启用 FIPS 模式时发生的更改

详细

• 要登录帕洛阿尔托网络防火墙, 浏览器必须是 TLS 1.0 兼容。
• 防火墙上的所有密码必须至少为六个字符。
• 在设备 >> 安装程序 > 管理页上配置的失败尝试次数之后, 帐户将被锁定。如果防火墙不是 FIPS 模式, 则可以对其进行配置, 使其永不锁定。但是, 在 FIPS 模式下, 需要锁定时间。
• 防火墙自动确定适当的自检级别, 并在加密算法和密码套件中强制执行适当的强度级别。
• 非 FIPS 批准的算法不会被解密, 因此在解密过程中会被忽略。
• 配置 IPSec 时, 通常可用的密码套件的子集可用。
• 自生成和导入的证书必须包含2048位 (或更多) 的公钥。
• 在 FIPS 模式下不支持导出 csr (证书签名请求)。将出现以下错误:
  错误: 下载->> 证书->> 格式 "pkcs10" 不是一个允许的关键字 ' 被生成
• 基于 SSH 密钥的身份验证必须使用2048位或更高的 RSA 公钥。
• 串行端口已禁用。
• 无法通过维护模式控制台更改管理端口 IP 地址。
• Telnet、TFTP 和 HTTP 管理连接不可用。
• 不支持冲浪控制。
• 需要高可用性 (HA) 加密。
• 已禁用 PAP 身份验证。
• Kerberos 支持被禁用。

请参见

如何启用或禁用 (通用标准) CCEAL4 模式

所有者: mzhou