릴리스 21.4R3에서 변경된 내용

해지 확인을 위해 OCSP 서버에 연결할 수 없음(SRX 시리즈 디바이스 및 vSRX)—OCSP를 사용하여 해지 검사를 수행할 때 SRX 디바이스는 OCSP 서버 URL에 DNS 서버가 해결할 수 없는 도메인 이름이 포함되어 있는 경우 OCSP 서버에 연결을 시도하지 않습니다. 이 경우 SRX 디바이스가 OCSP 서버에 대한 연결을 설정할 수 없고 다음 구성 옵션 중 하나가 설정된 경우 OCSP 해지 점검은 CRL:u를 사용하여 허용하거나 폴백합니다.

• 보안 pki ca-profile OCSP-ROOT 해지 확인 ocsp 연결 실패 비활성화 설정

• 보안 pki ca-profile OCSP-ROOT 해지 확인 ocsp 연결 실패 폴백-crl 설정

SRX 디바이스가 OCSP 서버에 대한 연결을 설정할 수 없고 이러한 옵션이 구성되지 않은 경우 인증서 검증이 실패합니다.

[ ocsp(보안 PKI)를 참조하십시오.]

TCP-MSS의 변경은 GRE(SRX 시리즈 및 vSRX 3.0)의 우선 순위를 재정의합니다.

SRX 시리즈 방화벽 및 vSRX 가상 방화벽에서 TCP-MSS(Transmission Control Protocol Maximum Segment Size)는 GRE over IPsec 시나리오(GREoIPsec)에서 재정의되지 않을 수 있습니다. GREoIPsec 트래픽이 TCP-MSS에 대해 수정되지 않기 때문에 네트워크에서 더 많은 단편화가 발생할 수 있습니다. TCP-MSS가 GREoIPsec과 연동되도록 하려면 다음 순서(최고에서 가장 낮은 순서)로 TCP 트래픽에 적용되는 MSS의 우선 순위를 설정해야 합니다.

• gre-ingre-out GREoIPSec TCP 트래픽 방향에 따라 구성합니다.

• ipsec-vpn GREoIPsec 및 IPsec 트래픽에 대해 사용할 수 있습니다.

• all-tcp 모든 tcp 트래픽에 대한 것입니다.

NETCONF <edit-config> 의 변경 사항 RPC 응답(ACX 시리즈, EX 시리즈, MX 시리즈, PTX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)—작업이 오류를 반환할 때 <edit-config> NETCONF 서버는 RPC 응답에서 요소를 방출 <load-error-count> 하지 않습니다. 이전 릴리스 <edit-config> 에서 RPC 응답은 작업이 실패할 <load-error-count> 때 요소를 포함합니다.

디바이스는 서버 인증서 체인의 세션이 6개 이상 삭제되지 않습니다. PR1663062

컨텐츠 필터링 CLI 업데이트(SRX 시리즈 및 vSRX)—콘텐츠 필터링 CLI에 대해 다음과 같은 업데이트를 적용했습니다.

• 콘텐츠 필터링 규칙 일치 기준에 지원되는 파일 유형 목록을 트리밍했습니다. 파일 유형의 다른 변형을 고유하게 나타내는 대신 이제 하나의 file-type 문자열만 모든 변형을 나타냅니다. 따라서 규칙 일치 기준에서 show security utm content-filtering statistics 사용할 수 있는 새로운 파일 유형에 맞춰 출력도 업데이트됩니다.
• Junos OS 구성 표준과 일치하도록 log 콘텐츠 필터링 보안 로깅 옵션 seclog 의 이름을 변경했습니다.
• 콘텐츠 필터링 보안 로그 메시지와 관련된 문자열을 다시 표시 reason 했습니다.

[ 컨텐츠 필터링(보안 UTM 정책), 콘텐츠 필터링(보안 기능 프로필)을 보고 보안 utm 컨텐츠 필터링 통계를 표시합니다.]