¿Qué ha cambiado?
Obtenga información sobre los cambios realizados en esta versión para los firewalls de la serie SRX.
Seguridad de contenido
-
Modo de análisis antivirus Avira compatible con SRX1600 dispositivo (SRX1600): SRX1600 dispositivo solo admite el análisis antivirus Avira solo en modo ligero y no admite el modo pesado. Por lo tanto, hemos eliminado la
onbox-av-load-flavor
instrucción en el nivel deedit chassis
jerarquía para SRX1600 dispositivo.Consulte Ejemplo: Configurar Avira Antivirus.
-
Actualización del comando operativo de comprobación de URL (serie SRX): a partir de Junos OS versión 23.4R1, puede utilizar el
test security utm web-filtering url-check
comando test para comprobar la categoría y la reputación de una URL. Antes de esta versión, eltest security utm enhanced-web-filtering url-check
comando test se usaba para comprobar la categoría y la reputación de una URL.Consulte prueba de seguridad utm enhanced-web-filtering url-check.
J-Web
-
URL del paquete de seguridad actualizado (firewalls de la serie SRX y vSRX3.0): a partir de Junos OS versión 23.4R1, en J-Web, actualizamos la URL del paquete de seguridad en Administración de dispositivos > Administración de paquetes de seguridad > Configuración de categorías de URL. Puede usar esta URL para descargar Juniper NextGen o el paquete de filtrado web mejorado de Juniper.
[Consulte Configuración de categorías de URL.]
-
La SA interna ahora se denomina Cifrado SA interno (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de SA interna a Cifrado Inter SA y Claves SA internas para clave en Network > VPN > VPN IPsec > Configuración global.
-
Nombre ahora se denomina Identificador (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 y vSRX3.0): a partir de Junos OS versión 23.4R1, en J-Web, hemos cambiado el nombre de Nombre a Identificador y Dirección de red a Subred en Servicios de seguridad > Autenticación de firewall > Grupos de direcciones.
[Consulte la página Acerca de los grupos de direcciones.]
-
El intervalo de direcciones ahora se denomina Rangos de direcciones con nombre (firewalls de la serie SRX y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de Intervalo de direcciones a Rangos de direcciones con nombre en Security Services > Firewall Authentication > Address Pools.
[Consulte la página Acerca de los grupos de direcciones.]
-
La instancia de enrutamiento ahora se denomina enrutador virtual de origen (firewalls de la serie SRX y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de Instancia de enrutamiento a Enrutador virtual de origen y Dirección de origen a interfaz de origen en Servicios de seguridad > Autenticación de firewall > perfil de acceso > Crear perfil de acceso > Crear servidor Radius y servicios de seguridad > Autenticación de firewall > perfil de acceso > crear perfil de acceso > crear servidor LDAP.
API XML y scripting de Junos
-
Las etiquetas de salida XML cambiaron para
request-commit-server-pause
yrequest-commit-server-start
(serie ACX, serie EX, serie MX, serie QFX, serie SRX y vSRX): hemos cambiado la salida XML para elrequest system commit server pause
comando (request-commit-server-pause
RPC) y elrequest system commit server start
comando (request-commit-server-start
RPC). El elemento raíz es<commit-server-operation>
en lugar de<commit-server-information>
, y la<output>
etiqueta cambia de nombre a<message>
.
Administración y monitoreo de red
-
Las operaciones de NETCONF
<copy-config>
admiten unfile://
URI para operaciones de copia a archivo (series ACX, EX, MX, QFX, SRX y vSRX): la operación NETCONF<copy-config>
admite el uso de unfile://
URI cuando<url>
es el destino y especifica la ruta absoluta de un archivo local.[Consulte <copy-config>.]
Interfaz de usuario y configuración
-
La visualización de archivos con el comando requiere que los
file compare files
usuarios tenganmaintenance
permiso : elfile compare files
comando de Junos OS y Junos OS Evolved requiere que un usuario tenga una clase de inicio de sesión conmaintenance
permiso.[Consulte Descripción general de las clases de inicio de sesión.]
VPN
-
Opción de instancia kmd no válida cuando iked está habilitado para VPN IPsec (serie SRX): hemos eliminado la opción
kmd-instance
al habilitar el proceso iked mediante el paquete junos-iked para ejecutar funciones VPN IPsec en Junos OS versión 23.4R1. Esta opción es aplicable cuando tiene un proceso kmd para las características de VPN IPsec.[Consulte mostrar asociaciones de seguridad ipsec de seguridad.]
-
Las opciones relacionadas con la instancia FPC, PIC y KMD no son válidas en mostrar seguridad comando ike sa con proceso IKED (serie SRX): con
junos-ike
el paquete instalado para ejecutar VPN IPsec usandoIKED
el proceso, las opcionesfpc
pic
ykmd-instance
no se verán enshow security ike security-associations
la jerarquía. Estas opciones no son válidas y se han eliminado de la CLI de Junos OS versión 23.4R1. Esto significa que no puede usarshow security ike sa fpc 0 pic 0
comandos con VPN IPsec que ejecuten procesos IKED en el firewall de la serie SRX.[Consulte mostrar asociaciones de seguridad ike.]
-
Mejoras en la administración de la configuración de IKE para borrar las estadísticas de IKE en un nodo secundario (serie SRX): en versiones anteriores de Junos OS, en un modo de clúster de chasis, el proceso ike-config-Management (IKEMD) no respondía a las solicitudes de administración en el nodo secundario. Se produce un error en el comando
clear security ike stats
, con el mensajeerror: IKE-Config-Management not responding to management requests
de error en el nodo secundario. A partir de Junos OS versión 22.4R3, el comando se ejecuta correctamente sin el error en el nodo secundario. -
Introducción de la opción extensa para asociaciones de seguridad IPsec (serie MX, serie SRX y vSRX 3.0): hemos introducido la
extensive
opción para elshow security ipsec security-associations
comando. Utilice esta opción para mostrar las asociaciones de seguridad IPsec con todos los eventos de túnel. Utilice la opción existentedetail
para mostrar hasta diez eventos en orden cronológico inverso.[Consulte mostrar asociaciones de seguridad ipsec de seguridad.]
-
Mejoras para corregir el error de validación de certificados de CA (serie SRX y vSRX 3.0): para los certificados de CA, se produce un error en la validación de certificados con el servidor Lets Encrypt cuando se utiliza la instrucción
set security pki ca-profile ISRG revocation-check crl url
de configuración, ya que PKI envía la solicitud OCSP en HTTP 1.0 con el requestorNamecomando . Hicimos modificaciones en el comportamiento para enviar la solicitud OCSP usando HTTP 1.1 sin el requestorName por defecto.-
Para enviar el requestorName cuando se utiliza HTTP 1.1, utilice la opción
add-requestor-name-payload
oculta en el nivel deedit security pki ca-profile ca-profile-name revocation-check ocsp
jerarquía. -
Para enviar la solicitud OCSP mediante HTTP 1.0, utilice la opción
use-http-1.0
oculta en el nivel de jerarquía para garantizar laedit security pki ca-profile ca-profile-name revocation-check ocsp
compatibilidad con versiones anteriores.[Consulte comprobación de revocación (PKI de seguridad).]
-
-
Mejoras en los comandos de administración de configuración de IKE en el clúster de chasis (serie SRX): en versiones anteriores de Junos OS, en un modo de clúster de chasis, los siguientes comandos fallaron con el mensaje
error: IKE-Config-Management not responding to management requests
de error en el nodo secundario:-
Mostrar estadísticas IKE de seguridad
-
mostrar seguridad ike sa ha-link-encryption
-
mostrar seguridad ipsec sa ha-link-encryption
-
mostrar seguridad ipsec inactivos-túneles ha-link-encryption
-
clear security ike sa ha-link-encryption
-
Borrar seguridad IPsec SA ha-link-encryption
Debe ejecutar estos comandos solo en el nodo principal en lugar del nodo secundario. A partir de Junos OS versión 23.4R1, no verá el mensaje de error, ya que el nodo secundario no tiene salida que mostrar.
-
-
Mejoras en la salida del comando mostrar detalles de asociaciones de seguridad ipsec de seguridad (serie SRX y vSRX 3.0): hemos mejorado el resultado de cuando se habilita
vpn-monitor
en el nivel deshow security ipsec security-associations detail
edit security ipsec vpn vpn-name
jerarquía, cuando el firewall ejecuta servicios VPN IPsec con el nuevo proceso iked. El resultado se muestra yinterval
se valorathreshold
en la salida del comando. A partir de Junos OS versión 23.4R1, notará estos cambios.[Consulte mostrar asociaciones de seguridad ipsec de seguridad.]
-
Modificación de las etiquetas XML de
show security ipsec
los comandos (serie SRX y vSRX 3.0): hemos cambiado las etiquetas XML de los siguientes comandos enshow security ipsec
.Mandar
Nueva etiqueta XML
Etiqueta XML antigua
show security ipsec tunnel-events-statistics |display xml validate
ipsec-tunnel-event-statistics
usp-ipsec-tunnel-event-statistics-information
show security ipsec inactive-tunnels detail | display xml validate
ipsec-unestablished-tunnel-information
ipsec-security-association-information
A partir de Junos OS versión 23.4R1, con las nuevas etiquetas XML, observará que emite
show security ipsec commands
XML válido.