Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Policy Enforcerのリリースノート

新機能と変更された機能

このセクションでは、Policy Enforcerリリース21.3R1の新機能と既存機能の強化について説明します。

  • NSX-T enhancements—Policy Enforcer Release 21.3R1より、NSX-Tの東西トラフィックのサポートが提供されます。

製品の互換性

このセクションでは、Policy Enforcerでサポートされているハードウェアおよびソフトウェアのバージョンについて説明します。Security Directorの要件については、Security Director 21.3R1リリースノートを参照してください。

サポートされているSecurity Directorソフトウェアバージョン

Policy Enforcerは、 表1に示すように、特定のSecurity Directorソフトウェアバージョンでのみサポートされています。

表1:サポートされているSecurity Directorソフトウェアバージョン

Policy Enforcerソフトウェアバージョン

Security Directorソフトウェアバージョンとの互換性

Junos OSリリース(ジュニパーATPクラウドがサポートするデバイス)

21.3R1

21.3R1

Junos OS リリース 15.1X49-D120 または Junos OS リリース 17.3R1 以降
メモ:

Security DirectorとPolicy Enforcerに設定するタイムゾーンは同じである必要があります。

サポートされているデバイス

表2 は、Juniper ATPクラウドをサポートするSRXシリーズデバイスと、これらのデバイスがサポートする脅威フィードの一覧です。

メモ:

表 2 は、各プラットフォームでサポートされる一般的な Junos OS リリースを示しています。ただし、Policy Enforcerソフトウェアの各バージョンには、優先される特定の要件があります。詳しくは 、表 1 を参照してください。
表2:Juniper ATPクラウドでサポートされているSRXシリーズデバイスとフィードタイプ

プラットフォーム

モデル

Junos OSリリース

サポートされている脅威フィード

vSRX

2個のvCPU、4GBのRAM

Junos 15.1X49-D60 およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX300、SRX320

Junos 15.1X49-D90 およびそれ以降

C&C、GeoIP

SRXシリーズ

SRX340、SRX345、SRX550M

Junos 15.1X49-D60 およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX1500

Junos 15.1X49-D60 およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX5400、SRX5600、SRX5800

Junos 15.1X49-D62 およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX4100、SRX4200

Junos 15.1X49-D65 およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX4600

Junos 18.1R1およびそれ以降

C&C、アンチマルウェア、感染ホスト、GeoIP

SRXシリーズ

SRX3400、SRX3600

Junos 12.1X46-D25 およびそれ以降

C&C、GeoIP

SRXシリーズ

SRX1400

Junos 12.1X46-D25 およびそれ以降

C&C、GeoIP

SRXシリーズ

SRX550

Junos 12.1X46-D25 およびそれ以降

C&C、GeoIP

SRXシリーズ

SRX650

Junos 12.1X46-D25 およびそれ以降

C&C、GeoIP

表3 に、JATPと互換性のあるハードウェアおよびソフトウェアコンポーネントを示します。

表3:JATPと互換性のあるサポートされているハードウェアとソフトウェアのバージョン

プラットフォーム

ハードウェア

ソフトウェアバージョン

vSRX

  

Junos 19.1R1.6およびそれ以降

SRXシリーズ

SRX320、SRX300

Junos 19.1R1以上

SRXシリーズ

SRX4100、SRX4200、SRX4600

Junos 15.1X49-D65およびそれ以降(SRX4100およびSRX4200向け)

Junos 18.1R1以降(SRX4600向け)

SRXシリーズ

SRX340、SRX345、SRX550m

Junos 15.1X49-D60 およびそれ以降

SRXシリーズ

SRX5800、SRX5600、SRX5400

Junos 15.1X49-D50 およびそれ以降

SRXシリーズ

SRX1500

Junos 15.1X49-D33およびそれ以降
メモ:

SMTP 電子メール添付ファイルのスキャン機能は、Junos OS リリース 15.1X49-D80 以降が実行されている SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。vSRXは、SMTP電子メール添付ファイルスキャン機能をサポートしていません。

Policy Enforcerリリース18.3R1では、Policy EnforcerはJunos OSリリース17.3R1以降を実行するSRXシリーズデバイスをサポートします。

表 4 は、サポートされる EX シリーズおよび QFX シリーズ スイッチの一覧です。

表 4: サポートされている EX シリーズ イーサネット スイッチと QFX シリーズ スイッチ

プラットフォーム

モデル

Junos OSリリース

EXシリーズ

EX4200、EX2200、EX3200、EX3300、EX4300

Junos 15.1R6 およびそれ以降

EXシリーズ

EX9200

Junos 15.1R6 およびそれ以降

EXシリーズ

EX3400、EX2300

Junos 15.1R6 およびそれ以降

Junos 15.1X53-D57 およびそれ以降

QFX シリーズ

QFX5100、QFX5200

vQFX

Junos 15.1R6 およびそれ以降

Junos 15.1X53-D60.4

表 5 に、DDoS および C&C フィード タイプをサポートする、サポートされる MX シリーズ ルーターを示します。

表 5: サポートされている MX ルーターとフィードの種類

プラットフォーム

モデル

Junos OSリリース

サポートされているフィードの種類

MX シリーズ

MX240、MX480、MX960

Junos 14.2R1およびそれ以降

Ddos

MX240、MX480、MX960

Junos 18.4R1およびそれ以降

C&C

(Mark MX Series router as perimeter device in secure fabric).

C&Cフィードはグローバルであり、C&CカスタムフィードがPolicy Enforcerに設定されている場合は上書きされます。

Vmx

Junos 16.2R2.8

-

表 6 に、サポートされている SDN およびクラウド プラットフォームを示します。

表 6: サポートされている SDN およびクラウド プラットフォーム

コンポーネント

仕様

VMware NSX for vSphere

6.3.1 以降

メモ:

vSphere 6.5 を実行しているサイトの場合、vSphere 6.5a は vSphere 6.3.0 の NSX でサポートされている最小バージョンです。

VMware NSXマネージャ

6.3.1 以降

サードパーティの有線および無線アクセスネットワーク

表 7 に、サードパーティーのサポートと必要なサーバーを示します。

表 7: サードパーティの有線および無線アクセス ネットワーク

スイッチ/サーバー

ノート

サードパーティ製スイッチ

RADIUS IETF属性に準拠し、ClearPassからのRADIUS認証変更をサポートするスイッチモデルは、脅威を修復するためのPolicy Enforcerでサポートされています。

ClearPass RADIUS サーバー

ソフトウェア バージョン 6.6.0 を実行している必要があります。

Cisco ISE

ソフトウェア バージョン 2.1 または 2.2 を実行している必要があります。

Forescout CounterACT

ソフトウェア バージョン 7.0.0 を実行している必要があります。

メモ:

Policy Enforcerで使用するために、CounterACTの評価版を入手する。

パルスセキュア

ソフトウェア バージョン 9.0R3 が実行されている必要があります。

ジュニパーネットワークスEX4300イーサネットスイッチを使用してサードパーティー製スイッチと統合する場合、EX4300はJunos OSリリース15.1R6以降を搭載している必要があります。

ジュニパーネットワークス Contrail、Microsoft Azure、AWS の仕様

表 8 に、ジュニパーネットワークスの Contrail に必要なコンポーネントを示します。

表 8: ジュニパーネットワークス Contrail のコンポーネント

モデル

ソフトウェアバージョン

サポートされるPolicy Enforcerモード

ジュニパーネットワークス Contrail

5.0

vSRXを使用したマイクロセグメンテーションと脅威の修復

vSRX

Junos OS 15.1X49-D120 およびそれ以降

vSRXを使用したマイクロセグメンテーションと脅威の修復

表 9 は、AWS に必要な Policy Enforcer コンポーネントを示しています。

表 9: AWS のサポートコンポーネント

モデル

ソフトウェアバージョン

サポートされるPolicy Enforcerモード

vSRX

Junos OS 15.1X49-D100.6 およびそれ以降

Junos OS 19.2R1およびそれ以降

ワークロードディスカバリに基づくvSRXポリシー

AWS with JATP

Microsoft Azure の使用を開始するには、「 Microsoft Azure の使用を開始する」を参照してください。

表10 は、Microsoft Azureに必要なPolicy Enforcerコンポーネントを示しています。

表 10: Microsoft Azure のサポート コンポーネント

モデル

ソフトウェアバージョン

サポートされるPolicy Enforcerモード

vSRX

Junos OS 15.1X49-D110.4 およびそれ以降

ワークロードディスカバリに基づくvSRXポリシー

仮想マシン

Policy Enforcerは、オープンな仮想アプライアンス(OVA)またはカーネルベースの仮想マシン(KVM)パッケージとして提供され、以下の構成でVMware ESXまたはQuick Emulator(QEMU)/KVMネットワーク内に導入されます。

  • 2 CPU

  • 8 GB RAM(16 GB を推奨)

    256 を超えるカスタム動的アドレス、許可リスト、またはブロックリストを構成する場合は、RAM を 16 GB に増やす必要があります。

  • 120 GB のディスク容量

表 11: サポートされている仮想マシンのバージョン

仮想マシン

バージョン

Vmware

VMware ESX サーバー バージョン 4.0 以降または VMware ESXi サーバー バージョン 4.0 以降

QEMU/KVM

CentOS リリース 6.8 以降

サポートされているブラウザバージョン

Security DirectorおよびPolicy Enforcerは、以下のブラウザーで最適に表示できます。

表 12: サポートされているブラウザのバージョン

ブラウザー

バージョン

グーグルクローム

75.x

インターネットエクスプローラ

ウィンドウズ7上の11

Firefox

67.0 以降

アップグレードのサポート

Policy Enforcerのアップグレードは、Security Directorのアップグレードと同じルールに従います。以前にリリースされたバージョンからのみアップグレードできます。これにはマイナーリリースが含まれます。例えば、Policy Enforcerリリース20.1R1からのみPolicy Enforcerリリース21.3R1にアップグレードできます。ただし、Policy Enforcer 20.1R1は、19.1R1 -> 19.1R2 -> 19.2R1->19.3R1-> 19.4R1-> 20.1R1 または 18.1R2 -> 18.2R1 -> 18.3R1 -> 18.4R1 -> 19.1R1 -> 19.1R2 -> 19.2R1 -> 19.3R1 -> 19.4R1 -> 20.1R1 -> 20.3R1 ->21.1R1 ->21.2R1 ->21.3R1。

完全なアップグレード手順については、 Policy Enforcerソフトウェアのアップグレードを参照してください。

Security Directorのアップグレードパスの詳細については、 Security Directorのアップグレードを参照してください。

既知の動作

このセクションでは、Policy Enforcer リリース 21.3R1 の既知の動作を示します。

  • 東西トラフィックに対してホストベースモードでvSRXを展開すると、vCenterのタスクペインの[ステータス]列にエラーが表示されることがあります。このリソースプールエラーを克服するには、vSRXデバイスを展開するクラスターでDRSモードを有効にする必要があります。

  • vCenter から vSRX コンソールを開いた場合、表示される警告は無視してください。

  • テナントは 1 つの VRF インスタンスにのみ関連付けることができます。

  • レルムには、テナントを含むサイトまたはテナントのないすべてのサイトを含めることができます。

  • テナントとVRFベースのフィードは、MXシリーズデバイスでのみサポートされます。

  • Policy Enforcerからのフィードに対してアクションを実行するには、Security Directorからではなく、CLIを介してMXシリーズデバイスのポリシーを設定する必要があります。

  • Junos Spaceの証明書ベースの認証モードで使用するPolicy Enforcerの証明書をアップロードするには、Junos Spaceをパスワード認証モードにしてPolicy Enforcer設定ワークフローを完了する必要があります。このモードは、Policy Enforcerの設定が完了した後に、証明書ベースの認証に切り替えることができます。

  • Policy Enforcerは、Junos Spaceネットワーク管理のデフォルトグローバルドメインのみをサポートします。

  • サード パーティ製デバイス用のコネクタを作成する場合は、コネクタに少なくとも 1 つの IP サブネットを追加する必要があります。サブネットを追加せずに構成を完了することはできません。

  • RMA の一環としてデバイスを交換し、そのデバイスがすでにセキュア ファブリック内にある場合は、セキュア ファブリックからデバイスを削除し、再度追加する必要があります。それ以外の場合、フィードは交換されたデバイスにダウンロードされません。

  • JATP ゾーンの作成または割り当ては、一般セットアップ ウィザードでは実行できません。

  • 登録の失敗を回避するため、JATPデバイスとSRXシリーズデバイスの時間差が20秒未満であることを確認してください。

  • vSRXデバイスをJATPに登録解除し、再度登録すると、Security Directorのフィードソースページにデバイスが2回表示されることがあります。

  • フィードソースが JATP の場合は、JATP ポータルで感染ホストの状態を変更する必要があります。Security Directorには、JATP関連の脅威や感染したホストを表示するダッシュボードウィジェットはありません。

  • JATPの登録時に、Juniper ATPクラウドライセンスが存在しないと表示される場合があります。この警告は無視してかまいません。

  • シャーシクラスタ内のSRXシリーズデバイスの場合、セキュアファブリックに追加する前に、プライマリおよびセカンダリシャーシクラスタノードの両方をSecurity Directorで検出する必要があります。1 つのシャーシ クラスタ ノードのみが検出され、セキュア ファブリックに追加された場合、セカンダリ ノードへのフェイルオーバー後にフィードのダウンロードは機能しません。

既知の問題

このセクションでは、Policy Enforcer Release 21.3R1の既知の問題について説明します。

解決済みのPolicy Enforcerの不具合のほとんどを網羅した最新の情報を得るには、ジュニパーネットワークスのオンライン Junos問題レポート検索 アプリケーションを使用してください。

  • [Policy Enforcer コネクタ] ページで ClearPass コネクタのパスワードを編集できない場合があります。

    回避策: コネクタを削除し、正しい資格情報を使用して再度追加します。 PR1464446

  • テナントに関連付けられているサイト(マルチテナント サイト)は、ポリシー適用グループの作成時に表示されます。これは、ガイド付きセットアップにも適用できます。UC-334

  • 証明書ベースの認証が有効になっている場合、モードを変更した後は、サイトに適用ポイントを追加できなくなります。UC-368

    Policy Enforcer 設定ページで Policy Enforcer モードを変更した後、 Junos Space® ネットワーク管理プラットフォーム > ユーザー > pe_user に移動し、クライアント証明書を手動でアップロードします。

    または

    Junos Spaceネットワーク管理プラットフォームに移動し、モードをパスワード認証に変更して、Policy Enforcerの設定を再度実行します。

  • レルムが削除され、Policy Enforcerで再度追加された後にフィードをデバイスにダウンロードすると、内部サーバーエラーが識別されます。

    回避 策:

    SRXシリーズデバイス上のJunos OS CLIで、 コマンドを実行 request services security-intelligence downloadします。 PR1586287

  • クラウドフィードのみモードでPolicy Enforcerを追加しているときに表示されるエラー。 PR1585381

解決された問題

このセクションでは、Policy Enforcer リリース 21.3R1 で修正された問題を示します。

解決済みのPolicy Enforcerの不具合のほとんどを網羅した最新の情報を得るには、ジュニパーネットワークスのオンライン Junos問題レポート検索 アプリケーションを使用してください。

  • SRXシリーズデバイスのJunos OSリリース19.2R1以降のリリースの新しいHTTPS/サーバー名表示(SNI)機能で、Policy Enforcerによって作成されたブロックリストカスタムフィードはブロックされません。 PR1626127

ホットパッチリリース

このセクションでは、Policy Enforcer リリース 21.3R1 ホットパッチ v1 の新機能、インストール手順、解決済みの問題について説明します。

メモ:

セキュリティの脆弱性は、Policy Enforcerリリース21.3R1ホットパッチv1で修正されています。

インストール手順

ホット パッチのインストール中に、スクリプトは次の操作を実行します。

  • Policy Enforcerのコントローラ、フィードコレクター、フィードプロバイダーサービスを停止します。

  • 既存の構成ファイルとライブラリをバックアップします。

  • Policy Enforcer の Red Hat パッケージマネージャー (RPM) ファイルを更新します。

  • コントローラ、フィードコレクター、フィードプロバイダーを再起動します。

メモ:

ホットパッチは、Policy Enforcerリリース21.3R1-1274または以前にインストールされたホットパッチにインストールする必要があります。ホットパッチインストーラは、ホットパッチのインストール中に変更または置換されたすべてのファイルをバックアップします。

CLI で次の手順を実行します。

  1. ダウンロードサイトからPolicy Enforcer 21.3R1パッチPolicy_Enforcer-21.3R1-XX-PE-Upgrade.rpmをダウンロードします。

    XXこちらはホットパッチ版です。

  2. Policy_Enforcer-21.3R1-XX-PE-Upgrade.rpm ファイルを /tmp の場所にコピーします。

  3. ホットパッチのデータ整合性のチェックサムを確認します。

    md5sum Policy_Enforcer-21.3R1--PE-Upgrade.rpmXX.

  4. 次のコマンドを使用してrpmをインストールします。

    rpm -Uvh Policy_Enforcer-21.3R1-XX-PE-Upgrade.rpm

メモ:

利用可能な最新のホットパッチ バージョン (累積的なパッチ) をインストールすることをお勧めします。

解決された問題

表13 は、Policy Enforcerリリース21.3R1ホットパッチで解決された問題を示しています。

表 13: Policy Enforcer リリース 21.3R1 ホットパッチで解決された問題

Pr

説明

ホットパッチバージョン

PR1628910

ユーザーがSecurity DirectorまたはPolicy Enforcerを介してSRX380デバイスをJuniper ATP Cloudに登録する際に問題が発生します。

v1