了解 FIPS 模式中的 Junos OS
联邦信息处理标准 (FIPS) 140-2 定义了执行加密功能的硬件和软件的安全级别。此款在 FIPS 模式下 运行瞻博网络 Junos 操作系统 (Junos OS) 的瞻博网络路由器符合 FIPS 140-2 1 级标准。
在 FIPS 140-2 级别 1 环境中操作此路由器需要在设备上通过 Junos OS 命令行界面 (CLI) 启用和配置 FIPS 模式。
加密官在 Junos OS 中启用 FIPS 模式,并为系统和其他 FIPS 用户设置密钥和密码。
支持的平台和硬件
对于本文档中描述的功能,以下平台用于对 FIPS 认证进行资格认证:
-
MX240、MX480 和 MX960 设备使用以下路由引擎和模块化端口集中器 (MPC) 组合(https://www.juniper.net/us/en/products/routers/mx-series/mx240-universal-routing-platform.html、 https://www.juniper.net/us/en/products/routers/mx-series/mx480-universal-routing-platform.html 和 https://www.juniper.net/us/en/products/routers/mx-series/mx960-universal-routing-platform.html
-
- RE1800 和 MPC7E
- NGRE 和 MPC7E
- NGRE 和 MS-MPC
- RE1800 和 MS-MPC
- RE-S-X6-64G 和 MS-MPC
关于设备上的加密边界
FIPS 140-2 合规性要求设备上的每个加密模块周围都有一个定义的加密边界。FIPS 模式下的 Junos OS 会阻止加密模块执行任何软件,这些软件不是 FIPS 认证发行版的一部分,并且仅允许使用 FIPS 认可的密码算法。密码和密钥等关键安全参数 (CSP) 均无法以未加密格式跨越模块的密码边界。
FIPS 模式不支持虚拟机箱功能。请勿在 FIPS 模式下配置虚拟机箱。
FIPS 模式与非 FIPS 模式的不同之处
FIPS 模式下的 Junos OS 与非 FIPS 模式下的 Junos OS 不同,区别在于:
所有加密算法的自测试都在启动时执行。
随机数和密钥生成会持续执行自测。
数据加密标准 (DES) 和 MD5 等弱加密算法将被禁用。
不得配置弱或未加密的管理连接。
密码必须使用不允许解密的强大单向算法进行加密。
管理员密码长度必须至少为 10 个字符。
FIPS 模式下的已验证 Junos OS 版本
要确定 Junos OS 版本是否经过 NIST 验证,请参阅瞻博网络网站 (https://apps.juniper.net/compliance/ 上的合规性页面。