了解 FIPS 模式下的 Junos OS
联邦信息处理标准 (FIPS) 140-2 定义了执行加密功能的硬件和软件的安全级别。此瞻博网络路由器在 FIPS 模式下 运行瞻博网络 Junos 操作系统 (Junos OS) 符合 FIPS 140-2 级别 1 标准。
在 FIPS 140-2 级别 1 环境中操作此路由器需要从 Junos OS 命令行界面 (CLI) 在设备上启用和配置 FIPS 模式。
加密官在 Junos OS 中启用 FIPS 模式,并为系统和其他 FIPS 用户设置密钥和密码。
支持的平台和硬件
对于本文档中描述的功能,以下平台用于认证 FIPS 认证:
关于设备上的加密边界
FIPS 140-2 合规性要求在设备上的每个加密模块周围定义加密边界。FIPS 模式下的 Junos OS 可防止加密模块执行不属于 FIPS 认证发行版的任何软件,并且仅允许使用 FIPS 批准的加密算法。任何关键安全参数 (CSP),如密码和密钥,都不能以未加密格式跨越模块的加密边界。
谨慎:
FIPS 模式不支持虚拟机箱功能。请勿在 FIPS 模式下配置虚拟机箱。
FIPS 模式与非 FIPS 模式有何不同
FIPS 模式下的 Junos OS 与非 FIPS 模式下的 Junos OS 在以下方面有所不同:
所有加密算法的自检在启动时执行。
随机数和密钥生成的自测试是连续执行的。
弱加密算法(如数据加密标准 (DES) 和 MD5)将被禁用。
不得配置弱管理连接或未加密的管理连接。
密码必须使用不允许解密的强单向算法进行加密。
管理员密码长度必须至少为 10 个字符。
FIPS 模式下的 Junos OS 验证版本
要确定 Junos OS 版本是否经过 NIST 验证,请参阅瞻博网络网站 (https://apps.juniper.net/compliance/) 上的合规性页面。