25-FIPS命令
本章节下载: 25-FIPS命令 (109.39 KB)
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
FIPS配置命令 |
不支持 |
MSR 900 |
不支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
不支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持,仅MSR 30-11、MSR 30-11E、MSR 30-11F和MSR 3016不支持 |
|
MSR 50 |
支持 |
|
MSR 2600 |
不支持 |
|
MSR3600-51F |
不支持 |
【命令】
display fips status
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
无
【描述】
display fips status用来显示当前的FIPS模式状态。
相关配置可参考命令fips mode enable。
【举例】
# 显示当前的FIPS模式状态。
<Sysname> display fips status
FIPS mode is enabled
【命令】
fips mode enable
undo fips mode enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
fips mode enable命令用来开启FIPS模式。undo fips mode enable命令用来关闭FIPS模式。
缺省情况下,FIPS模式处于关闭状态。
设备支持的FIPS模式是符合FIPS 140-2标准的模式。
配置FIPS的基本配置思路如下:
(1) 使能FIPS功能。
(2) 使能Password-control功能。
(3) 设置登录设备的用户名和密码,密码必须是大写字母、小写字母、数字以及特殊字符的组合,且最小长度为10位。
(4) 配置用户授权级别为3级,用户服务类型为Terminal服务或者Web服务。
(5) 删除所有包含MD5算法的数字证书。
(6) 删除所有RSA密钥对和长度小于1024比特的DSA密钥对。
(7) 保存配置。
FIPS模式必须在重启设备之后才会生效。在重启设备之前,还必须完成如下操作:
· 设置用户登录设备的用户名和密码。密码必须是大写字母、小写字母、数字以及特殊字符的组合,且最小长度为6位。
· 删除所有包含MD5算法的数字证书。
· 删除RSA密钥对和长度小于1024比特的DSA密钥对。
重启设备以后,设备进入FIPS模式,设备上的以下功能将发生变化:
· FTP/TFTP服务器功能被禁用。
· Telnet服务器功能被禁用。
· HTTP服务器功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,只允许使用SNMP v3版本。
· SSL服务器功能只支持TLS1.0协议。
· SSH服务器功能不兼容SSHv1客户端。
· 仅支持生成1024~2048位的RSA/DSA密钥对。
· SSH、SNMP v3、IPsec和SSL不支持DES、RC4、MD5算法。
相关配置可参考命令display fips status。
【举例】
# 开启FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
[Sysname] FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet FIPS mode requirements, save the configuration
to the next-startup configuration file, and then reboot to enter FIPS mode.
# 关闭FIPS模式
<Sysname> system-view
[Sysname] undo fips mode enable
[Sysname] FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet non-FIPS mode requirements, save the configurat
ion to the next-startup configuration file, and then reboot to enter non-FIPS mo
de.
【命令】
fips self-test
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
无
【描述】
fips self-test命令用来手工触发密码算法自检。
当管理员需要确认当前系统中的密码算法模块是否正常工作时,可以执行本命令触发密码算法自检。手工触发的密码算法自检内容与设备启动时自动进行的启动自检内容相同。
该自检失败后,设备会自动重启。
【举例】
# 手工触发密码算法自检。
<Sysname> system-view
[Sysname] fips self-test
Self-tests are running. Please wait...
Self-tests succeeded.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!