- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-FIPS命令
本章節下載: 25-FIPS命令 (109.39 KB)
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 30-11、MSR 30-11E、MSR 30-11F和MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
不支持 |
【命令】
display fips status
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
display fips status用來顯示當前的FIPS模式狀態。
相關配置可參考命令fips mode enable。
【舉例】
# 顯示當前的FIPS模式狀態。
<Sysname> display fips status
FIPS mode is enabled
【命令】
fips mode enable
undo fips mode enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
fips mode enable命令用來開啟FIPS模式。undo fips mode enable命令用來關閉FIPS模式。
缺省情況下,FIPS模式處於關閉狀態。
設備支持的FIPS模式是符合FIPS 140-2標準的模式。
配置FIPS的基本配置思路如下:
(1) 使能FIPS功能。
(2) 使能Password-control功能。
(3) 設置登錄設備的用戶名和密碼,密碼必須是大寫字母、小寫字母、數字以及特殊字符的組合,且最小長度為10位。
(4) 配置用戶授權級別為3級,用戶服務類型為Terminal服務或者Web服務。
(5) 刪除所有包含MD5算法的數字證書。
(6) 刪除所有RSA密鑰對和長度小於1024比特的DSA密鑰對。
(7) 保存配置。
FIPS模式必須在重啟設備之後才會生效。在重啟設備之前,還必須完成如下操作:
· 設置用戶登錄設備的用戶名和密碼。密碼必須是大寫字母、小寫字母、數字以及特殊字符的組合,且最小長度為6位。
· 刪除所有包含MD5算法的數字證書。
· 刪除RSA密鑰對和長度小於1024比特的DSA密鑰對。
重啟設備以後,設備進入FIPS模式,設備上的以下功能將發生變化:
· FTP/TFTP服務器功能被禁用。
· Telnet服務器功能被禁用。
· HTTP服務器功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,隻允許使用SNMP v3版本。
· SSL服務器功能隻支持TLS1.0協議。
· SSH服務器功能不兼容SSHv1客戶端。
· 僅支持生成1024~2048位的RSA/DSA密鑰對。
· SSH、SNMP v3、IPsec和SSL不支持DES、RC4、MD5算法。
相關配置可參考命令display fips status。
【舉例】
# 開啟FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
[Sysname] FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet FIPS mode requirements, save the configuration
to the next-startup configuration file, and then reboot to enter FIPS mode.
# 關閉FIPS模式
<Sysname> system-view
[Sysname] undo fips mode enable
[Sysname] FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet non-FIPS mode requirements, save the configurat
ion to the next-startup configuration file, and then reboot to enter non-FIPS mo
de.
【命令】
fips self-test
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
fips self-test命令用來手工觸發密碼算法自檢。
當管理員需要確認當前係統中的密碼算法模塊是否正常工作時,可以執行本命令觸發密碼算法自檢。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢內容相同。
該自檢失敗後,設備會自動重啟。
【舉例】
# 手工觸發密碼算法自檢。
<Sysname> system-view
[Sysname] fips self-test
Self-tests are running. Please wait...
Self-tests succeeded.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
