了解 FIPS作模式下的 Junos OS
联邦信息处理标准 (FIPS) 140-3 定义了执行加密功能的硬件和软件的安全级别。Junos-FIPS 是符合联邦信息处理标准 (FIPS) 140-3 的 Junos作系统 (Junos OS) 版本。
在 FIPS 140-3 级别 2 环境中作 SRX 系列防火墙需要从 Junos OS 命令行界面 (CLI) 在设备上启用和配置 FIPS作模式。
安全管理员在 Junos OS 22.2R1 版中启用 FIPS作模式,并为系统和可以查看配置的其他 FIPS 用户设置密钥和密码。两种用户类型还可以在单个用户配置允许的情况下在设备上执行常规配置任务(例如修改接口类型)。
请务必验证设备的安全交付,并对其易受攻击的端口进行防篡改封条。
关于设备上的加密边界
FIPS 140-3 合规性要求在设备上的每个加密模块周围定义一个加密边界。处于 FIPS作模式下的 Junos OS 会阻止加密模块运行不属于 FIPS 认证发行版的任何软件,并且只允许使用 FIPS 批准的加密算法。密码和密钥等关键安全参数 (CSP) 不能越过模块的加密边界,例如显示在控制台上或写入外部日志文件。
FIPS作模式不支持虚拟机箱功能。请勿在 FIPS作模式下配置虚拟机箱。
为了对加密模块进行物理保护,所有瞻博网络设备都需要在 USB 和 mini-USB 端口上进行防篡改密封。
FIPS作模式与非 FIPS作模式有何不同
与非 FIPS作模式下的 Junos OS 不同,FIPS作模式下的 Junos OS 是 不可修改的作环境。此外,采用 FIPS作模式的 Junos OS 与采用非 FIPS作模式的 Junos OS 存在以下不同之处:
-
所有加密算法的自检均在启动时执行。
-
连续进行随机数和密钥生成的自检。
-
弱加密算法(如数据加密标准 (DES) 和 MD5 将被禁用。
-
不得配置弱、远程或未加密的管理连接。
-
密码必须使用不允许解密的强单向算法进行加密。
-
Junos FIPS 管理员密码长度必须至少为 10 个字符。
-
加密密钥在传输前必须加密。
FIPS 140-3 标准可 https://csrc.nist.gov/pubs/fips/140-3/final 从美国国家标准与技术研究院 (NIST) 下载。