- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
26-FIPS命令
本章节下载: 26-FIPS命令 (98.33 KB)
【命令】
display fips status
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
无
【描述】
display fips status 用来显示当前的FIPS模式状态。
相关配置可参考命令fips mode enable。
【举例】
# 显示当前的FIPS模式状态。
<Sysname> display fips status
FIPS mode is enabled
【命令】
fips mode enable
undo fips mode enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
fips mode enable命令用来开启FIPS模式。undo fips mode enable命令用来关闭FIPS模式。
缺省情况下,FIPS模式处于关闭状态。
设备支持的FIPS模式是符合FIPS 140-2标准的模式。
需要注意的是,启动了FIPS模式后,在重启设备之前,需要删除不符合FIPS标准的本地用户服务类型(Telnet、HTTP和FTP)。
配置FIPS的基本配置思路如下:
(1) 使能FIPS功能;
(2) 使能Password-control功能;
(3) 设置登录设备的用户名和密码,密码必须是大写字母、小写字母、数字以及特殊字符的组合,且最小长度为10位;
(4) 删除所有包含MD5算法的数字证书;
(5) 删除所有RSA密钥对和长度小于1024比特的DSA密钥对;
(6) 保存配置。
重启设备以后,设备进入FIPS模式,设备上的以下功能将发生变化:
· FTP/TFTP服务器功能被禁用。
· Telnet服务器功能被禁用。
· HTTP服务器功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,只允许使用SNMP v3版本。
· SSL服务器功能只支持TLS1.0协议。
· SSH服务器功能不兼容SSHv1客户端。
· 仅支持生成1024~2048位的RSA/DSA密钥对。
· SSH、SNMP v3、IPsec和SSL不支持DES、RC4、MD5算法。
相关配置可参考命令display fips status。
【举例】
# 开启FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue?[Y/N]:y
Modify the configuration to be fully compliant with FIPS mode, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.
# 关闭FIPS模式。
<Sysname> system-view
[Sysname] undo fips mode enable
FIPS mode change requires a device reboot. Continue?[Y/N]:y
Modify the configuration to be fully compliant with FIPS mode, save the configuration to the next-startup configuration file, and then reboot to enter non-FIPS mode.
【命令】
fips self-test
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
无
【描述】
fips self-test命令用来手工触发密码算法自检。
当管理员需要确认当前系统中的密码算法模块是否正常工作时,可以执行本命令触发密码算法自检。手工触发的密码算法自检内容与设备启动时自动进行的启动自检内容相同。
该自检失败后,设备会自动重启。
【举例】
# 手工触发密码算法自检。
<Sysname> system-view
[Sysname] fips self-test
Self-tests are running. Please wait...
Self-tests succeeded.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
