Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

変更点

SRXシリーズのこのリリースの変更点について説明します。

アプリケーションセキュリティ

  • カスタム シグネチャ(SRXシリーズ)での ssl-version のサポート:SSL コンテキストベースのカスタム シグネチャの ssl-version は、アプリケーション シグネチャ パッケージ バージョン 3796 以降で非推奨になりました。代わりに ssl-protocol-version オプションを使用できます。ssl-version オプションは、後方互換性を確保し、構成を新しい構成に準拠させる機会を提供するために、すぐに削除されるのではなく、非推奨になりました。

    [[[アプリケーション識別とコンテキストのためのカスタムアプリケーションシグネチャ]を参照してください。

  • SSL プロキシ プロファイルの構成制限—このリリース以降、SSL フォワード プロキシと SSL リバース プロキシの両方の構成で、信頼されたca証明書、サーバー証明書、および URL カテゴリの制限を更新しました。これらの変更により、構成 BLOB の最大サイズ制限である 56,986 バイトへの準拠が保証されます。

    制限サイズの変更:

    • 信頼されたca証明書/サーバー証明書: 最大制限 - 400(1024 から変更)
    • URL カテゴリ: 最大制限 - 800(変更なし)

    構成ステートメント:

    手記:リバース プロキシ構成では、サーバー証明書と URL カテゴリの合計サイズが 56,986 バイトを超えないようにします。結合サイズが制限を超えると、コミット中に次のエラー メッセージが表示されます。 このエラーはメモリ使用量の内訳を提供し、それに応じて設定を調整するのに役立ちます。

    [[SSLプロキシの設定]を参照してください。

コンテンツセキュリティ

  • ISSU(SRXシリーズ)用のSophosアンチウイルス設定—インサービスソフトウェアアップグレード(ISSU)の実行中にSophosアンチウイルスを使用するには、次の設定オプションを削除します。

    • edit security utm default-configuration anti-virus forwarding-mode holdset

    • edit security utm default-configuration anti-virus forwarding-mode inline-tap

    この注意は ISSU のアップグレードにのみ適用され、スタンドアロンのアップグレードには適用されません。ISSU が完了したら、上記の設定を再度有効にできます。ソフォスのアンチウィルス機能は、両方のデバイスが起動すると、通常どおりに動作します。

    [詳細は 、Sophos Antivirus 設定の概要をご覧ください。

シャーシクラスタリング

  • 冗長モードを定義します。

    • active-active: primary and secondary nodes in active mode.

    • active-backup: primary in active, secondary in backup mode.

JIMS(ジムス)

Juniper Secure Connect

  • Juniper Secure Connect(SRXシリーズ、vSRX3.0)でのログオン前のコンプライアンスチェックのためのiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを構成して、iPadOSを実行しているエンドポイントを許可または拒否できます。これらのチェックを実施するには、[edit security remote-access compliance pre-logon name term name match platform] 階層レベルで ipados オプションを使用します。これにより、準拠しているiPadOSデバイスのみがアクセスを許可され、ネットワークのセキュリティが強化されます。

    [ コンプライアンス(Juniper Secure Connect)を参照してください。]

ネットワークアドレス変換(NAT)

  • NATデバッグのサポート(SRXシリーズファイアウォールとvSRX) NAT 関連の問題をデバッグするには、request support information security-components コマンドで nat オプションを使用します。

    [ サポート情報の要求を参照してください。

PKI

  • ユーザー アカウント資格情報の SSH キー オプション。key-options key-options オプションは、set system login user <user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key> 階層レベルで設定できます。

    [ ログインを参照してください。

  • 証明書登録システム ログ(Junos)—SCEP および CMPv2 証明書のエラーが発生した場合に通知するシステム ログを追加しました。SCEP 証明書の登録に失敗すると、PKID_SCEP_EE_CERT_ENROLL_FAILメッセージが表示されます。CMPv2 証明書の登録に失敗すると、PKID_CMPV2_EE_CERT_ENROLL_FAILメッセージが表示されます。

    [ システム ログ エクスプローラーを参照してください。

プラットフォームとインフラストラクチャ

  • トラフィック ログへのセキュリティ ログの書き込みの失敗を示すアラームが追加されました (SRX4700) - ディスクの破損または読み取り/書き込みエラーが原因でセキュリティ ログのトラフィック ログへの書き込みに失敗したことを示すアラームが導入されました。アラームは、show コマンド show system alarmsの出力に表示されます。

セキュリティ ポリシー

  • Secure Web Proxy 透過的 Web プロキシ(SRX380、SRX320、SRX340、SRX345、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、vSRX3.0)に名称変更—Junos OS リリース 25.2R1 以降、セキュア Web プロキシの名前が透過的 Web プロキシに変更されました。Junos OS リリース 25.2R1 以降のリリースにアップグレードする場合は、プロキシ機能の使用に関して以下の点に留意してください。

    既存のSecure web proxy関連のCLIステートメントおよびコマンドはすべて非推奨です。つまり、Junos OS リリース 25.2R1 以降、セキュア web プロキシ機能は、すぐには削除されませんが、非推奨とされました。これは、後方互換性を確保し、設定を新しい設定に適合させる機会を提供するためです。この変更の一環として、 [edit services web-proxy secure-proxy] 階層とこの階層の下にあるすべての設定オプションは非推奨となります。つまり、透過プロキシ設定ステートメントの階層が set services web-proxy secure-proxy から set services web-proxy transparent-proxyに変更されました。

    移行するには、次の表に示すように、既存のコマンド階層を新しいものに置き換える必要があります。

    表1: Secure Web Proxy階層の置き換え
    前の階層(Secure Web Proxy) 新しい階層(透過Webプロキシ)
    set services web-proxy secure-proxy set services web-proxy transparent-proxy
    set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name> set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>

    これらの調整により、設定が最新の状態に保たれ、新機能を活用する準備が整います。

    [ 透過的Webプロキシ (Junos OSバージョン25.2R1以降のリリース)および Secure Web Proxy (Junos OS 25.2R1より前のJunos OSバージョン)を参照してください]。

ユーザーインターフェイスと構成

  • request support informationコマンドのアクセス権限(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズファイアウォール、およびvSRX仮想ファイアウォール)request support information コマンドは、トラブルシューティングとデバッグの目的でシステム情報を生成するように設計されています。特定のアクセス権限 maintenance view 、および view-configuration を持つユーザーは、サポート情報の要求コマンドを実行できます。

  • show system storageコマンド出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ)の変更—show system storageコマンド出力を更新して、真の(物理)ストレージのみを含み、ホスト/ハイパーバイザーレベルのストレージを除外しました。以前のリリースでは、出力にはコンテナ/jailストレージも含まれますが、これには独自の個別のストレージはありません。

    [show system storageを参照してください。

  • すべての設定データベース(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)の合計ディスク容量使用統計を表示するオプション: show system configuration database usage コマンドは、 merge オプションを提供します。 merge オプションを含めると、コマンドの出力には、静的構成データベースとすべての一時構成データベース インスタンスを含む、すべての構成データベースのディスク領域使用状況の合計統計情報が表示されます。

    [ show system configuration database usage を参照してください。

  • netconf sshは工場出荷時のデフォルト デバイス設定から削除されます(SRX300、SRX320、SRX340、SRX345、SRX380)—セキュリティを強化するため、工場出荷時のデフォルト デバイス設定から[edit system services]階層レベルのnetconf sshステートメントを削除しました。このサービスを利用するには、ステートメントを明示的に設定することができます。

VPN

  • インラインIPsecハードウェアオフロード(SRX4700)を無効にするグローバルオプション—パケット転送エンジン ASICでIPsec トンネル処理のハードウェアオフロードを無効にできます。コマンドset security ipsec hw-offload-disableを使用して、このパケットのインライン IPsec 処理をグローバルに無効にします。ステートメントを設定すると、ファイアウォールはパケット転送エンジンASICではなく、CPUでIPsecトンネルを処理します。このステートメントは、edit security ipsec階層レベルで以前の非表示オプションno-hw-offloadを置き換えます。このグローバル構成は、ファイアウォール レベルで IPsec ハードウェア オフロード設定を管理するための合理的なアプローチを提供します。

    [ ipsec (セキュリティ)] を参照してください。

  • IPSec VPN(SRXシリーズおよびvSRX 3.0)の脆弱なアルゴリズムの廃止:IKEおよびIPsecのプロポーザルにおける脆弱なアルゴリズムを非推奨にしました。次のアルゴリズムは使用できなくなります。

    表 2:非推奨のJunos CLIオプション
    種類 アルゴリズム Junos CLI ステートメント
    IKEプロポーザルの暗号化アルゴリズム des-cbc そして 3des-cbc set security ike proposal name encryption-algorithm
    IKEプロポーザルの認証アルゴリズム md5sha1 set security ike proposal name authentication-algorithm
    IKE 提案の DH グループ group1group2、および group5 set security ike proposal name dh-group
    IKEプロポーザルの暗号化アルゴリズム des-cbc そして 3des-cbc set security ipsec proposal name encryption-algorithm
    IKEプロポーザルの認証アルゴリズム

    hmac-md5-96hmac-sha1-96

    		set security ipsec proposal name authentication-algorithm

    これらの非推奨のアルゴリズムを明示的に構成すると、警告メッセージが表示されます。別の方法として、より強力なアルゴリズムを設定して IPSec VPN のセキュリティを強化することをお勧めします。

    [ プロポーザル(セキュリティIKE、および プロポーザル(セキュリティIPsec)を参照してください。]

  • 追加プラットフォーム(SRX1500、SRX4100、SRX4200、SRX4600、vSRX3.0)へのjunos-ikeパッケージのデフォルトインストールjunos-ike パッケージはデフォルトでSRX1500、SRX4100、SRX4200、SRX4600、vSRX3.0ファイアウォールにインストールされ、IPSec VPNサービスの iked プロセスのデフォルトサポートを確保します。これは、ルーティングエンジン3を搭載したSRX5000シリーズ(RE3を搭載したSRX5K-SPC3)のパッケージの既存のデフォルトインストールと一致しています。 junos-ike パッケージを削除するには、コマンド request system software delete junos-ikeを使用します。これにより、これらのファイアウォールで kmd プロセスが実行され、セキュリティインフラストラクチャを柔軟に管理できるようになります。

    [ 「新しいパッケージでの IPSec VPN 機能サポート」を参照してください。

  • Juniper Secure Connect(SRXシリーズ、vSRX3.0)でのログオン前のコンプライアンスチェックのためのiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを構成して、iPadOSを実行しているエンドポイントを許可または拒否できます。[edit security remote-access compliance pre-logon name term name match platform]階層レベルで ipados オプションを使用して、これらのチェックを実施します。これにより、準拠しているiPadOSデバイスのみがアクセスを許可され、ネットワークのセキュリティが強化されます。

    [ コンプライアンス(Juniper Secure Connect)を参照してください。]