Modifications qui se produisent si le mode FIPS est activé

Détails

• Pour vous connecter au pare-feu de Palo Alto Networks, le navigateur doit être compatible TLS 1,0.
• Tous les mots de passe sur le pare-feu doivent avoir au moins six caractères.
• Les comptes sont verrouillés après le nombre de tentatives d'échec configurées sur la page Device > Setup > Management. Si le pare-feu n'est pas en mode FIPS, il peut être configuré de sorte qu'il ne se verrouille jamais. Toutefois, en mode FIPS, le temps de verrouillage est requis.
• Le pare-feu détermine automatiquement le niveau approprié d'auto-test et applique le niveau de force approprié dans les algorithmes de cryptage et les suites de chiffrement.
• Les algorithmes non-FIPS approuvés ne sont pas décryptés et sont ainsi ignorés pendant le décryptage.
• Lors de la configuration d'IPSec, un sous-ensemble des suites Cipher normalement disponibles est disponible.
• Les certificats auto-générés et importés doivent contenir des clés publiques de 2048 bits (ou plus).
• L'exportation de RSC (demande de signature de certificat) n'est pas prise en charge en mode FIPS. L'erreur suivante s'affiche:
  erreur: Download-> Certificate-> format'pkcs10 'n'est pas un mot-clé autorisé'être généré
• L'authentification basée sur les clés SSH doit utiliser les clés publiques RSA qui sont 2048 bits ou plus.
• Le port série est désactivé.
• L'adresse IP du port de gestion ne peut pas être modifiée via la console mode maintenance.
• Les connexions de gestion Telnet, TFTP et HTTP ne sont pas disponibles.
• Le contrôle de surf n'est pas pris en charge.
• Le cryptage haute disponibilité (HA) est requis.
• L'authentification PAP est désactivée.
• La prise en charge Kerberos est désactivée.

Voir aussi

Comment activer ou désactiver (critères communs) mode CCEAL4

propriétaire: MZhou