了解 FIPS 模式中的 Junos OS
联邦信息处理标准 (FIPS) 140-2 定义了执行加密功能的硬件和软件的安全级别。通过满足 FIPS 标准内适用的总体要求 在 FIPS 模式下 运行瞻博网络 Junos 操作系统 (Junos OS) 的瞻博网络 QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5210-64C 和 EX4650-48Y 设备符合 FIPS 140-2 级别 1 标准。
在 FIPS 140-2 1 级 环境中操作设备需要通过 Junos OS CLI 在交换机上启用和配置 FIPS 模式。
加密官在 Junos OS 中启用 FIPS 模式,并为系统和其他可以查看配置的 FIPS 用户设置密钥和密码。
有关通用标准以及瞻博网络产品 FIPS 的法规合规性信息,请参阅 瞻博网络合规性顾问。
关于 EX 和 QFX 系列交换机上的加密边界
FIPS 140-2 合规性要求交换机上每个加密模块周围都有一个定义的加密边界。FIPS 模式下的 Junos OS 会阻止加密模块执行任何软件,这些软件不是 FIPS 认证发行版的一部分,并且仅允许使用 FIPS 认可的密码算法。密码和密钥等关键安全参数 (CSP) 均无法以未加密格式跨越模块的密码边界。
对于在 FIPS-140-2 级别 1 上通过认证的瞻博网络 EX 和 QFX 系列交换机,模块的密码边界由机箱类型决定。有关 FIPS 认证交换机列表和每台交换机的密码边界,请参阅 表 1。
开关 |
机箱类型 |
密码边界 |
|---|---|---|
| EX4650-48Y | 具有两个扩展模块的固定配置 |
交换机案例 |
| QFX5120-32C QFX5120-48T QFX5120-48Y |
具有两个扩展模块的固定配置 |
交换机案例 |
QFX5210-64C |
具有两个扩展模块的固定配置 |
交换机案例 |
FIPS 模式不支持虚拟机箱功能。请勿在 FIPS 模式下配置虚拟机箱。
FIPS 模式与非 FIPS 模式的不同之处
与非 FIPS 模式下的 Junos OS 不同,FIPS 模式下的 Junos OS 是 不可修改的操作环境。此外,FIPS 模式中的 Junos OS 与非 FIPS 模式下的 Junos OS 有以下不同:
所有加密算法的自测试都在启动时执行。
随机数和密钥生成会持续执行自测。
数据加密标准 (DES) 和消息摘要 5 (MD5) 等弱加密算法将被禁用。
不得配置弱或未加密的管理连接。
密码必须使用不允许解密的强大单向算法进行加密。
管理员密码长度必须至少为 10 个字符。
FIPS 模式下的已验证 Junos OS 版本
要确定 Junos OS 版本是否经过 NIST 验证,请参阅瞻博网络网站 (https://www.juniper.net/) 或国家标准与技术研究院网站上的软件下载页面。