してください。]

SNMPv3(Junos)のDES廃止—SNMPv3のデータ暗号化標準(DES)プライバシープロトコルは、セキュリティが弱く、暗号化攻撃に対する脆弱性があるため、非推奨です。セキュリティを強化するには、SNMPv3 ユーザーの暗号化アルゴリズムとして、トリプル データ暗号化標準(3DES)または高度暗号化標準(CFB128-AES-128 プライバシー プロトコル)を構成します。

[ privacy-3des と privacy-aes128 を参照]

PKI の重複キーに対する Junos PyEz による出力を修正するための機能強化(MXシリーズ、SRXシリーズ、EXシリーズ)—以前のリリースでは、CLI 出力には show security pki local-certificate detail | display json コマンドを使用して PKI の対応するハッシュ アルゴリズムの重複キーがすべて表示されていましたが、同じ要求されたデータに対して、Junos PyEz は最後のキーのみを表示していました。このリリース以降、CLI 出力と PyEz には、拡張タグを持つすべての重複キーが表示されます。

JSON形式の状態データ(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)のコンパクト形式—Junosデバイスは、コンパクト形式でのJSON形式の状態データの出力をサポートしなくなったため、[edit system export-format state-data json]階層レベルでcompactオプションを削除しました。

request support informationコマンドのアクセス権限(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズファイアウォール、およびvSRX仮想ファイアウォール)— request support information コマンドは、トラブルシューティングとデバッグの目的でシステム情報を生成するように設計されています。特定のアクセス権限 maintenance、 view、および view-configuration を持つユーザーは、サポート情報の要求コマンドを実行できます。

Juniper Secure Connect(SRXシリーズ、vSRX 3.0)のコンプライアンスチェックを追加—Junos OSでは、コンプライアンスチェックを追加し、Juniper Secure ConnectクライアントのみがリモートアクセスVPN接続を確立できるようにし、コンプライアンス以外のリモートアクセスクライアントからの接続要求を拒否するようにしました。IPSec VPN オブジェクトにアタッチされたリモート アクセス プロファイルを使用した VPN 接続では、このような動作が見られます。

IPSec VPNサービス(SRXシリーズ、vSRX 3.0)のsyslogメッセージの変更—IPSec VPNサービスのsyslogメッセージに変更を加えました。次のことがわかります。 Tunnel-idフィールドは、kmdプロセスを使用してIPSec VPNサービスを実行しているときに、KMD_PM_SA_ESTABLISHED syslogメッセージに追加されます。- ikedプロセスを使用してIPSec VPNサービスを実行しているときに、IPsecキー更新イベント用の新しいsyslogメッセージIKE_VPN_SA_ESTABLISHEDが追加されます。

IPSec VPNセキュリティアソシエーション(SRXシリーズファイアウォール、vSRX 3.0)のlifetime-kilobytesオプションの変更—IPSec VPNセキュリティアソシエーションで、IPsecプロポーザルのライフタイムキロバイトの最小許容値が64KBから64000KBに変更されました。

[ プロポーザル(セキュリティ IPsec)を参照してください。

IPSec VPNサービス(SRXシリーズ、vSRX 3.0)のsyslogメッセージの変更—IPSec VPNサービスのsyslogメッセージに変更を加えました。以下の点に気づくでしょう。 - kmdプロセスを使用してIPSec VPNサービスを実行しているときに、KMD_PM_SA_ESTABLISHED syslogメッセージにTunnel-idフィールドが追加されます。新しいsyslogメッセージIKE_VPN_SA_ESTABLISHEDは、ikedプロセスを使用してサービスを実行しているときにIPSec VPN IPsecキー更新イベント用に追加されます。

Juniper Secure Connect(SRXシリーズ、vSRX3.0)でのログオン前のコンプライアンスチェックのためのiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを構成して、iPadOSを実行しているエンドポイントを許可または拒否できます。[edit security remote-access compliance pre-logon name term name match platform]階層レベルで ipados オプションを使用して、これらのチェックを実施します。これにより、準拠しているiPadOSデバイスのみがアクセスを許可され、ネットワークのセキュリティが強化されます。

[ コンプライアンス(Juniper Secure Connect)を参照してください。]