変更点
SRXシリーズのこのリリースの変更点について説明します。
一般的なルーティング
-
PTP、SyncE、およびハイブリッドモード(Junos)を使用したG.8275.1プロファイル設定—すべてのJunosプラットフォームで、G.8275.1プロファイルを設定する場合、高精度時刻同期プロトコル(PTP)、同期イーサネット(SyncE)、およびハイブリッドモードの設定が必須です。以前は、G.8275.1プロファイルの設定中に必要なハイブリッドおよびSyncE設定がない場合でも、システムはコミットエラーを発生させませんでした。ただし今後は、ITU-T 標準に準拠するように PTP、SyncE、およびハイブリッドモードを設定せずに、G.8275.1 プロファイルを構成することはできません。
侵入検出と防御(IDP)
-
IDPポリシーのコンパイルステータスの処理の改善(SRXシリーズ)—以前は、IDPポリシーのコンパイルに失敗し、その後のコミットでIDPの変更が含まれていない場合、コンパイルステータスが失われたり空白で表示されたりすることがありました。この問題は解決されました。後のコミットでポリシーの再コンパイルがトリガーされない場合や、設定の変更によりポリシーがアンロードされた場合でも、システムは最新の既知のポリシーコンパイルステータスを保持して表示するようになりました。基になる IDP 機能に変更はありませんが、ステータス メッセージの保持方法のみが変わります。
J-Webの
-
[グローバル アドレス(Global Addresses)] ページで、ゾーンベースのアドレス帳をグローバル アドレス帳にアップグレードできます。これを行うには、[グローバル アドレス] テーブルの右隅にある [アップグレード] をクリックします。次に、「はい」をクリックしてアップグレードを続行し、「OK」をクリックして完了します。アップグレード時に、ゾーン アドレス名の後にゾーン名が付加されます。
プラットフォーム・インフラストラクチャ
-
VLAN ID 3072 〜 4094(SRX4700)の ARP 制限—3072〜4094 の範囲の VLAN ID を設定することはできません。これにより、ネットワークが正しく動作し、VLAN範囲内での潜在的な競合が防止され、ネットワークの安定性と信頼性が向上します。
公開鍵基盤
-
証明書登録システム ログ(Junos)—SCEP および CMPv2 証明書のエラーが発生した場合に通知するシステム ログを追加しました。SCEP 証明書の登録に失敗すると、PKID_SCEP_EE_CERT_ENROLL_FAILメッセージが表示されます。CMPv2 証明書の登録に失敗すると、PKID_CMPV2_EE_CERT_ENROLL_FAILメッセージが表示されます。
[ システム ログ エクスプローラーを参照してください。
SSLプロキシー
-
SSL プロキシ プロファイルの構成制限:SSL フォワード プロキシと SSL リバース プロキシの両方の構成で、信頼されたca証明書、サーバー証明書、および URL カテゴリの制限を更新しました。これらの変更により、構成 BLOB の最大サイズ制限である 56,986 バイトへの準拠が保証されます。
制限サイズの変更:
- 信頼されたca証明書/サーバー証明書: 上限 - 400 (1024 から減少)
- URL カテゴリ: 上限 - 800 (変更なし)
設定ステートメント:
user@host# set services ssl proxy profile profile-name trusted-ca (all | [ca-profile] ) user@host# set services ssl proxy profile profile-name server-certificate user@host# set services ssl proxy profile profile-name whitelist-url-categories [whitelist url categories]
手記:リバース プロキシ構成では、サーバー証明書と URL カテゴリの合計サイズが 56,986 バイトを超えないようにします。結合されたサイズが制限を超える場合、コミット中に次のエラー メッセージが表示されます。ERROR: Maximum blob size (56986 bytes) exceeded...current blob size is 57014 bytes. 400 Server certs are taking 54400 bytes, and 27 URL categories are taking 1728 bytes.[ 「SSL プロキシの設定」を参照してください。
ユーザーアクセスと認証
-
キャプティブポータルWebログインページ(SRXシリーズ):ファイアウォールユーザーは、認証に成功した後も、キャプティブポータルWebログインページを開いたままにする必要があります。ログイン ページが閉じられると、システムは自動的にユーザをキャプティブポータルからログアウトします。
[ キャプティブポータル認証 および カスタムロゴとバナーメッセージの設定を参照してください。
ユーザーインターフェイスと構成
-
show system storageコマンド出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ)の変更—show system storageコマンド出力を更新して、真の(物理)ストレージのみを含み、ホスト/ハイパーバイザーレベルのストレージを除外しました。以前のリリースでは、出力にはコンテナ/jailストレージも含まれますが、これには独自の個別のストレージはありません。[show system storageを参照してください。
VPN
-
PMI(SRXシリーズファイアウォールおよびvSRX 3.0)でのhmac-sha-384/512認証のサポート—ikedプロセスでIPSec VPNを実行する際に、PowerMode IPsec(PMI)でhmac-sha-384およびhmac-sha-512認証アルゴリズムを設定できます。
[ PowerMode IPsec を参照]