了解 FIPS 操作模式下的 Junos OS
联邦信息处理标准 (FIPS) 140-3 定义了执行加密功能的硬件和软件的安全级别。Junos-FIPS 是符合联邦信息处理标准 (FIPS) 140-3 的 Junos 操作系统 (Junos OS) 版本。
在 FIPS 140-3 级别 2 环境中运行 SRX 系列防火墙需要从 Junos OS 命令行界面 (CLI) 在设备上启用和配置 FIPS 操作模式。
安全管理员在 Junos OS 22.2R1 版中启用 FIPS 操作模式,并为系统和其他可以查看配置的 FIPS 用户设置密钥和密码。这两种用户类型还可以在单个用户配置允许的情况下在设备上执行正常配置任务(例如修改接口类型)。
请务必验证设备的安全交付,并对其易受攻击的端口应用防篡改封条。
关于设备上的加密边界
FIPS 140-3 合规性要求在设备上的每个加密模块周围定义加密边界。FIPS 操作模式下的 Junos OS 可防止加密模块运行不属于 FIPS 认证发行版的任何软件,并且仅允许使用 FIPS 批准的加密算法。任何关键安全参数 (CSP)(如密码和密钥)都不能越过模块的加密边界,例如,显示在控制台上或写入外部日志文件。
FIPS 操作模式不支持虚拟机箱功能。请勿在 FIPS 操作模式下配置虚拟机箱。
为了物理保护加密模块,所有瞻博网络设备都需要在 USB 和迷你 USB 端口上安装防篡改密封。
FIPS 操作模式与非 FIPS 操作模式有何不同
与非 FIPS 操作模式下的 Junos OS 不同,FIPS 操作模式下的 Junos OS 是 不可修改的操作环境。此外,FIPS 操作模式下的 Junos OS 与非 FIPS 操作模式下的 Junos OS 在以下方面有所不同:
-
所有加密算法的自检在启动时执行。
-
随机数和密钥生成的自测试是连续执行的。
-
弱加密算法(如数据加密标准 (DES) 和 MD5)将被禁用。
-
不得配置弱、远程或未加密的管理连接。
-
密码必须使用不允许解密的强单向算法进行加密。
-
Junos-FIPS 管理员密码长度必须至少为 10 个字符。
-
加密密钥必须在传输之前进行加密。
FIPS 140-3 标准可从美国国家标准与技术研究院 (NIST) http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf 下载。
FIPS 操作模式下的 Junos OS 验证版本
要确定 FIPS 操作模式下的 Junos OS 验证版本,以及有关瞻博网络产品的 通用标准 和 FIPS 的法规遵从性信息,请参阅 瞻博网络合规性顾问。