Cambios que se producen si el modo FIPS está habilitado

Detalles

• Para iniciar sesión en el cortafuegos de Palo Alto Networks, el navegador debe ser compatible con TLS 1,0.
• Todas las contraseñas del cortafuegos deben tener al menos seis caracteres.
• Las cuentas se bloquean después del número de intentos fallidos configurados en el dispositivo > configuración > Página de administración. Si el cortafuegos no está en el modo FIPS, se puede configurar de manera que nunca se bloquee. Sin embargo, en el modo FIPS, se requiere el tiempo de bloqueo.
• El cortafuegos determina automáticamente el nivel apropiado de auto-prueba y aplica el nivel apropiado de fuerza en algoritmos de encriptación y en las suites de cifrado.
• Los algoritmos no aprobados por FIPS no se descifran y por lo tanto se omiten durante el descifrado.
• Al configurar IPsec, se encuentra disponible un subconjunto de las Suites cifradas normalmente disponibles.
• Los certificados autogenerados e importados deben contener claves públicas de 2048 bits (o más).
• La exportación de CSRs (solicitud de firma de certificados) no se admite mientras está en el modo FIPS. Aparecerá el siguiente error:
  error: Descargar-> certificado-> formato ' PKCS10 ' no es una palabra clave permitida ' ser generado
• La autenticación basada en claves SSH debe utilizar claves públicas de RSA que sean 2048 bits o más.
• El puerto serie está deshabilitado.
• La dirección IP del puerto de administración no se puede cambiar mediante consola de modo de mantenimiento.
• Las conexiones de administración Telnet, TFTP y HTTP no están disponibles.
• El control de surf no es compatible.
• Se requiere cifrado de alta disponibilidad (ha).
• La autenticación PAP está deshabilitada.
• El soporte de Kerberos está deshabilitado.

Ver también

Cómo activar o desactivar (criterios comunes) el modo CCEAL4

Propietario: mzhou