Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

¿Qué ha cambiado?

Obtenga información sobre los cambios realizados en esta versión para los firewalls de la serie SRX.

Seguridad de contenido

  • Modo de análisis antivirus Avira compatible con SRX1600 dispositivo (SRX1600): SRX1600 dispositivo solo admite el análisis antivirus Avira solo en modo ligero y no admite el modo pesado. Por lo tanto, hemos eliminado la onbox-av-load-flavor instrucción en el nivel de edit chassis jerarquía para SRX1600 dispositivo.

    Consulte Ejemplo: Configurar Avira Antivirus.

  • Actualización del comando operativo de comprobación de URL (serie SRX): a partir de Junos OS versión 23.4R1, puede utilizar el test security utm web-filtering url-check comando test para comprobar la categoría y la reputación de una URL. Antes de esta versión, el test security utm enhanced-web-filtering url-check comando test se usaba para comprobar la categoría y la reputación de una URL.

    Consulte prueba de seguridad utm enhanced-web-filtering url-check.

J-Web

  • URL del paquete de seguridad actualizado (firewalls de la serie SRX y vSRX3.0): a partir de Junos OS versión 23.4R1, en J-Web, actualizamos la URL del paquete de seguridad en Administración de dispositivos > Administración de paquetes de seguridad > Configuración de categorías de URL. Puede usar esta URL para descargar Juniper NextGen o el paquete de filtrado web mejorado de Juniper.

    [Consulte Configuración de categorías de URL.]

  • La SA interna ahora se denomina Cifrado SA interno (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de SA interna a Cifrado Inter SA y Claves SA internas para clave en Network > VPN > VPN IPsec > Configuración global.

    [ Consulte Configuración global de VPN IPsec.]

  • Nombre ahora se denomina Identificador (SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600, SRX5400, SRX5800 y vSRX3.0): a partir de Junos OS versión 23.4R1, en J-Web, hemos cambiado el nombre de Nombre a Identificador y Dirección de red a Subred en Servicios de seguridad > Autenticación de firewall > Grupos de direcciones.

    [Consulte la página Acerca de los grupos de direcciones.]

  • El intervalo de direcciones ahora se denomina Rangos de direcciones con nombre (firewalls de la serie SRX y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de Intervalo de direcciones a Rangos de direcciones con nombre en Security Services > Firewall Authentication > Address Pools.

    [Consulte la página Acerca de los grupos de direcciones.]

  • La instancia de enrutamiento ahora se denomina enrutador virtual de origen (firewalls de la serie SRX y vSRX3.0): a partir de la versión 23.4R1 de Junos OS, en J-Web, hemos cambiado el nombre de Instancia de enrutamiento a Enrutador virtual de origen y Dirección de origen a interfaz de origen en Servicios de seguridad > Autenticación de firewall > perfil de acceso > Crear perfil de acceso > Crear servidor Radius y servicios de seguridad > Autenticación de firewall > perfil de acceso > crear perfil de acceso > crear servidor LDAP.

    [ Consulte Agregar un perfil de acceso.]

API XML y scripting de Junos

  • Las etiquetas de salida XML cambiaron para request-commit-server-pause y request-commit-server-start (serie ACX, serie EX, serie MX, serie QFX, serie SRX y vSRX): hemos cambiado la salida XML para el request system commit server pause comando (request-commit-server-pause RPC) y el request system commit server start comando (request-commit-server-start RPC). El elemento raíz es <commit-server-operation> en lugar de <commit-server-information>, y la <output> etiqueta cambia de nombre a <message>.

Administración y monitoreo de red

  • Las operaciones de NETCONF <copy-config> admiten un file:// URI para operaciones de copia a archivo (series ACX, EX, MX, QFX, SRX y vSRX): la operación NETCONF <copy-config> admite el uso de un file:// URI cuando <url> es el destino y especifica la ruta absoluta de un archivo local.

    [Consulte <copy-config>.]

Interfaz de usuario y configuración

  • La visualización de archivos con el comando requiere que los file compare files usuarios tengan maintenance permiso : el file compare files comando de Junos OS y Junos OS Evolved requiere que un usuario tenga una clase de inicio de sesión con maintenance permiso.

    [Consulte Descripción general de las clases de inicio de sesión.]

VPN

  • Opción de instancia kmd no válida cuando iked está habilitado para VPN IPsec (serie SRX): hemos eliminado la opción kmd-instance al habilitar el proceso iked mediante el paquete junos-iked para ejecutar funciones VPN IPsec en Junos OS versión 23.4R1. Esta opción es aplicable cuando tiene un proceso kmd para las características de VPN IPsec.

    [Consulte mostrar asociaciones de seguridad ipsec de seguridad.]

  • Las opciones relacionadas con la instancia FPC, PIC y KMD no son válidas en mostrar seguridad comando ike sa con proceso IKED (serie SRX): con junos-ike el paquete instalado para ejecutar VPN IPsec usando IKED el proceso, las opciones fpcpic y kmd-instance no se verán en show security ike security-associations la jerarquía. Estas opciones no son válidas y se han eliminado de la CLI de Junos OS versión 23.4R1. Esto significa que no puede usar show security ike sa fpc 0 pic 0 comandos con VPN IPsec que ejecuten procesos IKED en el firewall de la serie SRX.

    [Consulte mostrar asociaciones de seguridad ike.]

  • Mejoras en la administración de la configuración de IKE para borrar las estadísticas de IKE en un nodo secundario (serie SRX): en versiones anteriores de Junos OS, en un modo de clúster de chasis, el proceso ike-config-Management (IKEMD) no respondía a las solicitudes de administración en el nodo secundario. Se produce un error en el comando clear security ike stats, con el mensaje error: IKE-Config-Management not responding to management requests de error en el nodo secundario. A partir de Junos OS versión 22.4R3, el comando se ejecuta correctamente sin el error en el nodo secundario.

  • Introducción de la opción extensa para asociaciones de seguridad IPsec (serie MX, serie SRX y vSRX 3.0): hemos introducido la extensive opción para el show security ipsec security-associations comando. Utilice esta opción para mostrar las asociaciones de seguridad IPsec con todos los eventos de túnel. Utilice la opción existente detail para mostrar hasta diez eventos en orden cronológico inverso.

    [Consulte mostrar asociaciones de seguridad ipsec de seguridad.]

  • Mejoras para corregir el error de validación de certificados de CA (serie SRX y vSRX 3.0): para los certificados de CA, se produce un error en la validación de certificados con el servidor Lets Encrypt cuando se utiliza la instrucción set security pki ca-profile ISRG revocation-check crl url de configuración, ya que PKI envía la solicitud OCSP en HTTP 1.0 con el requestorNamecomando . Hicimos modificaciones en el comportamiento para enviar la solicitud OCSP usando HTTP 1.1 sin el requestorName por defecto.

    • Para enviar el requestorName cuando se utiliza HTTP 1.1, utilice la opción add-requestor-name-payload oculta en el nivel de edit security pki ca-profile ca-profile-name revocation-check ocsp jerarquía.

    • Para enviar la solicitud OCSP mediante HTTP 1.0, utilice la opción use-http-1.0 oculta en el nivel de jerarquía para garantizar la edit security pki ca-profile ca-profile-name revocation-check ocsp compatibilidad con versiones anteriores.

      [Consulte comprobación de revocación (PKI de seguridad).]

  • Mejoras en los comandos de administración de configuración de IKE en el clúster de chasis (serie SRX): en versiones anteriores de Junos OS, en un modo de clúster de chasis, los siguientes comandos fallaron con el mensaje error: IKE-Config-Management not responding to management requests de error en el nodo secundario:

    • Mostrar estadísticas IKE de seguridad

    • mostrar seguridad ike sa ha-link-encryption

    • mostrar seguridad ipsec sa ha-link-encryption

    • mostrar seguridad ipsec inactivos-túneles ha-link-encryption

    • clear security ike sa ha-link-encryption

    • Borrar seguridad IPsec SA ha-link-encryption

    Debe ejecutar estos comandos solo en el nodo principal en lugar del nodo secundario. A partir de Junos OS versión 23.4R1, no verá el mensaje de error, ya que el nodo secundario no tiene salida que mostrar.

  • Mejoras en la salida del comando mostrar detalles de asociaciones de seguridad ipsec de seguridad (serie SRX y vSRX 3.0): hemos mejorado el resultado de cuando se habilita vpn-monitor en el nivel de show security ipsec security-associations detail edit security ipsec vpn vpn-name jerarquía, cuando el firewall ejecuta servicios VPN IPsec con el nuevo proceso iked. El resultado se muestra y interval se valora threshold en la salida del comando. A partir de Junos OS versión 23.4R1, notará estos cambios.

    [Consulte mostrar asociaciones de seguridad ipsec de seguridad.]

  • Modificación de las etiquetas XML de show security ipsec los comandos (serie SRX y vSRX 3.0): hemos cambiado las etiquetas XML de los siguientes comandos en show security ipsec.

    Mandar

    Nueva etiqueta XML

    Etiqueta XML antigua

    show security ipsec tunnel-events-statistics |display xml validate

    ipsec-tunnel-event-statistics

    usp-ipsec-tunnel-event-statistics-information

    show security ipsec inactive-tunnels detail | display xml validate

    ipsec-unestablished-tunnel-information

    ipsec-security-association-information

    A partir de Junos OS versión 23.4R1, con las nuevas etiquetas XML, observará que emite show security ipsec commands XML válido.