Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

変更点

このリリースのSRXシリーズの変更点についてご確認ください。

アプリケーションセキュリティ

  • カスタムシグネチャにおけるssl-versionの廃止(SRXシリーズ)—SSLコンテキストベースのカスタムシグネチャのssl-versionは、アプリケーションシグネチャパッケージバージョン3796以降で非推奨です。代わりにssl-protocol-versionオプションを使用できます。ssl-versionオプションは、すぐには削除されませんが、非推奨になりました。これは、後方互換性を確保し、新しい設定に準拠させる機会を提供するためです。

    [[アプリケーション識別とコンテキスト用のカスタムアプリケーションシグネチャを参照してください。]

  • SSLプロキシプロファイルの設定制限—このリリース以降、SSLフォワードプロキシとSSLリバースプロキシの両方の設定における、信頼できるCA証明書、サーバー証明書、URLカテゴリの制限を更新しました。これらの変更により、構成 BLOB の最大サイズ制限である 56,986 バイトへの準拠が確保されます。

    制限サイズの変更:

    • 信頼できるCA証明書/サーバー証明書:最大制限—400(1024から変更)
    • URLカテゴリ: 最大制限 - 800(変更なし)

    設定ステートメント:

    注:リバースプロキシ設定では、サーバー証明書とURLカテゴリの合計サイズが56,986バイトを超えないようにします。合計サイズが制限を超える場合、コミット中に以下のエラーメッセージが表示されます。 このエラーはメモリ使用量の内訳を示し、それに応じて設定を調整するのに役立ちます。

    [[SSLプロキシの設定]を参照してください。]

コンテンツセキュリティ

  • ISSU(SRXシリーズ)用Sophosアンチウィルス設定—インサービスソフトウェアアップグレード(ISSU)の実行時にSophosアンチウィルスを使用するには、以下の設定オプションを削除します。

    • edit security utm default-configuration anti-virus forwarding-mode holdset

    • edit security utm default-configuration anti-virus forwarding-mode inline-tap

    この注意は、ISSUアップグレードにのみ適用され、スタンドアロンアップグレードには適用されません。ISSUを完了したら、上記の設定を再度有効にできます。両方のデバイスが起動すると、Sophosのアンチウイルス機能は通常通りに実行されます。

    [ ソフォスアンチウイルス設定の概要を参照してください。]

シャーシクラスタリング

  • 冗長性モードを定義します。

    • active-active: primary and secondary nodes in active mode.

    • active-backup: primary in active, secondary in backup mode.

JIMS

Juniper Secure Connect

  • Juniper Secure Connect(SRXシリーズおよびvSRX3.0)でのログオン前のコンプライアンスチェックに対するiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを設定して、iPadOSを実行しているエンドポイントを許可または拒否できます。これらのチェックを適用するには、[edit security remote-access compliance pre-logon name term name match platform]階層レベルでipadosオプションを使用します。これにより、準拠した iPadOS デバイスのみがアクセスが許可され、ネットワークのセキュリティが強化されます。

    [ コンプライアンス(Juniper Secure Connect)を参照してください。]

ネットワークアドレス変換(NAT)

  • NATデバッグのサポート(SRXシリーズファイアウォールとvSRX)—NAT関連の問題をデバッグするには、request support information security-componentsコマンドでnatオプションを使用します。

    [ 「サポート情報のリクエスト」を参照してください。]

ネットワーク管理と監視

  • シェルオプションの非推奨shell オプションは個別の設定を必要とせず、デフォルトの動作になりました。シェルオプションを廃止すると、効率が向上し、管理タスクが簡素化されます。

PKI

  • ユーザーアカウント資格情報用のSSHキーオプションkey-options key-options オプションは、設定されたシステムログインユーザー <user> authentication [ssh-rsa|ssh-ecdsa|ssh-ed25519] <ssh key> 階層レベルで設定できます。

    [ ログインを参照してください。

  • 証明書登録システムログ(Junos)—SCEPおよびCMPv2証明書の障害があった場合に通知するシステムログを追加しました。SCEP証明書登録に失敗すると、PKID_SCEP_EE_CERT_ENROLL_FAILメッセージが表示されます。CMPv2証明書登録に失敗すると、PKID_CMPV2_EE_CERT_ENROLL_FAILメッセージが表示されます。

    [ システムログエクスプローラを参照してください。]

プラットフォームとインフラストラクチャ

  • セキュリティログのトラフィックログへの書き込み失敗を示すアラームの追加(SRX4700)—ディスクの破損または読み取り/書き込みエラーが原因でセキュリティログのトラフィックログへの書き込みに失敗したことを示すアラームを導入しました。アラームは、showコマンドshow system alarmsの出力に表示されます。

セキュリティポリシー

  • Secure Web Proxy 透過 Web プロキシ(SRX380、SRX320、SRX340、SRX345、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、vSRX3.0)に名前が変更されました。Junos OS Release 25.2R1 以降、Secure Web Proxy の名前が透過 Web プロキシに変更されました。Junos OSリリース25.2R1以降のリリースへのアップグレードを予定されている場合は、プロキシ機能の使用に関して以下の点に留意してください。

    既存のセキュアWebプロキシ関連のCLIステートメントとコマンドはすべて非推奨です。つまり、Junos OS リリース 25.2R1 以降、セキュア Web プロキシ機能は、すぐには削除されませんが、非推奨とされました。これは、後方互換性を確保し、新しい設定に準拠させる機会を提供するためです。この変更の一環として、 [edit services web-proxy secure-proxy] 階層とこの階層下のすべての設定オプションは非推奨となります。つまり、透過プロキシ設定ステートメントの階層が set services web-proxy secure-proxy から set services web-proxy transparent-proxyに変更されました。

    移行するには、次の表に示すように、既存のコマンド階層を新しいものに置き換える必要があります。

    表1:セキュアWebプロキシ階層の置き換え
    前の階層(Secure Web Proxy) 新しい階層(透過Webプロキシ)
    set services web-proxy secure-proxy set services web-proxy transparent-proxy
    set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services web-proxy profile-name <trans-proxy-profile-name> set security policies from-zone trust to-zone untrust policy apply_webproxy then permit application-services transparent-proxy profile-name <trans-proxy-profile-name>

    これらの調整により、設定が最新になり、新機能を活用できるようになります。

    [透過Web プロキシ (Junos OSバージョン25.2R1以降のリリース)と セキュアWebプロキシ (Junos OS 25.2R1より前のJunos OSバージョン)を参照してください]。

ユーザーインターフェイスと設定

  • request support informationコマンドのアクセス権限(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズファイアウォール、vSRX仮想ファイアウォール)request support information コマンドは、トラブルシューティングとデバッグ用のシステム情報を生成するように設計されています。特定のアクセス権限 maintenance view view-configuration を持つユーザーは、request support informationコマンドを実行できます。

  • show system storageコマンド出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ)の変更show system storageコマンド出力を更新し、真の(物理)ストレージのみを含め、ホスト/ハイパーバイザーレベルのストレージは除外しました。以前のリリースでは、出力にコンテナー/jail ストレージも含まれますが、独自のストレージは別途ありません。

    [ show system storageを参照してください。]

  • すべての設定データベース(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)の結合ディスク容量使用統計を表示するオプションshow system configuration database usage コマンドには merge オプションがあります。 merge オプションを含めると、コマンド出力に、静的構成データベースとすべての一時構成データベースインスタンスを含む、すべての構成データベースの合計ディスク領域使用統計が表示されます。

    [ 「システム構成データベースの使用状況の表示」を参照してください。]

  • 工場出荷時のデフォルトデバイス設定(SRX300、SRX320、SRX340、SRX345、SRX380)からnetconf sshが削除されます。セキュリティを強化するため、工場出荷時のデフォルトデバイス設定から[edit system services]階層レベルのnetconf sshステートメントを削除しました。このサービスを使用するには、ステートメントを明示的に設定します。

VPN

  • インラインIPsecハードウェアオフロード(SRX4700)を無効にするグローバルオプション—パケット転送エンジンASICでIPsecトンネル処理のハードウェアオフロードを無効にできます。comman set security ipsec hw-offload-disableを使用して、このパケットのインライン IPsec 処理をグローバルに無効にします。ステートメントを設定すると、ファイアウォールはパケット転送エンジンASICではなくCPUでIPsecトンネルを処理します。このステートメントは、edit security ipsec階層レベルでno-hw-offload以前の非表示オプションを置き換えます。このグローバル構成により、ファイアウォールレベルでIPsecハードウェアオフロード設定を管理するための合理的なアプローチが提供されます。

    [ 「ipsec(セキュリティ)」を参照してください。]

  • IPsec VPN(SRXシリーズとvSRX 3.0)の弱いアルゴリズムの非推奨—IKEおよびIPsecの提案の弱いアルゴリズムは非推奨になりました。次のアルゴリズムは使用できなくなります。

    表2:非推奨のJunos CLIオプション
    タイプ アルゴリズム Junos CLIステートメント
    IKEプロポーザルにおける暗号化アルゴリズム des-cbc そして 3des-cbc set security ike proposal name encryption-algorithm
    IKEプロポーザルでの認証アルゴリズム md5sha1 set security ike proposal name authentication-algorithm
    IKE提案におけるDHグループ group1group2、および group5 set security ike proposal name dh-group
    IKEプロポーザルにおける暗号化アルゴリズム des-cbc そして 3des-cbc set security ipsec proposal name encryption-algorithm
    IKEプロポーザルでの認証アルゴリズム

    hmac-md5-96 そして hmac-sha1-96

    		set security ipsec proposal name authentication-algorithm

    これらの非推奨のアルゴリズムを明示的に設定すると、警告メッセージが表示されます。別の方法として、より強力なアルゴリズムを設定してIPsec VPNのセキュリティを強化することをお勧めします。

    [ プロポーザル(セキュリティ IKE)および プロポーザル(セキュリティ IPsec)を参照してください。]

  • 追加プラットフォーム(SRX1500、SRX4100、SRX4200、SRX4600、vSRX3.0)でのjunos-ikeパッケージのデフォルトインストールjunos-ikeパッケージは、SRX1500、SRX4100、SRX4200、SRX4600、およびvSRX3.0ファイアウォールにデフォルトでインストールされ、IPsec VPNサービスのikedプロセスに対するデフォルトサポートを保証します。これは、ルーティングエンジン3を搭載したSRX5000シリーズ(RE3を搭載したSRX5K-SPC3)におけるパッケージの既存のデフォルトインストールと一致しています。コマンドrequest system software delete junos-ikeを使用して、junos-ikeパッケージを削除できます。これにより、これらのファイアウォール上でkmdプロセスが実行されるため、セキュリティインフラストラクチャを柔軟に管理できます。

    [ 新しいパッケージでのIPsec VPN機能サポートを参照してください。]

  • Juniper Secure Connect(SRXシリーズおよびvSRX3.0)でのログオン前のコンプライアンスチェックに対するiPadOSのサポート—ファイアウォールでログオン前のコンプライアンスチェックを設定して、iPadOSを実行しているエンドポイントを許可または拒否できます。これらのチェックを適用するには、[edit security remote-access compliance pre-logon name term name match platform]階層レベルでipadosオプションを使用します。これにより、準拠した iPadOS デバイスのみがアクセスが許可され、ネットワークのセキュリティが強化されます。

    [ コンプライアンス(Juniper Secure Connect)を参照してください。]