ការណែនាំនេះផ្តល់ព័ត៌មានអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃ
ការកំណត់រចនាសម្ព័ន្ធសម្រាប់ SRX1500, SRX4100, SRX4200, និង SRX4600
ឧបករណ៍។ វាគ្របដណ្តប់លើប្រធានបទដូចជាការយល់ដឹងអំពីរបៀប FIPS នៃ
ប្រតិបត្តិការ កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិគ្រប់គ្រង និង
កំណត់រចនាសម្ព័ន្ធពិធីការពេលវេលាបណ្តាញ (NTP) ។

ជាងview

ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធ

លក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធគឺជាសំណុំនៃសុវត្ថិភាព
តម្រូវការ និងលក្ខណៈពិសេសដែលបានឯករាជ្យ
វាយតម្លៃ និងបញ្ជាក់សម្រាប់ SRX1500, SRX4100, SRX4200, និង
ឧបករណ៍ SRX4600 ។ វាធានាថាឧបករណ៍បំពេញតាមសុវត្ថិភាពជាក់លាក់
ស្តង់ដារ និងអាចប្រើប្រាស់បានក្នុងបរិយាកាសសុវត្ថិភាព។

ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ

របៀបប្រតិបត្តិការ FIPS គឺជាមុខងារសុវត្ថិភាពដែលបើកដំណើរការ
ឧបករណ៍ SRX ដើម្បីដំណើរការដោយអនុលោមតាមសហព័ន្ធ
ស្តង់ដារដំណើរការព័ត៌មាន (FIPS) ។ វាផ្តល់ភាពប្រសើរឡើង
វិធានការសុវត្ថិភាព និងក្បួនដោះស្រាយគ្រីប ដើម្បីការពាររសើប
ទិន្នន័យ។

ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងត្រូវបានគាំទ្រ
ក្បួនដោះស្រាយគ្រីបតូ

ផ្នែកនេះពន្យល់អំពីវាក្យស័ព្ទដែលប្រើក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ និងផ្តល់ព័ត៌មាននៅលើគ្រីបគ្រីបដែលបានគាំទ្រ
ក្បួនដោះស្រាយ។ វាជួយអ្នកប្រើប្រាស់ឱ្យយល់ពីលក្ខណៈសុវត្ថិភាព និង
សមត្ថភាពនៃឧបករណ៍។

ការកំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបកំណត់ថាតើផលិតផលមានឬអត់
ត្រូវបានចែកចាយដោយសុវត្ថិភាព។ វាគ្របដណ្តប់លើប្រធានបទដូចជា tampជាក់ស្តែង
ការផ្សាភ្ជាប់និងម៉ូឌុលគ្រីប។

ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង

ផ្នែកនេះផ្តល់ព័ត៌មានអំពីចំណុចប្រទាក់គ្រប់គ្រង
មាននៅលើឧបករណ៍ SRX ។ វាពន្យល់ពីរបៀបចូលប្រើ និង
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ទាំងនេះសម្រាប់ការគ្រប់គ្រងឧបករណ៍។

កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ផ្នែកនេះពន្យល់អំពីតួនាទី និងសេវាកម្មដែលមានសម្រាប់ Junos
ប្រព័ន្ធប្រតិបត្តិការនៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ វាជួយអ្នកប្រើប្រាស់យល់ពីរបៀប
កំណត់រចនាសម្ព័ន្ធ និងគ្រប់គ្រងតួនាទីអ្នកប្រើប្រាស់ និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់សម្រាប់
ការចូលប្រើដោយសុវត្ថិភាពទៅកាន់ឧបករណ៍។

ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ផ្នែកនេះផ្តល់ព័ត៌មានលម្អិតអំពីសេវាកម្ម
មានសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ វាគ្របដណ្តប់
ប្រធានបទដូចជា SSH, SNMP, និង HTTPS ហើយពន្យល់ពីរបៀបកំណត់រចនាសម្ព័ន្ធ
និងធានាសេវាកម្មទាំងនេះ។

ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបទាញយកកញ្ចប់កម្មវិធី
ពី Juniper Networks ។ វាផ្តល់ការណែនាំជាជំហាន ៗ លើ
ចូលទៅកាន់វិបផតថលទាញយក ហើយជ្រើសរើសសមស្រប
កញ្ចប់កម្មវិធីសម្រាប់ឧបករណ៍ SRX ។

ការដំឡើងកញ្ចប់កម្មវិធី Junos

ផ្នែកនេះពន្យល់ពីដំណើរការនៃការដំឡើងកម្មវិធី Junos
កញ្ចប់នៅលើឧបករណ៍ SRX ។ វាគ្របដណ្តប់លើប្រធានបទដូចជាការផ្ទៀងផ្ទាត់
ភាពសុចរិតនៃកញ្ចប់ ការផ្ទេរកញ្ចប់ទៅឧបករណ៍ និង
ចាប់ផ្តើមដំណើរការដំឡើង។

ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃ
ប្រតិបត្តិការ

Zeroization គឺជាដំណើរការដែលសម្អាតទិន្នន័យប្រព័ន្ធទាំងអស់ រួមទាំង
សោគ្រីប និងការកំណត់រចនាសម្ព័ន្ធ ដើម្បីធានាសុវត្ថិភាពទិន្នន័យ។
ផ្នែកនេះពន្យល់ពីរបៀបអនុវត្តសូន្យនៅលើឧបករណ៍ SRX
នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។

កំពុងផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍

ផ្នែកនេះផ្តល់នូវការណែនាំអំពីរបៀបផ្ទុកកម្មវិធីបង្កប់នៅលើ
ឧបករណ៍ SRX ។ វាគ្របដណ្តប់លើប្រធានបទដូចជាការរៀបចំកម្មវិធីបង្កប់
រូបភាព ផ្ទេរវាទៅឧបករណ៍ និងចាប់ផ្តើមកម្មវិធីបង្កប់
ដំណើរការធ្វើឱ្យប្រសើរឡើង។

របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS ក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos
ប្រព័ន្ធប្រតិបត្តិការនៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ វាគ្របដណ្តប់លើប្រធានបទដូចជាការកំណត់
របៀប FIPS កំណត់រចនាសម្ព័ន្ធម៉ូឌុលគ្រីប និងផ្ទៀងផ្ទាត់
ស្ថានភាពរបៀប FIPS ។

ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

ការយល់ដឹងអំពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកដែលមានសិទ្ធិ
អ្នកគ្រប់គ្រង

ផ្នែកនេះផ្តល់ព័ត៌មានអំពីច្បាប់ពាក្យសម្ងាត់
ភ្ជាប់ជាមួយគណនីអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ វាពន្យល់
តម្រូវការសម្រាប់បង្កើតពាក្យសម្ងាត់រឹងមាំ និងសុវត្ថិភាព។

កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អនុញ្ញាត
អ្នកគ្រប់គ្រង

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញ
ការពារfile អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ វាពន្យល់ពីជំហាន
ដើម្បីបង្កើតគណនីអ្នកគ្រប់គ្រងដែលមានសិទ្ធិចាំបាច់
គ្រប់គ្រងឧបករណ៍ SRX ។

ពិធីការពេលវេលាបណ្តាញ

NTP លើសview

ផ្នែកនេះផ្តល់នូវការបញ្ចប់view នៃពិធីការពេលវេលាបណ្តាញ
(NTP) និងសារៈសំខាន់របស់វាក្នុងការរក្សាពេលវេលាត្រឹមត្រូវ។
ការធ្វើសមកាលកម្មនៅលើឧបករណ៍បណ្តាញ។

ការគាំទ្របណ្តាញពេលវេលាសុវត្ថិភាព (NTS) សម្រាប់ NTP

ផ្នែកនេះពន្យល់ពីការគាំទ្រ Network Time Security (NTS)
សម្រាប់ NTP ។ វាគ្របដណ្តប់អត្ថប្រយោជន៍នៃការប្រើប្រាស់ NTS និងផ្តល់
ការណែនាំអំពីរបៀបកំណត់ NTS សម្រាប់ពេលវេលាសុវត្ថិភាព
ការធ្វើសមកាលកម្ម។

ម៉ាស៊ីនមេ NTP Time

ផ្នែកនេះផ្តល់ព័ត៌មាននៅលើម៉ាស៊ីនមេពេលវេលា NTP និងរបស់ពួកគេ។
តួនាទីក្នុងការផ្តល់ព័ត៌មានពេលវេលាត្រឹមត្រូវដល់ឧបករណ៍បណ្តាញ។ វា។
ពន្យល់ពីរបៀបជ្រើសរើស និងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេពេលវេលា NTP សម្រាប់ SRX
ឧបករណ៍។

កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើពេលវេលា NTP និងសេវាកម្មពេលវេលា

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបកំណត់ម៉ាស៊ីនមេពេលវេលា NTP
និងសេវាកម្មពេលវេលានៅលើឧបករណ៍ SRX ។ វាគ្របដណ្តប់លើប្រធានបទដូចជា
កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋានម៉ាស៊ីនមេ បើកការផ្ទៀងផ្ទាត់ និងការគ្រប់គ្រង
ការកំណត់ការធ្វើសមកាលកម្មពេលវេលា។

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបអតិថិជន

ផ្នែកនេះផ្តល់ការណែនាំអំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SRX
ឧបករណ៍ដើម្បីដំណើរការក្នុងរបៀបម៉ាស៊ីនភ្ញៀវសម្រាប់ NTP ។ វាពន្យល់ពីជំហានទៅ
ធ្វើសមកាលកម្មពេលវេលាជាមួយម៉ាស៊ីនមេ NTP ។

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងស៊ីមេទ្រីសកម្ម
របៀប

ផ្នែកនេះពន្យល់ពីរបៀបកំណត់ឧបករណ៍ SRX ទៅ
ដំណើរការនៅក្នុងរបៀបសកម្មស៊ីមេទ្រីសម្រាប់ NTP ។ វាគ្របដណ្តប់លើប្រធានបទដូចជា
កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋានមិត្តភ័ក្តិ និងបង្កើតស៊ីមេទ្រី
សមាគម។

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការនៅក្នុងការផ្សាយ
របៀប

ផ្នែកនេះណែនាំអ្នកប្រើប្រាស់អំពីរបៀបកំណត់ឧបករណ៍ SRX ទៅ
ដំណើរការនៅក្នុងរបៀបផ្សាយសម្រាប់ NTP ។ វាពន្យល់ពីជំហានទៅ
ព័ត៌មានម៉ោងផ្សាយទៅឧបករណ៍បណ្តាញផ្សេងទៀត។

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបម៉ាស៊ីនមេ

ផ្នែកនេះផ្តល់ការណែនាំអំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SRX
ឧបករណ៍ដើម្បីដំណើរការនៅក្នុងរបៀបម៉ាស៊ីនមេសម្រាប់ NTP ។ វាគ្របដណ្តប់លើប្រធានបទដូចជា
កំណត់រចនាសម្ព័ន្ធនាឡិកាយោង និងផ្តល់ព័ត៌មានពេលវេលាដល់អតិថិជន
ឧបករណ៍។

Example ៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពតែមួយពេលសម្រាប់ Router និង
ប្តូរការធ្វើសមកាលកម្មនាឡិកា

ផ្នែកនេះផ្តល់នូវអតីតampការកំណត់រចនាសម្ព័ន្ធសម្រាប់ការប្រើប្រាស់ NTP ជា
ប្រភពពេលវេលាតែមួយសម្រាប់ការធ្វើសមកាលកម្មនាឡិកានៅលើឧបករណ៍ SRX ។
វាពន្យល់ពីជំហានដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP និងផ្ទៀងផ្ទាត់នាឡិកា
ស្ថានភាពធ្វើសមកាលកម្ម។

ធ្វើសមកាលកម្ម និងសម្របសម្រួលការបែងចែកពេលវេលាដោយប្រើ NTP

ផ្នែកនេះពន្យល់ពីរបៀបធ្វើសមកាលកម្ម និងសម្របសម្រួលពេលវេលា
ការចែកចាយលើឧបករណ៍បណ្តាញដោយប្រើ NTP ។ វាគ្របដណ្តប់លើប្រធានបទ
ដូចជាការកំណត់តំបន់ពេលវេលា បើកការដោះស្រាយលើកទីពីរលោត និង
ដោះស្រាយបញ្ហាការធ្វើសមកាលកម្មពេលវេលា។

សំណួរគេសួរញឹកញាប់

សំណួរ៖ តើឧបករណ៍ SRX អាចប្រើបានជាមួយបណ្តាញ Juniper ផ្សេងទៀតដែរឬទេ?
ផលិតផល?

ចម្លើយ៖ បាទ ឧបករណ៍ SRX អាចប្រើជាមួយ Juniper ផ្សេងទៀត។
ផលិតផលបណ្តាញ។ ពួកគេអាចត្រូវបានរួមបញ្ចូលទៅក្នុង Juniper ដែលមានស្រាប់
ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញសម្រាប់ការពង្រឹងសុវត្ថិភាពបណ្តាញ។

សំណួរ៖ តើខ្ញុំអាចដំឡើងកម្មវិធីបង្កប់នៅលើឧបករណ៍ SRX ដោយគ្មាន
រំខានការភ្ជាប់បណ្តាញ?

ចម្លើយ៖ បាទ ដំណើរការដំឡើងកម្មវិធីបង្កប់នៅលើឧបករណ៍ SRX គឺ
រចនាឡើងដើម្បីកាត់បន្ថយការរំខានបណ្តាញ។ ទោះយ៉ាងណាក៏ដោយវាគឺជា
បានផ្តល់អនុសាសន៍ឱ្យកំណត់ពេលដំឡើងកម្មវិធីបង្កប់កំឡុងពេលថែទាំ
windows ដើម្បីជៀសវាងការរំខានដែលអាចកើតមាន។

សំណួរ៖ តើខ្ញុំគួរអនុវត្តសូន្យនៅលើ SRX ញឹកញាប់ប៉ុណ្ណា
ឧបករណ៍?

ចម្លើយ៖ ភាពញឹកញាប់នៃការអនុវត្តសូន្យនៅលើឧបករណ៍ SRX
អាស្រ័យលើតម្រូវការសុវត្ថិភាពនៃបរិស្ថានរបស់អ្នក។ វាគឺជាការ
បានផ្តល់អនុសាសន៍ឱ្យអនុវត្តតាមគោលការណ៍សុវត្ថិភាពរបស់ស្ថាប័នរបស់អ្នក និង
គោលការណ៍ណែនាំទាក់ទងនឹងសូន្យ។

សំណួរ៖ តើខ្ញុំអាចកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេពេលវេលា NTP ច្រើននៅលើ SRX បានទេ?
ឧបករណ៍?

ចម្លើយ៖ បាទ អ្នកអាចកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេពេលវេលា NTP ជាច្រើននៅលើ SRX
ឧបករណ៍សម្រាប់បង្កើនភាពជឿជាក់ និងការប្រើប្រាស់ឡើងវិញ។ វាត្រូវបានណែនាំ
ដើម្បីកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេយ៉ាងហោចណាស់បីដងសម្រាប់ពេលវេលាដ៏ល្អប្រសើរ
ការធ្វើសមកាលកម្ម។

សំណួរ៖ តើខ្ញុំអាចដោះស្រាយបញ្ហាការធ្វើសមកាលកម្ម NTP លើ SRX យ៉ាងដូចម្តេច?
ឧបករណ៍?

A: ប្រសិនបើអ្នកជួបប្រទះបញ្ហាការធ្វើសមកាលកម្ម NTP នៅលើ SRX
ឧបករណ៍ អ្នកអាចចាប់ផ្តើមដោយពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធ NTP ផ្ទៀងផ្ទាត់
ការតភ្ជាប់ទៅម៉ាស៊ីនមេពេលវេលា និងឡើងវិញviewនៅក្នុងកំណត់ហេតុប្រព័ន្ធ
សម្រាប់សារកំហុសណាមួយ។ អ្នកក៏អាចពិគ្រោះជាមួយ Juniper Networks ផងដែរ។
គាំទ្រធនធានសម្រាប់ជំនួយបន្ថែម។

View Fullscreen

Junos® OS
ការណែនាំអំពីលក្ខណៈទូទៅសម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200 និង SRX4600

បោះពុម្ពផ្សាយ
៨៦៦-៤៤៧-២១៩៤

ដោះលែង
22.2R1

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, California 94089 USA ៨៦៦-៤៤៧-២១៩៤ www.juniper.net
Juniper Networks និមិត្តសញ្ញា Juniper Networks Juniper និង Junos គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Juniper Networks, Inc. នៅសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ រាល់ពាណិជ្ជសញ្ញា សញ្ញាសេវាកម្ម ម៉ាកដែលបានចុះបញ្ជី ឬសញ្ញាសម្គាល់សេវាកម្មដែលបានចុះបញ្ជី គឺជាកម្មសិទ្ធិរបស់ម្ចាស់រៀងៗខ្លួន។
Juniper Networks មិនទទួលខុសត្រូវចំពោះភាពមិនត្រឹមត្រូវណាមួយនៅក្នុងឯកសារនេះទេ។ Juniper Networks រក្សាសិទ្ធិក្នុងការផ្លាស់ប្តូរ កែប្រែ ផ្ទេរ ឬកែប្រែការបោះពុម្ពនេះដោយមិនមានការជូនដំណឹងជាមុន។
ការណែនាំអំពីលក្ខណៈវិនិច្ឆ័យទូទៅ Junos® OS សម្រាប់ SRX1500, SRX4100, SRX4200, និង SRX4600 ឧបករណ៍ 22.2R1 រក្សាសិទ្ធិ © 2023 Juniper Networks, Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។
ព័ត៌មាននៅក្នុងឯកសារនេះគឺបច្ចុប្បន្នគិតត្រឹមកាលបរិច្ឆេទនៅលើទំព័រចំណងជើង។
សេចក្តីជូនដំណឹងឆ្នាំ 2000
ផលិតផលផ្នែករឹង និងសូហ្វវែរ Juniper Networks គឺស្របតាមឆ្នាំ 2000 ។ Junos OS មិនមានការកំណត់ទាក់ទងនឹងពេលវេលាដែលគេស្គាល់រហូតដល់ឆ្នាំ 2038។ ទោះជាយ៉ាងណាក៏ដោយ កម្មវិធី NTP ត្រូវបានគេដឹងថាមានការលំបាកខ្លះក្នុងឆ្នាំ 2036។
បញ្ចប់កិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់
ផលិតផល Juniper Networks ដែលជាកម្មវត្ថុនៃឯកសារបច្ចេកទេសនេះមាន (ឬត្រូវបានបម្រុងទុកសម្រាប់ប្រើជាមួយ) កម្មវិធី Juniper Networks ។ ការប្រើប្រាស់កម្មវិធីបែបនេះគឺស្ថិតនៅក្រោមលក្ខខណ្ឌនៃកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ ("EULA") ដែលបានបង្ហោះនៅ https://support.juniper.net/support/eula/ ។ តាមរយៈការទាញយក ដំឡើង ឬប្រើប្រាស់កម្មវិធីបែបនេះ អ្នកយល់ព្រមនឹងលក្ខខណ្ឌនៃ EULA នោះ។

iii

តារាងមាតិកា

អំពីមគ្គុទ្ទេសក៍នេះ | vii

ជាងview

ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធ | ២

ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ៣

ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងក្បួនដោះស្រាយការគ្រីបដែលបានគាំទ្រ | ៥

កំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨

ការដាក់ពាក្យ Tamper-Evident Seals to the Cryptographic Module | ១០

ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង | ១២

កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ១៤

ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ១៦

ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks | ២១

ការដំឡើងកញ្ចប់កម្មវិធី Junos | ២១

ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃប្រតិបត្តិការ | ២២

កំពុងផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍ | ២៤

របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS ក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ២៤

ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត | ២៩

កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អ្នកគ្រប់គ្រងដែលមានសិទ្ធិ | ៣១

ពិធីការពេលវេលាបណ្តាញ

NTP លើសview | 34 Network Time Security (NTS) Support for NTP | ៣៥

ម៉ាស៊ីនបម្រើពេលវេលា NTP | ៣៨

កំណត់រចនាសម្ព័ន្ធ NTP Time Server និង Time Services | 39 កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបអតិថិជន | ៤០

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបស៊ីមេទ្រីសកម្ម | ៤១

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបផ្សាយ | ៤១

កំណត់រចនាសម្ព័ន្ធ Router ឬប្តូរទៅដំណើរការក្នុង Server Mode | ៤២

Example៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពពេលវេលាតែមួយសម្រាប់ Router និង Switch Clock synchronization | ៤៣

ធ្វើសមកាលកម្ម និងសម្របសម្រួលការបែងចែកពេលវេលាដោយប្រើ NTP | 44 កំណត់រចនាសម្ព័ន្ធ NTP | ៤៤

កំណត់រចនាសម្ព័ន្ធ NTP Boot Server | ៤៥

បញ្ជាក់អាសយដ្ឋានប្រភពសម្រាប់ម៉ាស៊ីនមេ NTP | ៤៦

ការកំណត់រចនាសម្ព័ន្ធ NTP | ៤៨

Example: កំណត់រចនាសម្ព័ន្ធ NTP | 51 តម្រូវការ | ៥១

ជាងview | ៦២៩.២០២.៦៧៩០

ការកំណត់រចនាសម្ព័ន្ធ | ៥២

ការផ្ទៀងផ្ទាត់ | ៥៤

សោផ្ទៀងផ្ទាត់ NTP | ៥៦

កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់សារផ្សាយដោយប្រើ NTP | ៥៧

កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់សារ Multicast ដោយប្រើ NTP | ៥៧

ការកំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។

ស្វែងយល់ពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ FIPS | ៦០

ការកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស | ៦១

ការកំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់ SSH Sessions | ៦២

ការកំណត់រចនាសម្ព័ន្ធ SSH នៅលើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ | ៦៣

កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ Syslog ពីចម្ងាយ

Sample Syslog Server Configuration on a Linux System | ៦៦

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់មូលដ្ឋាន File | ៦២៩.២០២.៦៧៩០

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ | ៦៧

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ នៅពេលចាប់ផ្តើមការតភ្ជាប់ពីម៉ាស៊ីនមេពីចម្ងាយ | ៦៧

បញ្ជូនបន្តកំណត់ហេតុទៅម៉ាស៊ីនមេ Syslog ខាងក្រៅ | ៧៣

ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម

ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ | ៧៥

ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មសម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200, និង SRX4600 | ៧៥

Sample កូដសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ | ៧៦

កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍

ការកត់ត្រាព្រឹត្តិការណ៍view | ៦២៩.២០២.៦៧៩០

ការបកស្រាយសារព្រឹត្តិការណ៍ | ៨៦

ការកត់ត្រាការផ្លាស់ប្តូរទៅជាទិន្នន័យសម្ងាត់ | ៨៧

ចូល និងចេញព្រឹត្តិការណ៍ដោយប្រើ SSH | ៨៩

កំណត់ហេតុនៃការចាប់ផ្តើមសវនកម្ម | ៨៩

កំណត់រចនាសម្ព័ន្ធប៉ុស្តិ៍កត់ត្រាសុវត្ថិភាព

ការបង្កើតប៉ុស្តិ៍កត់ត្រាសុវត្ថិភាព | ៩២

កំណត់រចនាសម្ព័ន្ធ VPN

ការកំណត់រចនាសម្ព័ន្ធ VPN នៅលើឧបករណ៍ដែលដំណើរការ Junos OS | ១០០

កំណត់រចនាសម្ព័ន្ធគោលការណ៍លំហូរសុវត្ថិភាព

ការយល់ដឹងអំពីគោលការណ៍លំហូរសុវត្ថិភាពនៅលើឧបករណ៍ដែលដំណើរការ Junos OS | ១២៤

កំណត់រចនាសម្ព័ន្ធច្បាប់តម្រងចរាចរណ៍

ជាងview | ៦២៩.២០២.៦៧៩០

ការយល់ដឹងអំពីការគាំទ្រពិធីការ | ១២៩

កំណត់រចនាសម្ព័ន្ធច្បាប់តម្រងចរាចរណ៍ | ១៣១

កំណត់រចនាសម្ព័ន្ធ Deny-All និង Reject Rules លំនាំដើម | ១៣២

ការកត់ត្រាកញ្ចប់ដែលបានទម្លាក់ដោយប្រើ Default Deny-all Option | ១៣៣

កំណត់រចនាសម្ព័ន្ធច្បាប់បដិសេធជាកាតព្វកិច្ចសម្រាប់បំណែកដែលមិនត្រឹមត្រូវ និងខ្ចប់ IP ដែលបានបំបែក | ១៣៤

កំណត់រចនាសម្ព័ន្ធច្បាប់បដិសេធលំនាំដើមសម្រាប់ការលួចបន្លំអាសយដ្ឋានប្រភព | ១៣៥

កំណត់រចនាសម្ព័ន្ធច្បាប់បដិសេធលំនាំដើមជាមួយជម្រើស IP | ១៣៦

កំណត់រចនាសម្ព័ន្ធច្បាប់បដិសេធលំនាំដើម | ១៣៧

កំណត់រចនាសម្ព័ន្ធការវាយប្រហារបណ្តាញ

ការកំណត់រចនាសម្ព័ន្ធ IP Teardrop Attack Screen | ១៣៩

ការកំណត់រចនាសម្ព័ន្ធ TCP Land Attack Screen | ១៤០

ការកំណត់រចនាសម្ព័ន្ធអេក្រង់ ICMP Fragment | ១៤២

កំណត់រចនាសម្ព័ន្ធអេក្រង់វាយប្រហារ Ping-Of-Death | ១៤៤

ការកំណត់រចនាសម្ព័ន្ធអេក្រង់វាយប្រហារ tcp-no-flag | ១៤៦

ការកំណត់រចនាសម្ព័ន្ធ TCP SYN-FIN Attack Screen | ១៤៨

ការកំណត់រចនាសម្ព័ន្ធ TCP fin-no-ack Attack Screen | ១៥០

ការកំណត់រចនាសម្ព័ន្ធអេក្រង់វាយប្រហារគ្រាប់បែក UDP | ១៥២

ការកំណត់រចនាសម្ព័ន្ធ UDP CHARGEN DoS Attack Screen | ១៥២

ការកំណត់រចនាសម្ព័ន្ធ TCP SYN និង RST Attack Screen | ១៥៤

ការកំណត់រចនាសម្ព័ន្ធអេក្រង់ ICMP Flood Attack | ១៥៧

ការកំណត់រចនាសម្ព័ន្ធ TCP SYN Flood Attack Screen | ១៥៨

ការកំណត់រចនាសម្ព័ន្ធ TCP Port Scan Attack Screen | ១៦០

ការកំណត់រចនាសម្ព័ន្ធ UDP Port Scan Attack Screen | ១៦២

កំណត់រចនាសម្ព័ន្ធ IP Sweep Attack Screen | ១៦៤

កំណត់រចនាសម្ព័ន្ធកញ្ចប់បន្ថែម IDP

ការកំណត់រចនាសម្ព័ន្ធកញ្ចប់បន្ថែមរបស់ IDP ត្រូវបានបញ្ចប់view | ៦២៩.២០២.៦៧៩០

vii

ការកំណត់រចនាសម្ព័ន្ធរបៀបចង្កោម

ការយល់ដឹងអំពីរបៀបចង្កោម | ១៦៩

ការកំណត់រចនាសម្ព័ន្ធ L2 HA Link Encryption Tunnel | ១៦៩

ការកំណត់រចនាសម្ព័ន្ធការអ៊ិនគ្រីបតំណភ្ជាប់ L2HA ផ្អែកលើ PKI | ១៧៤

ការធ្វើតេស្តដោយខ្លួនឯងនៅលើឧបករណ៍

ការយល់ដឹងអំពីការធ្វើតេស្តដោយខ្លួនឯង FIPS | ១៨៥

សេចក្តីថ្លែងការណ៍អំពីការកំណត់រចនាសម្ព័ន្ធ

checksum-validate | ១៩៦

កូដ | ១៩៨

ប្រវែងទិន្នន័យ | ១៩៩

ទិសដៅ-ជម្រើស | ២០១

ផ្នែកបន្ថែម-បឋមកថា | ២០៣

ប្រភេទក្បាល | ២០៤

អាស័យដ្ឋានផ្ទះ | ២០៦

អត្តសញ្ញាណ | ២០៨

icmpv6 (ការវាយប្រហារផ្ទាល់ខ្លួន IDP សុវត្ថិភាព) | ២១០

ihl (ការវាយប្រហារផ្ទាល់ខ្លួន IDP សុវត្ថិភាព) | ២១២

ប្រភេទជម្រើស | ២១៣

បម្រុងទុក (ការវាយប្រហារផ្ទាល់ខ្លួនរបស់ IDP សុវត្ថិភាព) | ២១៥

routing-header | ២១៧

sequence-number (ផ្នែកក្បាលសុវត្ថិភាព IDP ICMPv6) | ២១៨

ប្រភេទ (ផ្នែកក្បាលសុវត្ថិភាព IDP ICMPv6) | ២២០

vii
អំពីការណែនាំនេះ
ប្រើការណែនាំនេះដើម្បីកំណត់រចនាសម្ព័ន្ធ និងវាយតម្លៃឧបករណ៍ SRX1500, SRX4100, SRX4200 និង SRX4600 សម្រាប់ការអនុលោមតាមលក្ខណៈវិនិច្ឆ័យទូទៅ (CC) ។ លក្ខណៈវិនិច្ឆ័យទូទៅសម្រាប់បច្ចេកវិទ្យាព័ត៌មានគឺជាកិច្ចព្រមព្រៀងអន្តរជាតិមួយដែលបានចុះហត្ថលេខាដោយប្រទេសមួយចំនួនដែលអនុញ្ញាតឱ្យមានការវាយតម្លៃនៃផលិតផលសុវត្ថិភាពប្រឆាំងនឹងសំណុំស្តង់ដារទូទៅមួយ។
ឯកសារពាក់ព័ន្ធ លក្ខណៈវិនិច្ឆ័យទូទៅ និងវិញ្ញាបនប័ត្រ FIPS

1 ជំពូក
ជាងview
ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធ | 2 ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | 3 ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងក្បួនដោះស្រាយការគ្រីបដែលបានគាំទ្រ | 5 កំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | 8 ការដាក់ពាក្យ Tamper-Evident Seals to the Cryptographic Module | 10 ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង | ១២

2
ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធ
នៅក្នុងផ្នែកនេះ ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅ | 3 វេទិកាគាំទ្រ | ៣
ឯកសារនេះពិពណ៌នាអំពីជំហានដែលទាមទារដើម្បីចម្លងការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលដំណើរការ Junos OS នៅពេលឧបករណ៍ត្រូវបានវាយតម្លៃ។ នេះត្រូវបានគេហៅថាការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ បញ្ជីខាងក្រោមពិពណ៌នាអំពីស្តង់ដារដែលឧបករណ៍នេះត្រូវបានវាយតម្លៃ៖ · Collaborative Protection Profile សម្រាប់ឧបករណ៍បណ្តាញ NDcPPv2.2e–https://
www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.2E.pdf ។ ម៉ូឌុល PP សម្រាប់ NDcPP មានដូចខាងក្រោម៖ · MOD_FW_CPP v1.4e https://www.niap-ccevs.org/MMO/PP/MOD_CPP_FW_v1.4e.pdf · MOD_IPS_V1.0 https://www.niap-ccevs.org/ MMO/PP/MOD_IPS_v1.0.pdf · VPNGW_MOD v1.1 https://www.niap-ccevs.org/MMO/PP/mod_vpngw_v1.1.pdf · Network Device Collaborative Protection Profile (NDcPPv2.2)/Stateful Traffic Filter Firewall Collaborative Protection Profile (FWcPP) កញ្ចប់បន្ថែម VPN Gateway កំណែ 2.2 ថ្ងៃទី 22 ខែមីនា ឆ្នាំ 2020 (VPNEP) · Collaborative Protection Profile សម្រាប់ Stateful Traffic Filter Firewalls កំណែ 2.0 ថ្ងៃទី 14 ខែមីនា ឆ្នាំ 2018 (FWcPP)https://www.commoncriteriaportal.org/files/ppfiles/CPP_FW_V2.0E.pdf · Collaborative Protection Profile សម្រាប់ឧបករណ៍បណ្តាញ ឬសហការការពារ Profile សម្រាប់ Stateful Traffic Filter Firewalls Extended Package (EP) សម្រាប់ប្រព័ន្ធការពារការឈ្លានពាន (IPS), (IPSEP) · FIPS–https://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ឯកសារទាំងនេះមាននៅ https://www.niap-ccevs.org/Profile/PP.cfm.

3
ចំណាំ៖ នៅលើឧបករណ៍ SRX1500, SRX4100, SRX4200, និង SRX4600, Junos OS Release 22.2R1 ត្រូវបានបញ្ជាក់សម្រាប់លក្ខណៈវិនិច្ឆ័យទូទៅជាមួយនឹងមុខងារ FIPS ដែលបានបើកនៅលើឧបករណ៍។
ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅ
លក្ខណៈវិនិច្ឆ័យទូទៅសម្រាប់បច្ចេកវិទ្យាព័ត៌មានគឺជាកិច្ចព្រមព្រៀងអន្តរជាតិមួយដែលបានចុះហត្ថលេខាដោយប្រទេសមួយចំនួនដែលអនុញ្ញាតឱ្យមានការវាយតម្លៃនៃផលិតផលសុវត្ថិភាពប្រឆាំងនឹងសំណុំស្តង់ដារទូទៅមួយ។ នៅក្នុងការរៀបចំការទទួលស្គាល់លក្ខណៈទូទៅ (CCRA) នៅ http://www.commoncriteriaportal.org/ccra/ អ្នកចូលរួមយល់ព្រមទទួលស្គាល់គ្នាទៅវិញទៅមកលើការវាយតម្លៃនៃផលិតផលដែលបានអនុវត្តនៅក្នុងប្រទេសផ្សេងទៀត។ ការវាយតម្លៃទាំងអស់ត្រូវបានអនុវត្តដោយប្រើវិធីសាស្រ្តទូទៅសម្រាប់ការវាយតម្លៃសុវត្ថិភាពបច្ចេកវិទ្យាព័ត៌មាន។ សម្រាប់ព័ត៌មានបន្ថែមអំពីលក្ខណៈវិនិច្ឆ័យទូទៅ សូមមើល http://www.commoncriteriaportal.org/ ។
វេទិកាដែលគាំទ្រ
សម្រាប់លក្ខណៈពិសេសដែលបានពិពណ៌នានៅក្នុងឯកសារនេះ វេទិកាខាងក្រោមត្រូវបានគាំទ្រ៖ · IPSEP, NDcPP, FWcPP, និង VPNEP អនុវត្តចំពោះ៖
· SRX1500, SRX4100, SRX4200, និង SRX4600
ឯកសារពាក់ព័ន្ធកំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព | ៨
ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
នៅក្នុងផ្នែកនេះអំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក | ៤

4
របៀប FIPS នៃប្រតិបត្តិការខុសគ្នាពីរបៀបប្រតិបត្តិការមិនមែន FIPS | 5 កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ៥
ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-3 កំណត់កម្រិតសុវត្ថិភាពសម្រាប់ផ្នែករឹង និងកម្មវិធីដែលអនុវត្តមុខងារគ្រីប។ Junos-FIPS គឺជាកំណែនៃប្រព័ន្ធប្រតិបត្តិការ Junos (Junos OS) ដែលអនុលោមតាមស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-3 ។ ប្រតិបត្តិការជញ្ជាំងភ្លើងស៊េរី SRX នៅក្នុងបរិយាកាស FIPS 140-3 កម្រិត 2 ទាមទារឱ្យបើក និងកំណត់រចនាសម្ព័ន្ធរបៀបប្រតិបត្តិការ FIPS នៅលើឧបករណ៍ពីចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា Junos OS (CLI) ។ អ្នកគ្រប់គ្រងសុវត្ថិភាពបើកដំណើរការរបៀប FIPS នៅក្នុង Junos OS Release 22.2R1 ហើយដំឡើងសោ និងពាក្យសម្ងាត់សម្រាប់ប្រព័ន្ធ និងអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតដែលអាច view ការកំណត់រចនាសម្ព័ន្ធ។ ប្រភេទអ្នកប្រើទាំងពីរក៏អាចធ្វើការកំណត់រចនាសម្ព័ន្ធធម្មតានៅលើឧបករណ៍ (ដូចជាកែប្រែប្រភេទចំណុចប្រទាក់) ដូចជាការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើម្នាក់ៗអនុញ្ញាត។
ការអនុវត្តល្អបំផុត៖ ត្រូវប្រាកដថាផ្ទៀងផ្ទាត់ការចែកចាយប្រកបដោយសុវត្ថិភាពនៃឧបករណ៍របស់អ្នក ហើយអនុវត្ត tampការផ្សាភ្ជាប់ជាក់ស្តែងទៅកាន់ច្រកដែលងាយរងគ្រោះរបស់វា។
អំពីព្រំដែននៃការគ្រីបនៅលើឧបករណ៍របស់អ្នក។
ការអនុលោមតាម FIPS 140-3 ទាមទារព្រំដែនគ្រីបដែលបានកំណត់ជុំវិញម៉ូឌុលគ្រីបគ្រីបនីមួយៗនៅលើឧបករណ៍។ Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS រារាំងម៉ូឌុលគ្រីបពីដំណើរការកម្មវិធីណាមួយដែលមិនមែនជាផ្នែកនៃការចែកចាយដែលបានបញ្ជាក់ដោយ FIPS ហើយអនុញ្ញាតឱ្យប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS ប៉ុណ្ណោះ។ មិនមានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSP) ដូចជាពាក្យសម្ងាត់ និងសោអាចឆ្លងកាត់ព្រំដែនគ្រីបនៃម៉ូឌុលដោយ ឧ។ample ដែលត្រូវបានបង្ហាញនៅលើកុងសូល ឬសរសេរទៅកាន់កំណត់ហេតុខាងក្រៅ file.
ការប្រុងប្រយ័ត្ន៖ មុខងារ Virtual Chassis មិនត្រូវបានគាំទ្រនៅក្នុងរបៀបប្រតិបត្តិការ FIPS ទេ។ កុំកំណត់រចនាសម្ព័ន្ធ Virtual Chassis នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។
ដើម្បីធានានូវម៉ូឌុលគ្រីបគ្រីបជារូបវ័ន្ត ឧបករណ៍ Juniper Networks ទាំងអស់ទាមទារនៅamper-evident seal នៅលើរន្ធ USB និង mini-USB ។

5
របៀប FIPS នៃប្រតិបត្តិការខុសគ្នាពីរបៀបប្រតិបត្តិការមិនមែន FIPS
មិនដូច Junos OS នៅក្នុងរបៀបប្រតិបត្តិការមិនមែន FIPS ទេ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការគឺជាបរិយាកាសប្រតិបត្តិការដែលមិនអាចកែប្រែបាន។ លើសពីនេះទៀត Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការមានភាពខុសគ្នាតាមវិធីខាងក្រោមពី Junos OS នៅក្នុងរបៀបប្រតិបត្តិការដែលមិនមែនជា FIPS៖ · ការធ្វើតេស្តដោយខ្លួនឯងនៃក្បួនដោះស្រាយគ្រីបទាំងអស់ត្រូវបានអនុវត្តនៅពេលចាប់ផ្តើម។ · ការធ្វើតេស្តដោយខ្លួនឯងនៃចំនួនចៃដន្យ និងការបង្កើតកូនសោត្រូវបានអនុវត្តជាបន្តបន្ទាប់។ · ក្បួនដោះស្រាយការគ្រីបខ្សោយ ដូចជាស្តង់ដារអ៊ិនគ្រីបទិន្នន័យ (DES) និង MD5 ត្រូវបានបិទ។ · ការតភ្ជាប់ការគ្រប់គ្រងខ្សោយ ពីចម្ងាយ ឬមិនបានអ៊ិនគ្រីបមិនត្រូវកំណត់រចនាសម្ព័ន្ធទេ។ · ពាក្យសម្ងាត់ត្រូវតែត្រូវបានអ៊ិនគ្រីបជាមួយនឹងក្បួនដោះស្រាយមួយផ្លូវដ៏រឹងមាំដែលមិនអនុញ្ញាតឱ្យឌិគ្រីប។ · ពាក្យសម្ងាត់អ្នកគ្រប់គ្រង Junos-FIPS ត្រូវតែមានយ៉ាងហោចណាស់ 10 តួអក្សរ។ · សោរគ្រីបត្រូវតែត្រូវបានអ៊ិនគ្រីបមុនពេលបញ្ជូន។ ស្តង់ដារ FIPS 140-3 អាចទាញយកបានពីវិទ្យាស្ថានជាតិស្តង់ដារ និងបច្ចេកវិទ្យា (NIST) នៅ http://csrc.nist.gov/publications/fips/fips140-3/fips1402.pdf ។
កំណែដែលមានសុពលភាពនៃ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
ដើម្បីកំណត់កំណែដែលមានសុពលភាពរបស់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ និងសម្រាប់ព័ត៌មានស្តីពីការអនុលោមតាមច្បាប់អំពីលក្ខណៈវិនិច្ឆ័យទូទៅ និង FIPS សម្រាប់ផលិតផល Juniper Networks សូមមើល Juniper Networks Compliance Advisor។
ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងក្បួនដោះស្រាយការគ្រីបដែលបានគាំទ្រ
នៅក្នុងផ្នែកនេះ FIPS Terminology | 6 គាំទ្រក្បួនដោះស្រាយគ្រីបតូ | ៧

6
ប្រើនិយមន័យនៃពាក្យ FIPS និងក្បួនដោះស្រាយដែលបានគាំទ្រ ដើម្បីជួយអ្នកឱ្យយល់ពី Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។

ពាក្យ FIPS

ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSP)

ព័ត៌មានទាក់ទងនឹងសុវត្ថិភាព - សម្រាប់ឧample, លេខកូដសម្ងាត់ និងឯកជន និងទិន្នន័យផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដូចជាពាក្យសម្ងាត់ និងលេខអត្តសញ្ញាណផ្ទាល់ខ្លួន (PINs)- ដែលការបង្ហាញ ឬការកែប្រែអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬព័ត៌មានដែលវាការពារ។

ម៉ូឌុលគ្រីប

សំណុំនៃផ្នែករឹង កម្មវិធី និងកម្មវិធីបង្កប់ដែលអនុវត្តមុខងារសុវត្ថិភាពដែលបានអនុម័ត (រួមទាំងក្បួនដោះស្រាយការគ្រីប និងការបង្កើតកូនសោ) ហើយមាននៅក្នុងព្រំដែននៃគ្រីបគ្រីប។ ឧបករណ៍ SRX Series ត្រូវបានបញ្ជាក់នៅ FIPS 140-3 កម្រិត 2។

អ្នកគ្រប់គ្រងសន្តិសុខ

បុគ្គលដែលមានការអនុញ្ញាតសមរម្យ ដែលទទួលខុសត្រូវក្នុងការបើក កំណត់រចនាសម្ព័ន្ធ ត្រួតពិនិត្យ និងថែទាំ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការនៅលើឧបករណ៍ដោយសុវត្ថិភាព។

អេស.ភី

Encapsulating Security Payload protocol (ESP) ។ ផ្នែកនៃពិធីការ IPsec នោះ។

ធានានូវភាពសម្ងាត់នៃកញ្ចប់ព័ត៌មានតាមរយៈការអ៊ិនគ្រីប។ ពិធីការធានា

ថាប្រសិនបើកញ្ចប់ព័ត៌មាន ESP ត្រូវបានឌិគ្រីបដោយជោគជ័យ ហើយគ្មានភាគីណាមួយដឹងពីអាថ៌កំបាំងនោះទេ។

គន្លឹះដែលមិត្តភ័ក្តិចែករំលែក កញ្ចប់ព័ត៌មានមិនត្រូវបានភ្ជាប់ដោយខ្សែក្នុងពេលឆ្លងកាត់។

FIPS

ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ។ FIPS 140-3 បញ្ជាក់តម្រូវការសម្រាប់

ម៉ូឌុលសុវត្ថិភាព និងគ្រីបគ្រីប។ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការអនុលោមតាម

ជាមួយ FIPS 140-3 កម្រិត 2 ។

IKE

Internet Key Exchange (IKE) គឺជាផ្នែកមួយនៃ IPsec និងផ្តល់មធ្យោបាយដើម្បីសុវត្ថិភាព

ចរចារសោឯកជនដែលបានចែករំលែកដែលបឋមកថាការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (AH) និង ESP

ផ្នែកនៃ IPsec ត្រូវការដំណើរការត្រឹមត្រូវ។ IKE ជួលកូនសោ Diffie-Hellman-

វិធីសាស្រ្តផ្លាស់ប្តូរ និងជាជម្រើសក្នុង IPsec ។ (គ្រាប់ចុចដែលបានចែករំលែកអាចត្រូវបានបញ្ចូលដោយដៃ

នៅចំណុចចុងក្រោយ។ )

IPsec

ពិធីការសន្តិសុខ IP (IPsec) ។ វិធីស្ដង់ដារដើម្បីបន្ថែមសុវត្ថិភាពក្នុងការទំនាក់ទំនងតាមអ៊ីនធឺណិត។ សមាគមសន្តិសុខ IPsec (SA) បង្កើតការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពជាមួយនឹងម៉ូឌុលគ្រីបគ្រីប FIPS មួយផ្សេងទៀតដោយមធ្យោបាយនៃការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក និងការអ៊ិនគ្រីប។

ខេត

តេស្តចម្លើយដែលគេស្គាល់។ ការធ្វើតេស្តដោយខ្លួនឯងនៃប្រព័ន្ធដែលផ្តល់សុពលភាពនូវលទ្ធផលនៃក្បួនដោះស្រាយគ្រីបដែលបានអនុម័តសម្រាប់ FIPS និងសាកល្បងភាពសុចរិតនៃម៉ូឌុល Junos OS មួយចំនួន។

SA SPI SSH Zeroization

សមាគមសន្តិសុខ (SA) ។ ការតភ្ជាប់រវាងម៉ាស៊ីនដែលអនុញ្ញាតឱ្យពួកគេទំនាក់ទំនងដោយសុវត្ថិភាពដោយការកំណត់, for example, របៀបដែលពួកគេប្តូរសោឯកជន។ ក្នុងនាមជាអ្នកគ្រប់គ្រងសុវត្ថិភាព អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធ SA ខាងក្នុងដោយដៃនៅលើឧបករណ៍ដែលដំណើរការ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ តម្លៃទាំងអស់ រួមទាំងកូនសោ ត្រូវតែបញ្ជាក់ជាលក្ខណៈឋិតិវន្តក្នុងការកំណត់រចនាសម្ព័ន្ធ។
សន្ទស្សន៍ប៉ារ៉ាម៉ែត្រសុវត្ថិភាព (SPI) ។ លេខសម្គាល់ដែលប្រើជាមួយអាសយដ្ឋានគោលដៅ និងពិធីការសុវត្ថិភាពក្នុង IPsec ដើម្បីកំណត់អត្តសញ្ញាណ SA ។ ដោយសារតែអ្នកកំណត់រចនាសម្ព័ន្ធ SA សម្រាប់ Junos OS ដោយដៃនៅក្នុងរបៀបប្រតិបត្តិការ FIPS នោះ SPI ត្រូវតែបញ្ចូលជាប៉ារ៉ាម៉ែត្រជាជាងបានមកដោយចៃដន្យ។
ពិធីការដែលប្រើការផ្ទៀងផ្ទាត់ខ្លាំង និងការអ៊ិនគ្រីបសម្រាប់ការចូលប្រើពីចម្ងាយឆ្លងកាត់បណ្តាញដែលមិនមានសុវត្ថិភាព។ SSH ផ្តល់នូវការចូលពីចម្ងាយ ការប្រតិបត្តិកម្មវិធីពីចម្ងាយ file ច្បាប់ចម្លង និងមុខងារផ្សេងទៀត។ វាត្រូវបានបម្រុងទុកជាការជំនួសដោយសុវត្ថិភាពសម្រាប់ rlogin, rsh, និង rcp នៅក្នុងបរិស្ថាន UNIX ។ ដើម្បីធានាបាននូវព័ត៌មានដែលបានផ្ញើតាមការតភ្ជាប់រដ្ឋបាល សូមប្រើ SSHv2 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធ CLI ។ នៅក្នុង Junos OS SSHv2 ត្រូវបានបើកតាមលំនាំដើម ហើយ SSHv1 ដែលមិនត្រូវបានចាត់ទុកថាមានសុវត្ថិភាពត្រូវបានបិទ។
ការលុប CSPs ទាំងអស់ និងទិន្នន័យដែលបង្កើតដោយអ្នកប្រើប្រាស់ផ្សេងទៀតនៅលើឧបករណ៍មួយ មុនពេលប្រតិបត្តិការរបស់វាជាម៉ូឌុលគ្រីបគ្រីប FIPS ឬក្នុងការរៀបចំសម្រាប់ការរៀបចំឧបករណ៍ឡើងវិញសម្រាប់ប្រតិបត្តិការ nonFIPS ។ អ្នកគ្រប់គ្រងសន្តិសុខអាចសូន្យប្រព័ន្ធដោយប្រើពាក្យបញ្ជាប្រតិបត្តិការ CLI ។

គាំទ្រក្បួនដោះស្រាយគ្រីបតូ
ការអនុវត្តនីមួយៗនៃក្បួនដោះស្រាយមួយត្រូវបានត្រួតពិនិត្យដោយស៊េរីនៃការធ្វើតេស្តចម្លើយដែលគេស្គាល់ (KAT) ការធ្វើតេស្តខ្លួនឯង។ ការបរាជ័យនៃការធ្វើតេស្តដោយខ្លួនឯងណាមួយ បណ្តាលឱ្យមានស្ថានភាពកំហុស FIPS ។

ការអនុវត្តល្អបំផុត៖ សម្រាប់ការអនុលោមតាម FIPS 140-3 ប្រើតែក្បួនដោះស្រាយគ្រីបដែលអនុម័តដោយ FIPS នៅក្នុង Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។

ក្បួនដោះស្រាយការគ្រីបខាងក្រោមត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ។ វិធីសាស្ត្រស៊ីមេទ្រីប្រើសោដូចគ្នាសម្រាប់ការអ៊ិនគ្រីប និងការឌិគ្រីប ខណៈពេលដែលវិធីសាស្ត្រ asymmetric (ពេញចិត្ត) ប្រើសោផ្សេងគ្នាសម្រាប់ការអ៊ិនគ្រីប និងឌិគ្រីប។

AES

ស្តង់ដារអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES) ដែលកំណត់ក្នុង FIPS PUB 197។ ក្បួនដោះស្រាយ AES ប្រើ

គ្រាប់ចុច 128, 192, ឬ 256 ប៊ីត ដើម្បីអ៊ិនគ្រីប និងឌិគ្រីបទិន្នន័យក្នុងប្លុក 128 ប៊ីត។

DiffieHellman

វិធីសាស្រ្តនៃការផ្លាស់ប្តូរសោរនៅទូទាំងបរិយាកាសដែលមិនមានសុវត្ថិភាព (ដូចជាអ៊ីនធឺណិត)។ ក្បួនដោះស្រាយ Diffie-Hellman ចរចារសោសម័យដោយមិនបញ្ជូនសោដោយខ្លួនឯងឆ្លងកាត់បណ្តាញ ដោយអនុញ្ញាតឱ្យភាគីនីមួយៗជ្រើសរើសសោមួយផ្នែកដោយឯករាជ្យ ហើយផ្ញើផ្នែកនៃសោនោះទៅភាគីម្ខាងទៀត។ បន្ទាប់មកភាគីនីមួយៗគណនាតម្លៃគន្លឹះទូទៅ។ នេះគឺជាវិធីសាស្ត្រស៊ីមេទ្រី ហើយជាធម្មតាគ្រាប់ចុចត្រូវបានប្រើតែក្នុងរយៈពេលខ្លីប៉ុណ្ណោះ បោះបង់ និងបង្កើតឡើងវិញ។

ECDH

ខ្សែកោង Elliptic Diffie-Hellman ។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយការផ្លាស់ប្តូរគន្លឹះ Diffie-Hellman ដែលប្រើការគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ECDH អនុញ្ញាតឱ្យភាគីទាំងពីរ ដែលនីមួយៗមានគូសោសាធារណៈ-ឯកជន ខ្សែកោងរាងអេលីប ដើម្បីបង្កើតការសម្ងាត់រួមគ្នាលើបណ្តាញដែលមិនមានសុវត្ថិភាព។ អាថ៌កំបាំងដែលបានចែករំលែកអាចប្រើជាសោរ ឬដើម្បីទាញយកសោមួយផ្សេងទៀតសម្រាប់ការអ៊ិនគ្រីបទំនាក់ទំនងជាបន្តបន្ទាប់ដោយប្រើលេខកូដស៊ីមេទ្រី។

ECDSA

ក្បួនដោះស្រាយហត្ថលេខាឌីជីថលខ្សែកោងរាងអេលីបទិក។ វ៉ារ្យ៉ង់នៃក្បួនដោះស្រាយហត្ថលេខាឌីជីថល (DSA) ដែលប្រើគ្រីបគ្រីបដោយផ្អែកលើរចនាសម្ព័ន្ធពិជគណិតនៃខ្សែកោងរាងអេលីបលើវាលកំណត់។ ទំហំប៊ីតនៃខ្សែកោងរាងអេលីបកំណត់ពីការលំបាកក្នុងការឌិគ្រីបសោ។ សោសាធារណៈដែលគេជឿថាត្រូវការសម្រាប់ ECDSA គឺប្រហែលពីរដងនៃកម្រិតសុវត្ថិភាព គិតជាប៊ីត។ ECDSA ដោយប្រើខ្សែកោង P-256, P-384 ឬ P-521 អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្រោម OpenSSH ។

HMAC

ត្រូវបានកំណត់ថាជា "ការបិទភ្ជាប់សោសម្រាប់ការផ្ទៀងផ្ទាត់សារ" នៅក្នុង RFC 2104, HMAC រួមបញ្ចូលគ្នានូវក្បួនដោះស្រាយ hashing ជាមួយសោគ្រីបសម្រាប់ការផ្ទៀងផ្ទាត់សារ។ សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ HMAC ប្រើមុខងារកូដសម្ងាត់ដែលបានធ្វើម្តងទៀត SHA-1 (កំណត់ថាជា HMAC-SHA1) រួមជាមួយនឹងសោសម្ងាត់មួយ។

ការកំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព
មានយន្តការជាច្រើនដែលបានផ្តល់នៅក្នុងដំណើរការចែកចាយដើម្បីធានាថាអតិថិជនទទួលបានផលិតផលដែលមិនទាន់ត្រូវបាន tampered ជាមួយ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃវេទិកា។
· ស្លាកដឹកជញ្ជូន-ត្រូវប្រាកដថាស្លាកដឹកជញ្ជូនកំណត់ឈ្មោះ និងអាសយដ្ឋានរបស់អតិថិជនត្រឹមត្រូវ ព្រមទាំងឧបករណ៍ផងដែរ។
· ការវេចខ្ចប់ខាងក្រៅ-ពិនិត្យប្រអប់ដឹកជញ្ជូនខាងក្រៅ និងកាសែត។ ត្រូវប្រាកដថាខ្សែអាត់ដឹកជញ្ជូនមិនត្រូវបានកាត់ ឬមានការសម្របសម្រួល។ ត្រូវប្រាកដថាប្រអប់មិនត្រូវបានកាត់ ឬខូច ដើម្បីអនុញ្ញាតឱ្យចូលប្រើឧបករណ៍។
· ការវេចខ្ចប់ខាងក្នុង-ពិនិត្យថង់ប្លាស្ទិក និងត្រា។ ត្រូវប្រាកដថាកាបូបមិនត្រូវបានកាត់ឬដកចេញ។ ត្រូវប្រាកដថាត្រានៅដដែល។

9
ប្រសិនបើអតិថិជនកំណត់បញ្ហាក្នុងអំឡុងពេលត្រួតពិនិត្យ គាត់គួរតែទាក់ទងអ្នកផ្គត់ផ្គង់ភ្លាមៗ។ ផ្តល់លេខបញ្ជាទិញ លេខតាមដាន និងការពិពណ៌នាអំពីបញ្ហាដែលបានកំណត់ទៅអ្នកផ្គត់ផ្គង់។ លើសពីនេះទៀត មានការត្រួតពិនិត្យជាច្រើនដែលអាចត្រូវបានអនុវត្តដើម្បីធានាថាអតិថិជនបានទទួលប្រអប់ផ្ញើដោយ Juniper Networks ហើយមិនមែនជាក្រុមហ៊ុនផ្សេងដែលក្លែងបន្លំជា Juniper Networks នោះទេ។ អតិថិជនគួរតែធ្វើការត្រួតពិនិត្យខាងក្រោមនៅពេលទទួលបានឧបករណ៍ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃឧបករណ៍៖ · ផ្ទៀងផ្ទាត់ថាឧបករណ៍នេះត្រូវបានបញ្ជាទិញដោយប្រើការបញ្ជាទិញ។ ឧបករណ៍ Juniper Networks មិនដែលមានទេ។
ដឹកជញ្ជូនដោយគ្មានការបញ្ជាទិញ។
· នៅពេលដែលឧបករណ៍ត្រូវបានដឹកជញ្ជូន ការជូនដំណឹងអំពីការដឹកជញ្ជូនត្រូវបានផ្ញើទៅកាន់អាសយដ្ឋានអ៊ីមែលដែលផ្តល់ដោយអតិថិជន នៅពេលដែលការបញ្ជាទិញត្រូវបានទទួលយក។ ផ្ទៀងផ្ទាត់ថាការជូនដំណឹងតាមអ៊ីមែលនេះត្រូវបានទទួល។ ផ្ទៀងផ្ទាត់ថាអ៊ីមែលមានព័ត៌មានខាងក្រោម៖ · លេខបញ្ជាទិញ
· លេខលំដាប់ Juniper Networks ដែលប្រើដើម្បីតាមដានការដឹកជញ្ជូន
· លេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូន ប្រើដើម្បីតាមដានការដឹកជញ្ជូន
·បញ្ជីនៃទំនិញដែលបានដឹកជញ្ជូនរួមទាំងលេខសៀរៀល
· អាសយដ្ឋាន និងទំនាក់ទំនងរបស់អ្នកផ្គត់ផ្គង់ និងអតិថិជន
· ផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks ។ ដើម្បីផ្ទៀងផ្ទាត់ថាការដឹកជញ្ជូនត្រូវបានផ្តួចផ្តើមដោយ Juniper Networks អ្នកគួរតែអនុវត្តភារកិច្ចដូចខាងក្រោមៈ · ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូននៃលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុងសេចក្តីជូនដំណឹងអំពីការដឹកជញ្ជូន Juniper Networks ជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។
· ចូលទៅកាន់គេហទំព័រគាំទ្រអតិថិជនតាមអ៊ីនធឺណិត Juniper Networks នៅ https://support.juniper.net/ support/ ទៅ view ស្ថានភាពនៃការបញ្ជាទិញ។ ប្រៀបធៀបលេខតាមដានក្រុមហ៊ុនដឹកជញ្ជូន ឬលេខលំដាប់ Juniper Networks ដែលបានរាយក្នុងសេចក្តីជូនដំណឹងអំពីការដឹកជញ្ជូន Juniper Networks ជាមួយនឹងលេខតាមដាននៅលើកញ្ចប់ដែលបានទទួល។
ឯកសារពាក់ព័ន្ធ ការយល់ដឹងអំពីការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃជាទូទៅ

10
ការដាក់ពាក្យ Tamper-Evident Seals to the Cryptographic Module
នៅក្នុងផ្នែកនេះ ឧត្តមសេនីយ៍ Tamper-Evident Seal សេចក្តីណែនាំ | 11 ការដាក់ពាក្យ Tamper-Evident Seals នៅលើឧបករណ៍ SRX1500 | 11 ការដាក់ពាក្យ Tamper-Evident Seals នៅលើឧបករណ៍ SRX4100, SRX4200, និង SRX4600 | ១២
ម៉ូឌុលគ្រីបគ្រីប រូបវន្តរូបវន្ត គឺជាឧបករណ៍ដែលឈរតែឯងពហុបន្ទះឈីប ដែលបំពេញតាមតម្រូវការសុវត្ថិភាពរូបវន្តកម្រិត 2 ។ ម៉ូឌុលនេះត្រូវបានរុំព័ទ្ធទាំងស្រុងដោយនីកែលរាងចតុកោណកែង ឬស័ង្កសីស្រោប ដែករមូរត្រជាក់ ដែកស្រោប និងឯករភជប់អាលុយមីញ៉ូម។ មិនមានរន្ធខ្យល់ ចន្លោះប្រហោង ស្នាមប្រេះ រន្ធ ឬស្នាមប្រេះ ដែលនឹងអនុញ្ញាតឱ្យមានការសង្កេតប្រភេទណាមួយនៃសមាសធាតុណាមួយដែលមាននៅក្នុងព្រំដែនគ្រីប។ ធampការផ្សាភ្ជាប់ er-evident អនុញ្ញាតឱ្យប្រតិបត្តិករដើម្បីផ្ទៀងផ្ទាត់ថាតើឯករភជប់ត្រូវបានរំលោភបំពាន។ ការផ្សាភ្ជាប់ទាំងនេះមិនត្រូវបានដំឡើងដោយរោងចក្រទេ ហើយត្រូវតែអនុវត្តដោយមន្ត្រីគ្រីបតូ។
ចំណាំ៖ ត្រាអាចរកបានសម្រាប់ការបញ្ជាទិញពី Juniper Networks ដោយប្រើលេខផ្នែក JNPR-FIPSTAMPER-LBLS ។
ក្នុងនាមជាមន្ត្រីគ្រីបតូ អ្នកត្រូវទទួលខុសត្រូវចំពោះ៖ · ការអនុវត្តការផ្សាភ្ជាប់ដើម្បីធានាម៉ូឌុលគ្រីបគ្រីប · ការត្រួតពិនិត្យការផ្សាភ្ជាប់ដែលមិនបានប្រើ · ការត្រួតពិនិត្យ និងសង្កេតការផ្លាស់ប្តូរណាមួយ ដូចជាការជួសជុល ឬការចាប់ផ្ដើមពីដ្រាយ USB ខាងក្រៅទៅកាន់
ម៉ូឌុលគ្រីបគ្រីប ដែលតម្រូវឱ្យដកចេញ ឬជំនួសការផ្សាភ្ជាប់ ដើម្បីរក្សាសុវត្ថិភាពនៃម៉ូឌុល យោងតាមគោលការណ៍ណែនាំនៃការត្រួតពិនិត្យសុវត្ថិភាព នៅពេលទទួលបានម៉ូឌុលគ្រីប មន្រ្តីគ្រីបតូត្រូវតែពិនិត្យមើលថា ស្លាកទាំងនោះមិនមាន tampភស្តុតាង។

11
ឧត្តមសេនីយ៍ Tamper-Evident Seal សេចក្តីណែនាំ
រាល់កុងតាក់ដែលមានការបញ្ជាក់ FIPS ទាមទារនៅampការបិទត្រាដែលមានភស្តុតាងនៅលើរន្ធ USB ។ ខណៈពេលអនុវត្តការផ្សាភ្ជាប់ សូមអនុវត្តតាមការណែនាំទូទៅទាំងនេះ៖ · ដោះស្រាយការផ្សាភ្ជាប់ដោយប្រុងប្រយ័ត្ន។ កុំប៉ះផ្នែកស្អិត។ កុំកាត់ ឬប្តូរទំហំត្រាទៅ
ធ្វើឱ្យវាសម។ · ត្រូវប្រាកដថាផ្ទៃទាំងអស់ដែលលាបត្រូវស្អាត និងស្ងួត និងជម្រះនូវសំណល់ផ្សេងៗ។ · អនុវត្តការផ្សាភ្ជាប់ជាមួយនឹងសម្ពាធដ៏រឹងមាំនៅទូទាំងផ្សាភ្ជាប់ដើម្បីធានាបាននូវភាពស្អិតជាប់។ ទុកពេលយ៉ាងហោចណាស់ 1 ម៉ោងសម្រាប់
adhesive ដើម្បីព្យាបាល។
ការដាក់ពាក្យ Tamper-Evident Seals នៅលើឧបករណ៍ SRX1500
នៅលើឧបករណ៍ SRX1500 អនុវត្ត 10 tamper-evident seals នៅទីតាំងខាងក្រោម៖ · បន្ទះខាងមុខ៖
· ផ្នែកខាងមុខរបស់ SRX1500 មានរន្ធដោតពីរ។ គម្របរន្ធដោតគួរត្រូវបានធានាដោយវីសពីរនីមួយៗហើយបន្ទាប់មកពីរ tampស្លាកសញ្ញា er-evident ត្រូវតែអនុវត្តទៅរន្ធដោត។ ធីamper-evident labels ចេញពីផ្នែកខាងមុខនៃ SRX1500 ទៅកំពូល។
· អនុវត្តពីរ tamper labels ដើម្បីគ្របដណ្តប់រន្ធ USB និងពីរ tamper labels ដើម្បីគ្របដណ្តប់ច្រកដែលអាចរកបានខ្ពស់។
· ផ្ទាំងខាងក្រោយ៖ · ផ្នែកខាងក្រោយនៃ SRX1500 មានពីរ tamper-evident seals, the tampត្រា er-evident នៅផ្នែកខាងលើនៃខាងក្រោយ-view រុំទៅផ្នែកខាងលើនៃឧបករណ៍ និងគ្របវីសទីបួនពីចំហៀងដែលមានការផ្គត់ផ្គង់ថាមពល។ · អនុវត្តមួយ tamper label នៅខាងក្រោយ SRX1500 នៅលើគម្របរន្ធដោត SSD ទៅខាងក្រោមនៃ SRX1500។ · អនុវត្តពីរ tamper labels ដើម្បីគ្របដណ្តប់វីសដែលបានចង្អុលបង្ហាញនៅខាងឆ្វេងនិងខាងស្តាំនៃ SRX1500 ហើយរុំទៅបាតនៃ SRX1500 ។

12
ការដាក់ពាក្យ Tamper-Evident Seals នៅលើឧបករណ៍ SRX4100, SRX4200, និង SRX4600
ចំណាំ៖ ការដាក់ tamper ស្លាកភស្តុតាងសម្រាប់ឧបករណ៍ SRX4100, SRX4200 និង SRX4600 គឺដូចគ្នាបេះបិទ។
អនុវត្ត 11 tampការផ្សាភ្ជាប់ er-evident នៅទីតាំងដូចខាងក្រោម: · អនុវត្តពីរ tamper-evident labels នៅផ្នែកខាងលើនៃតួ ដោយគ្របវីសមួយនៅផ្នែកខាងលើ-ខាងក្រោយខាងឆ្វេង
និងវីសមួយនៅខាងស្តាំផ្នែកខាងលើ។ ធីampផ្លាកសញ្ញាជាក់ស្តែងគ្របដណ្តប់វីសនៅផ្នែកខាងលើនៃតួ ហើយរុំចុះក្រោមផ្នែកនីមួយៗនៃតួ។ · អនុវត្តបី tampស្លាកសញ្ញា er-evident នៅផ្នែកខាងក្រោមនៃតួ គ្របដណ្តប់វីសចំនួនបីដែលធានាបន្ទះមុខនៅផ្នែកខាងមុខនៃតួ។ វីសទាំងបីស្ថិតនៅផ្នែកខាងក្រោមនៃតួទាំងស្រុង ពួកគេមិនរុំជុំវិញផ្នែកផ្សេងទៀតនៃតួឡើយ។ · អនុវត្តពីរ tamper-evident labels គ្របដណ្តប់រន្ធ USB ពីរនៅផ្នែកខាងមុខនៃឧបករណ៍ SRX4100 និង SRX4200។ · អនុវត្តពីរ tamper-evident labels គ្របដណ្តប់ច្រក HA ពីរ និង t ពីរamper-evident labels គ្របដណ្តប់ច្រក HA ទីពីរ។
ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង
ចំណុចប្រទាក់គ្រប់គ្រងខាងក្រោមអាចត្រូវបានប្រើនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ៖ · ចំណុចប្រទាក់គ្រប់គ្រងមូលដ្ឋាន-ច្រកកុងសូល RJ-45 នៅលើបន្ទះខាងក្រោយនៃឧបករណ៍ត្រូវបានកំណត់រចនាសម្ព័ន្ធជា
ឧបករណ៍ស្ថានីយទិន្នន័យ RS-232 (DTE) ។ អ្នកអាចប្រើចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា (CLI) លើច្រកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធឧបករណ៍ពីស្ថានីយ។ · ពិធីការគ្រប់គ្រងពីចម្ងាយ-ឧបករណ៍អាចត្រូវបានគ្រប់គ្រងពីចម្ងាយលើចំណុចប្រទាក់អ៊ីសឺរណិតណាមួយ។ SSHv2 គឺជាពិធីការគ្រប់គ្រងពីចម្ងាយដែលត្រូវបានអនុញ្ញាតតែមួយគត់ដែលអាចប្រើក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ ហើយវាត្រូវបានបើកតាមលំនាំដើមនៅលើឧបករណ៍។ ពិធីការគ្រប់គ្រងពីចម្ងាយ J-Web ហើយ Telnet មិនមានសម្រាប់ប្រើនៅលើឧបករណ៍នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃនោះទេ។
ឯកសារពាក់ព័ន្ធ ការយល់ដឹងអំពីការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃជាទូទៅ

2 ជំពូក
កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់
ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | 14 ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | 16 ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks | 21 ការដំឡើងកញ្ចប់កម្មវិធី Junos | 21 ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃប្រតិបត្តិការ |
22 ការផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍ | 24 របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS ក្នុងរបៀប FIPS នៃប្រតិបត្តិការ | ២៤

14
ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
នៅក្នុងផ្នែកនេះ តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខ | 14 តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើ FIPS | 15 អ្វីដែលត្រូវបានរំពឹងទុកនៃអ្នកប្រើប្រាស់ FIPS ទាំងអស់ | ១៦
ប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) ដែលដំណើរការក្នុងទម្រង់ប្រតិបត្តិការមិនមែន FIPS អនុញ្ញាតឱ្យមានលទ្ធភាពជាច្រើនសម្រាប់អ្នកប្រើប្រាស់ ហើយការផ្ទៀងផ្ទាត់គឺផ្អែកលើអត្តសញ្ញាណ។ ផ្ទុយទៅវិញ ស្តង់ដារ FIPS 140-3 កំណត់តួនាទីអ្នកប្រើប្រាស់ពីរ៖ អ្នកគ្រប់គ្រងសន្តិសុខ និងអ្នកប្រើប្រាស់ FIPS ។ តួនាទីទាំងនេះត្រូវបានកំណត់ក្នុងលក្ខខណ្ឌនៃសមត្ថភាពអ្នកប្រើប្រាស់ Junos OS ។ ប្រភេទអ្នកប្រើប្រាស់ផ្សេងទៀតទាំងអស់ដែលបានកំណត់សម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ (ប្រតិបត្តិករ អ្នកប្រើប្រាស់រដ្ឋបាល និងផ្សេងៗទៀត) ត្រូវតែធ្លាក់ចូលទៅក្នុងប្រភេទមួយក្នុងចំណោមពីរប្រភេទ៖ អ្នកគ្រប់គ្រងសុវត្ថិភាព ឬអ្នកប្រើប្រាស់ FIPS ។ សម្រាប់ហេតុផលនេះ ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការគឺផ្អែកលើតួនាទីជាជាងផ្អែកលើអត្តសញ្ញាណ។ បន្ថែមពីលើតួនាទី FIPS របស់ពួកគេ ប្រភេទអ្នកប្រើប្រាស់ទាំងពីរអាចធ្វើកិច្ចការកំណត់រចនាសម្ព័ន្ធធម្មតានៅលើឧបករណ៍ ដូចដែលការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់នីមួយៗអនុញ្ញាត។ អ្នកគ្រប់គ្រងសុវត្ថិភាព និងអ្នកប្រើប្រាស់ FIPS អនុវត្តរាល់ភារកិច្ចកំណត់រចនាសម្ព័ន្ធដែលទាក់ទងនឹង FIPS ហើយចេញសេចក្តីថ្លែងការណ៍ និងពាក្យបញ្ជាទាំងអស់សម្រាប់ Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។ អ្នកគ្រប់គ្រងសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ FIPS ត្រូវតែធ្វើតាមការណែនាំសម្រាប់ Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។
តួនាទី និងការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រងសន្តិសុខ
អ្នកគ្រប់គ្រងសន្តិសុខគឺជាអ្នកទទួលខុសត្រូវក្នុងការបើក កំណត់រចនាសម្ព័ន្ធ ត្រួតពិនិត្យ និងថែទាំ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការនៅលើឧបករណ៍មួយ។ អ្នកគ្រប់គ្រងសុវត្ថិភាពដំឡើង Junos OS យ៉ាងមានសុវត្ថិភាពនៅលើឧបករណ៍ បើករបៀបប្រតិបត្តិការ FIPS បង្កើតសោ និងពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ផ្សេងទៀត និងម៉ូឌុលកម្មវិធី និងចាប់ផ្តើមឧបករណ៍មុនពេលភ្ជាប់បណ្តាញ។ អ្នកគ្រប់គ្រងសុវត្ថិភាពអាចកំណត់រចនាសម្ព័ន្ធ និងត្រួតពិនិត្យម៉ូឌុលតាមរយៈកុងសូល ឬការតភ្ជាប់ SSH ។

15
ការអនុវត្តល្អបំផុត៖ យើងសូមណែនាំថា អ្នកគ្រប់គ្រងសន្តិសុខគ្រប់គ្រងប្រព័ន្ធក្នុងលក្ខណៈសុវត្ថិភាព ដោយរក្សាពាក្យសម្ងាត់ឱ្យមានសុវត្ថិភាព និងពិនិត្យមើលសវនកម្ម។ files.
ការអនុញ្ញាតដែលបែងចែកអ្នកគ្រប់គ្រងសុវត្ថិភាពពីអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតគឺសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង។ សម្រាប់ការអនុលោមតាម FIPS សូមចាត់តាំងអ្នកគ្រប់គ្រងសុវត្ថិភាពទៅថ្នាក់ចូលដែលមានការអនុញ្ញាតទាំងអស់នេះ។ អ្នកប្រើប្រាស់ដែលមានសិទ្ធិថែទាំ Junos OS អាចអានបាន។ files មានប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ (CSPs) ។
ចំណាំ៖ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការមិនគាំទ្រតួនាទីថែទាំ FIPS 140-3 ដែលខុសពីការអនុញ្ញាតថែទាំ Junos OS។
ក្នុងចំណោមកិច្ចការដែលទាក់ទងនឹង Junos OS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS អ្នកគ្រប់គ្រងសន្តិសុខត្រូវបានគេរំពឹងថានឹង៖ · កំណត់ពាក្យសម្ងាត់ដើមដំបូង។ · កំណត់ពាក្យសម្ងាត់របស់អ្នកប្រើឡើងវិញសម្រាប់ក្បួនដោះស្រាយដែលត្រូវបានអនុម័តដោយ FIPS កំឡុងពេលដំឡើងកំណែពី Junos OS។ · ដំឡើង IPsec SAs ដោយដៃសម្រាប់ការកំណត់រចនាសម្ព័ន្ធជាមួយម៉ាស៊ីននាំផ្លូវពីរ។ ·ពិនិត្យកំណត់ហេតុនិងសវនកម្ម files សម្រាប់ព្រឹត្តិការណ៍ដែលចាប់អារម្មណ៍។ · លុបបង្កើតដោយអ្នកប្រើ files និងទិន្នន័យនៅលើ (zeroize) ឧបករណ៍។
តួនាទី និងទំនួលខុសត្រូវរបស់អ្នកប្រើប្រាស់ FIPS
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំងអ្នកគ្រប់គ្រងសន្តិសុខអាច view ការកំណត់រចនាសម្ព័ន្ធ។ មានតែអ្នកប្រើដែលបានចាត់តាំងជាអ្នកគ្រប់គ្រងសុវត្ថិភាពប៉ុណ្ណោះអាចកែប្រែការកំណត់រចនាសម្ព័ន្ធបាន។ ការអនុញ្ញាតដែលបែងចែកអ្នកគ្រប់គ្រងសន្តិសុខពីអ្នកប្រើប្រាស់ FIPS ផ្សេងទៀតគឺសម្ងាត់ សុវត្ថិភាព ការថែទាំ និងការគ្រប់គ្រង។ សម្រាប់ការអនុលោមតាម FIPS កំណត់អ្នកប្រើប្រាស់ FIPS ទៅកាន់ថ្នាក់ដែលមិនមានការអនុញ្ញាតទាំងនេះទេ។ អ្នកប្រើប្រាស់ FIPS កំណត់រចនាសម្ព័ន្ធមុខងារបណ្តាញនៅលើឧបករណ៍ និងអនុវត្តការងារផ្សេងទៀតដែលមិនជាក់លាក់ចំពោះរបៀបប្រតិបត្តិការ FIPS ។ អ្នកប្រើប្រាស់ FIPS ដែលមិនមែនជាអ្នកគ្រប់គ្រងសន្តិសុខអាចដំណើរការឡើងវិញ និង view លទ្ធផលស្ថានភាព។

16
អ្វីដែលត្រូវបានរំពឹងទុករបស់អ្នកប្រើ FIPS ទាំងអស់។
អ្នកប្រើប្រាស់ FIPS ទាំងអស់ រួមទាំងអ្នកគ្រប់គ្រងសន្តិសុខ ត្រូវតែគោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពគ្រប់ពេលវេលា។ អ្នកប្រើប្រាស់ FIPS ទាំងអស់ត្រូវតែ៖ · រក្សាពាក្យសម្ងាត់ទាំងអស់ជាសម្ងាត់។ · រក្សាទុកឧបករណ៍ និងឯកសារនៅក្នុងតំបន់សុវត្ថិភាព។ · ដាក់ពង្រាយឧបករណ៍នៅក្នុងតំបន់សុវត្ថិភាព។ ·ពិនិត្យសវនកម្ម files តាមកាលកំណត់។ · អនុលោមតាមច្បាប់សុវត្ថិភាព FIPS 140-3 ផ្សេងទៀត។ · អនុវត្តតាមការណែនាំទាំងនេះ៖
· អ្នកប្រើត្រូវបានជឿទុកចិត្ត។ · អ្នកប្រើប្រាស់គោរពតាមគោលការណ៍ណែនាំសុវត្ថិភាពទាំងអស់។ · អ្នកប្រើមិនបំពានសុវត្ថិភាពដោយចេតនា។ · អ្នកប្រើប្រាស់មានអាកប្បកិរិយាទទួលខុសត្រូវគ្រប់ពេលវេលា។
ឯកសារដែលទាក់ទង ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងក្បួនដោះស្រាយគ្រីបតូដែលគាំទ្រ | 5 ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃប្រតិបត្តិការ
ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
នៅក្នុងផ្នែកនេះ ការយល់ដឹងអំពីសេវាកម្មដែលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ | 17 ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ | ១៨

17 សេវាកម្មទាំងអស់ដែលបានអនុវត្តដោយម៉ូឌុលត្រូវបានរាយក្នុងតារាងខាងក្រោម។

ការយល់ដឹងអំពីសេវាកម្មដែលបានផ្ទៀងផ្ទាត់

តារាងទី 1 នៅលើទំព័រទី 17 រាយបញ្ជីសេវាកម្មដែលបានបញ្ជាក់នៅលើឧបករណ៍ដែលដំណើរការ Junos OS ។ តារាងទី 1: សេវាផ្ទៀងផ្ទាត់

សេវាកម្មផ្ទៀងផ្ទាត់

ការពិពណ៌នា

អ្នកគ្រប់គ្រងសន្តិសុខ

អ្នកប្រើប្រាស់ (បានតែអាន)

អ្នកប្រើប្រាស់ (បណ្តាញ)

កំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព សុវត្ថិភាពពាក់ព័ន្ធ

ការកំណត់រចនាសម្ព័ន្ធ

កំណត់រចនាសម្ព័ន្ធ

ភាពមិនមានសុវត្ថិភាព

ពាក់ព័ន្ធ

ការកំណត់រចនាសម្ព័ន្ធ

សុវត្ថិភាពចរាចរណ៍

IPsec ត្រូវបានការពារ

ផ្លូវ

ស្ថានភាព

បង្ហាញស្ថានភាព x

សូន្យ

បំផ្លាញ x សំខាន់ៗទាំងអស់។

ប៉ារ៉ាម៉ែត្រសុវត្ថិភាព

(CSPs)

ភ្ជាប់ SSH

ចាប់ផ្តើម SSH

ការតភ្ជាប់សម្រាប់ SSH

ការត្រួតពិនិត្យ និង

ការគ្រប់គ្រង (CLI)

ភ្ជាប់ IPsec

ចាប់ផ្តើម IPsec

ការតភ្ជាប់ (IKE)

ការចូលប្រើកុងសូល។

ការត្រួតពិនិត្យកុងសូល x

និងការគ្រប់គ្រង (CLI)

តារាងទី 1៖ សេវាកម្មផ្ទៀងផ្ទាត់ (ត)

សេវាកម្មផ្ទៀងផ្ទាត់

ការពិពណ៌នា

អ្នកគ្រប់គ្រងសន្តិសុខ

អ្នកប្រើប្រាស់ (បានតែអាន)

អ្នកប្រើប្រាស់ (បណ្តាញ)

កំណត់ឡើងវិញពីចម្ងាយ

កម្មវិធីដែលផ្តួចផ្តើមឡើង x

កំណត់ឡើងវិញ

តារាងទី 2៖ ចរាចរណ៍ដែលមិនបានផ្ទៀងផ្ទាត់

សេវាកម្ម

ការពិពណ៌នា

កំណត់ឡើងវិញក្នុងមូលដ្ឋាន

កំណត់ឡើងវិញនូវផ្នែករឹង ឬវដ្តថាមពល

ចរាចរណ៍

ចរាចរណ៍ដែលមិនត្រូវការសេវាកម្មគ្រីប

ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់

ប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់ៗ (CSPs) គឺជាព័ត៌មានដែលទាក់ទងនឹងសុវត្ថិភាព ដូចជាសោគ្រីប និងពាក្យសម្ងាត់ដែលអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃម៉ូឌុលគ្រីបគ្រីប ឬសុវត្ថិភាពនៃព័ត៌មានដែលត្រូវបានការពារដោយម៉ូឌុល ប្រសិនបើពួកវាត្រូវបានបង្ហាញ ឬកែប្រែ។
Zeroization នៃប្រព័ន្ធលុបដានទាំងអស់នៃ CSPs ក្នុងការរៀបចំសម្រាប់ប្រតិបត្តិការឧបករណ៍ជាម៉ូឌុលគ្រីប។
តារាងទី 3 នៅទំព័រ 18 រាយបញ្ជីសិទ្ធិចូលប្រើ CSP នៅក្នុងសេវាកម្ម។
តារាងទី 3៖ សិទ្ធិចូលប្រើ CSP នៅក្នុងសេវាកម្ម

សេវាកម្ម

CSPs

DRBG_Se DRBG_Stat SSH PHK

SSH DH

SSH-SEK ESP-SEK

កំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព

G, W

តារាងទី 3៖ សិទ្ធិចូលប្រើ CSP នៅក្នុងសេវាកម្ម (បន្ត)

សេវាកម្ម

CSPs

DRBG_Se DRBG_Stat SSH PHK

SSH DH

SSH-SEK ESP-SEK

កំណត់រចនាសម្ព័ន្ធ

សុវត្ថិភាពចរាចរណ៍

ស្ថានភាព

សូន្យ

ភ្ជាប់ SSH

G, អ៊ី

ការតភ្ជាប់ IPSec

ការចូលប្រើកុងសូល។

កំណត់ឡើងវិញពីចម្ងាយ

G, អ៊ី

កំណត់ឡើងវិញក្នុងមូលដ្ឋាន

G, អ៊ី

ចរាចរណ៍

សេវាកម្ម
កំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព កំណត់រចនាសម្ព័ន្ធ

CSPs IKE-PSK W

IKE-Priv G, W

IKE-SKEYI

IKE-SKE

IKE-DH-PRI

(ត)
សេវាកម្ម
ស្ថានភាពចរាចរណ៍សុវត្ថិភាព Zeroize SSH ភ្ជាប់ IPSec ភ្ជាប់ការចូលប្រើកុងសូល កំណត់ឡើងវិញពីចម្ងាយ កំណត់ចរាចរណ៍ឡើងវិញក្នុងតំបន់

CSPs IKE-PSK Z E

IKE-Priv Z E

IKE-SKEYI

IKE-SKE

IKE-DH-PRI

នៅទីនេះ៖ · G = បង្កើត៖ ឧបករណ៍បង្កើត CSP ។ · E = Execute៖ ឧបករណ៍ដំណើរការដោយប្រើ CSP ។ · W = សរសេរ៖ CSP ត្រូវបានអាប់ដេត ឬសរសេរទៅកាន់ឧបករណ៍។ · Z = Zeroize: ឧបករណ៍នេះសូន្យ CSP ។

ឯកសារពាក់ព័ន្ធ ការយល់ដឹងពីសូន្យដើម្បីសម្អាតទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃប្រតិបត្តិការ ការយល់ដឹងអំពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ FIPS | ៦០

21
ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks
ដើម្បីដំណើរការក្នុង Junos OS ក្នុងរបៀប FIPS ឧបករណ៍ត្រូវតែមានកញ្ចប់កម្មវិធីខាងក្រោមដែលបានដំឡើង។ អ្នកអាចទាញយកកញ្ចប់កម្មវិធី Junos OS ខាងក្រោមពី Juniper Networks webគេហទំព័រ៖ · Junos OS សម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200, និង SRX4600 ចេញផ្សាយ 22.2R1។ មុនពេលអ្នកចាប់ផ្តើមទាញយកកម្មវិធី សូមប្រាកដថាអ្នកមានបណ្តាញ Juniper Web គណនី និងកិច្ចសន្យាជំនួយត្រឹមត្រូវ។ ដើម្បីទទួលបានគណនី សូមបំពេញទម្រង់ចុះឈ្មោះនៅ Juniper Networks webគេហទំព័រ៖ https://userregistration.juniper.net/entitlement/setupAccountInfo.do ។ ដើម្បីទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks: 1. ការប្រើប្រាស់ ក Web កម្មវិធីរុករកតាមអ៊ីនធឺណិត ធ្វើតាមតំណដើម្បីទាញយក URL នៅលើបណ្តាញ Juniper webទំព័រ។
https://support.juniper.net/support/downloads/ 2. Log in to the Juniper Networks authentication system using the username (generally your e-mail
អាសយដ្ឋាន) និងពាក្យសម្ងាត់ដែលផ្តល់ដោយអ្នកតំណាង Juniper Networks ។ 3. ទាញយកកម្មវិធី។ សូមមើលការទាញយកកម្មវិធី
ឯកសារដែលពាក់ព័ន្ធ ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ
ការដំឡើងកញ្ចប់កម្មវិធី Junos
ឧបករណ៍ SRX Series អាចផ្តល់នូវសុវត្ថិភាពដែលកំណត់ដោយស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ (FIPS) 140-3 កម្រិត 2 ប្រសិនបើឧបករណ៍ទាំងនេះត្រូវបានដំណើរការនៅក្នុង Junos OS នៅក្នុងរបៀប FIPS ។
ចំណាំ៖ Junos OS ត្រូវបានផ្តល់ជូននៅក្នុងកញ្ចប់ដែលបានចុះហត្ថលេខាដែលមានហត្ថលេខាឌីជីថល ដើម្បីធានាថាកម្មវិធី Juniper Networks កំពុងដំណើរការ។ នៅពេលដំឡើងកញ្ចប់កម្មវិធី Junos OS ធ្វើឱ្យមានសុពលភាពហត្ថលេខា និងវិញ្ញាបនបត្រសោសាធារណៈដែលប្រើដើម្បីចុះហត្ថលេខាលើកញ្ចប់កម្មវិធីជាឌីជីថល។ ប្រសិនបើហត្ថលេខា ឬវិញ្ញាបនបត្រត្រូវបានរកឃើញថាមិនត្រឹមត្រូវ (សម្រាប់ឧample នៅពេលដែលរយៈពេលសុពលភាពវិញ្ញាបនបត្រមាន

22
ផុតកំណត់ ឬមិនអាចផ្ទៀងផ្ទាត់ប្រឆាំងនឹង root CA ដែលរក្សាទុកក្នុង Junos OS ហាងខាងក្នុង) ដំណើរការដំឡើងបរាជ័យ។
ដើម្បីដំឡើងកញ្ចប់កម្មវិធីទាំងនេះ សូមអនុវត្តកិច្ចការខាងក្រោម៖ 1. ទាញយកកញ្ចប់ Junos OS និងកញ្ចប់ Junos FIPS mode ពី https://support.juniper.net/
គាំទ្រ/ទាញយក/. សូមមើលការទាញយកកម្មវិធី។ 2. ដំឡើង Junos OS នៅលើឧបករណ៍របស់អ្នកដោយប្រើម៉ាស៊ីនមេ TFTP សូមមើលការដំឡើង Junos OS នៅលើ SRX Series
ឧបករណ៍ពី Boot Loader ដោយប្រើម៉ាស៊ីនមេ TFTP ឬដំឡើង Junos OS នៅលើឧបករណ៍របស់អ្នកដោយប្រើពាក្យបញ្ជា CLI ខាងក្រោម៖ ស្នើសុំកម្មវិធីប្រព័ន្ធបន្ថែម / / no-copy no-validate reboot.
ឯកសារដែលពាក់ព័ន្ធ ការណែនាំអំពីការដំឡើង និងដំឡើងកំណែ
ការយល់ដឹងពីសូន្យដើម្បីសម្អាតទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃប្រតិបត្តិការ
នៅក្នុងផ្នែកនេះ ហេតុអ្វីបានជា Zeroize? | ២៣ ពេលណាត្រូវសូន្យ? | ២៣
Zeroization លុបទាំងស្រុងនូវព័ត៌មានការកំណត់រចនាសម្ព័ន្ធទាំងអស់នៅលើឧបករណ៍ រួមទាំងពាក្យសម្ងាត់អត្ថបទធម្មតាទាំងអស់ អាថ៌កំបាំង និងសោឯកជនសម្រាប់ SSH ការអ៊ិនគ្រីបមូលដ្ឋាន ការផ្ទៀងផ្ទាត់មូលដ្ឋាន និង IPsec ។ ដើម្បីចេញពីរបៀប FIPS អ្នកត្រូវបិទឧបករណ៍។ ម៉ូឌុលគ្រីបគ្រីបផ្តល់នូវរបៀបប្រតិបត្តិការដែលមិនមានការយល់ព្រម ដែលក្បួនដោះស្រាយគ្រីបគ្រីបដែលមិនត្រូវបានអនុម័តត្រូវបានគាំទ្រ។ នៅពេលផ្លាស់ទីពីរបៀបប្រតិបត្តិការដែលមិនមានការយល់ព្រមទៅរបៀបប្រតិបត្តិការដែលបានអនុម័ត អ្នកគ្រប់គ្រងសុវត្ថិភាពត្រូវតែសូន្យប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់នៃរបៀបមិនអនុម័ត (CSPs)។ សម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200 និង SRX4600 អ្នកគ្រប់គ្រងសន្តិសុខចាប់ផ្តើមដំណើរការសូន្យដោយបញ្ចូលពាក្យបញ្ជា vmhost zeroize hypervisor សំណើ

23
ពី CLI បន្ទាប់ពីបើករបៀប FIPS នៃប្រតិបត្តិការ។ ការប្រើប្រាស់ពាក្យបញ្ជានេះត្រូវបានដាក់កម្រិតចំពោះអ្នកគ្រប់គ្រងសន្តិសុខ។
ការប្រុងប្រយ័ត្ន៖ អនុវត្តការសូន្យប្រព័ន្ធដោយប្រុងប្រយ័ត្ន។ បន្ទាប់ពីដំណើរការសូន្យត្រូវបានបញ្ចប់ គ្មានទិន្នន័យណាមួយត្រូវបានទុកនៅលើឧបករណ៍នោះទេ។ ពាក្យបញ្ជានេះលុប CSP ការកំណត់រចនាសម្ព័ន្ធ និងភាគថាសរឹងទាំងអស់ដែលមានរូបភាពឧបករណ៍។ ដូច្នេះហើយ ឧបករណ៍មិនចាប់ផ្ដើមនៅលើសូន្យទេ ហើយការបញ្ចូល USB ឡើងវិញគឺត្រូវបានទាមទារ ដើម្បីសង្គ្រោះឧបករណ៍។
Zeroization អាចចំណាយពេលច្រើន។ ទោះបីជាការកំណត់រចនាសម្ព័ន្ធទាំងអស់ត្រូវបានដកចេញក្នុងរយៈពេលពីរបីវិនាទីក៏ដោយ ក៏ដំណើរការសូន្យបន្តដើម្បីសរសេរជាន់លើមេឌៀទាំងអស់ ដែលអាចចំណាយពេលច្រើនអាស្រ័យលើទំហំមេឌៀ។
ហេតុអ្វី Zeroize?
ឧបករណ៍របស់អ្នកមិនត្រូវបានចាត់ទុកថាជាម៉ូឌុលគ្រីបគ្រីប FIPS ត្រឹមត្រូវទេ រហូតទាល់តែ CSP ទាំងអស់ត្រូវបានបញ្ចូល – ឬបញ្ចូលឡើងវិញ – ខណៈពេលដែលឧបករណ៍ស្ថិតនៅក្នុងរបៀបប្រតិបត្តិការ FIPS ។ សម្រាប់ការអនុលោមតាម FIPS 140-3 មធ្យោបាយតែមួយគត់ដើម្បីចេញពីរបៀប FIPS គឺដើម្បីសូន្យ TOE ។
ពេលណាត្រូវសូន្យ?
ក្នុងនាមជាអ្នកគ្រប់គ្រងសុវត្ថិភាព អនុវត្តសូន្យក្នុងស្ថានភាពដូចខាងក្រោម៖ · មុនពេលប្រតិបត្តិការ FIPS-ដើម្បីរៀបចំឧបករណ៍របស់អ្នកសម្រាប់ប្រតិបត្តិការជាម៉ូឌុលគ្រីប FIPS
អនុវត្តសូន្យដើម្បីលុបប៉ារ៉ាម៉ែត្រសុវត្ថិភាពសំខាន់នៃរបៀបមិនអនុម័ត (CSPs) ហើយបើករបៀប FIPS នៅលើឧបករណ៍។ · មុនពេលប្រតិបត្តិការដែលមិនមែនជា FIPS– ដើម្បីចាប់ផ្តើមដាក់ឧបករណ៍របស់អ្នកឡើងវិញសម្រាប់ប្រតិបត្តិការដែលមិនមែនជា FIPS សូមធ្វើសូន្យនៅលើឧបករណ៍។
ចំណាំ៖ Juniper Networks មិនគាំទ្រការដំឡើងកម្មវិធីដែលមិនមែនជា FIPS នៅក្នុងរបៀបប្រតិបត្តិការ FIPS ទេ ប៉ុន្តែការធ្វើដូច្នេះប្រហែលជាចាំបាច់នៅក្នុងបរិយាកាសសាកល្បងជាក់លាក់។ ត្រូវប្រាកដថាធ្វើសូន្យប្រព័ន្ធជាមុនសិន។
· នៅពេលampការផ្សាភ្ជាប់ er-evident ត្រូវបានរំខាន - ប្រសិនបើត្រានៅលើច្រកដែលមិនមានសុវត្ថិភាពត្រូវបាន tampered ជាមួយ ប្រព័ន្ធនេះត្រូវបានគេចាត់ទុកថាមានការសម្របសម្រួល។ បន្ទាប់ពីអនុវត្តថ្មី tamper-evident seals ទៅទីតាំងសមស្រប សូន្យប្រព័ន្ធ និងដំឡើងពាក្យសម្ងាត់ថ្មី និង CSPs ។

24
កំពុងផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍
រូបភាព Junos OS 22.2R1 FIPS ទទួលយកតែកម្មវិធីបង្កប់ដែលបានចុះហត្ថលេខាជាមួយ ECDSA ហើយបដិសេធកម្មវិធីបង្កប់ណាមួយដែលបានចុះហត្ថលេខាជាមួយ RSA+SHA1 ។ អ្នកមិនអាចទម្លាក់ចំណាត់ថ្នាក់ទៅរូបភាពដែលត្រូវបានចុះហត្ថលេខាជាមួយ RSA+SHA1 ពីរូបភាព "ECDSA ដែលបានចុះហត្ថលេខាតែប៉ុណ្ណោះ" ទេ។ នៅក្នុងសេណារីយ៉ូនេះ ជញ្ជាំងភ្លើងស៊េរី SRX មិនផ្ទុកកម្មវិធីបង្កប់ទេ។
របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ
អ្នកក្នុងនាមជាអ្នកគ្រប់គ្រងសន្តិសុខ អាចបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការនៅលើឧបករណ៍របស់អ្នក។ មុនពេលអ្នកចាប់ផ្តើមបើក និងកំណត់រចនាសម្ព័ន្ធរបៀបប្រតិបត្តិការ FIPS នៅលើឧបករណ៍៖ · ផ្ទៀងផ្ទាត់ការចែកចាយឧបករណ៍របស់អ្នកដោយសុវត្ថិភាព។ សូមមើល “ការកំណត់អត្តសញ្ញាណការចែកចាយផលិតផលប្រកបដោយសុវត្ថិភាព” នៅលើទំព័រ 8 ។ · អនុវត្ត tampការផ្សាភ្ជាប់ជាក់ស្តែង។ សូមមើល "ការអនុវត្ត Tamper-Evident Seals to the Cryptographic Module” បើក
ទំព័រ 10. ដើម្បីបើកដំណើរការ Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ សូមអនុវត្តជំហានខាងក្រោម៖ 1. បិទឧបករណ៍មុនពេលបើកដំណើរការរបៀប FIPS
user@host> request system zeroize hypervisor 2. បើករបៀប FIPS នៅលើឧបករណ៍។
user@host# កំណត់ប្រព័ន្ធ fips កម្រិត 2 3. កំណត់ពាក្យសម្ងាត់ root ។
user@host# កំណត់ប្រព័ន្ធ root-authentication plain-text-password ។ បញ្ចូលពាក្យសម្ងាត់។ 4. ដក CSPs ចេញនៅលើ commit check ។ user@host# commit 5. បន្ទាប់ពីអ្នកចាប់ផ្តើមឧបករណ៍ឡើងវិញ សូមអនុវត្តភាពសុចរិត និងការធ្វើតេស្តដោយខ្លួនឯង នៅពេលដែលម៉ូឌុលកំពុងដំណើរការក្នុងរបៀប FIPS ។

6. កំណត់រចនាសម្ព័ន្ធ IKEv2 នៅពេលដែល AES-GCM ត្រូវបានប្រើសម្រាប់ការអ៊ិនគ្រីប IKE និង/ឬ IPSec ។

user@host# កំណត់សំណើ ike សុវត្ថិភាព encryption-algorithm ?

ការបញ្ចប់ដែលអាចធ្វើបាន៖

aes-128-cbc AES-CBC 128-bit encryption algorithm

aes-128-gcm ក្បួនដោះស្រាយការអ៊ិនគ្រីប AES-GCM 128 ប៊ីត

aes-192-cbc AES-CBC 192-bit encryption algorithm

aes-256-cbc AES-CBC 256-bit encryption algorithm

aes-256-gcm ក្បួនដោះស្រាយការអ៊ិនគ្រីប AES-GCM 256 ប៊ីត

user@host# កំណត់សំណើ ike សុវត្ថិភាព encryption-algorithm aes-256-gcm

user@host# កំណត់សំណើ ipsec សុវត្ថិភាព encryption-algorithm aes-128-gcm

user@host# កំណត់ ike gateway សុវត្ថិភាព កំណែ?

ការបញ្ចប់ដែលអាចធ្វើបាន៖

v1-តែប៉ុណ្ណោះ

ការតភ្ជាប់ត្រូវតែចាប់ផ្តើមដោយប្រើ IKE កំណែ 1

v2-តែប៉ុណ្ណោះ

ការតភ្ជាប់ត្រូវតែចាប់ផ្តើមដោយប្រើ IKE កំណែ 2

user@host# កំណត់ ike gateway សុវត្ថិភាព កំណែ v2 តែប៉ុណ្ណោះ

user@host# ប្តេជ្ញា

ប្តេជ្ញាចិត្តពេញលេញ

ត្រូវប្រាកដថារូបភាពបម្រុងទុករបស់កម្មវិធីបង្កប់ក៏ជារូបភាព JUNOS-FIPS ដោយចេញពាក្យបញ្ជារូបថតប្រព័ន្ធសំណើ។

user@host-srx4200:fips> បង្ហាញកំណែ ឈ្មោះម៉ាស៊ីន៖ host-srx4200 ម៉ូដែល៖ srx4200 Junos: 22.2R1.9 JUNOS OS Kernel 64-bit [20220607.2c547a1_builder_stable_12_222] J20220607.2c547a1_builder_stable_12_OSbuilder222JUNS20220607.2 could_547_1] JUNOS OS runtime [12c222a20220607.2_builder_stable_547_1] JUNOS OS ព័ត៌មានអំពីតំបន់ពេលវេលា [12c222a20220617.153850_builder_stable_222_1] ជង់បណ្តាញ JUNOS និងឧបករណ៍ប្រើប្រាស់ [20220617.153850_builder_junos_222_r1] JUNOS libs [32_20220607.2 547c1a12_builder_stable_222_32] ភាពឆបគ្នារបស់ JUNOS OS 20220607.2 ប៊ីត [547c1a12_builder_stable_222_32] JUNOS libs compat20220617.153850 [222] JUNOS libs compat1 [20220617.153850 222_builder_junos_1_r20220617.153850] កញ្ចប់ Junos vmguest [222_builder_junos_1_r20220617.153850] JUNOS py extensions [222_builder1_r20220617.153850 JUNOS bases [222_builder1_r20220607.2] JUNOS 547_builder_junos_1_r12] JUNOS OS vmguest [222c20220607.2a547_builder_stable_1_12] JUNOS OS crypto [222cXNUMXaXNUMX_builder_stable_XNUMX_XNUMX]

26
JUNOS OS boot-ve files [20220607.2c547a1_builder_stable_12_222] JUNOS na telemetry [22.2R1.9] JUNOS Web កញ្ចប់វេទិកាគ្រប់គ្រង [20220617.153850_builder_junos_222_r1] JUNOS srx libs compat32 [20220617.153850_builder_junos_222_r1] JUNOS srx runtime [20220617.153850_builder_junos_222_r1] JUNOS srx runtime [20220617.153850 ការកំណត់ផ្លូវ mpls-oam-basic [222_builder_junos_1_r20220617.153850] JUNOS Routing lsys [222_builder_junos_1_r32] JUNOS Routing 20220617.153850-bit Compatible_junos222Version ១ ] JUNOS Routing សរុប [1_builder_junos_20220617.153850_r222] Redis [1_builder_junos_20220617.153850_r222] ឧបករណ៍ប្រើប្រាស់សម្រាប់ស៊ើបអង្កេត JUNOS [1_junos_builder20220617.153850] JUNOS common support_222 1_builder_junos_20220617.153850_r222] ការគាំទ្រវេទិកា JUNOS srx [1_builder_junos_20220617.153850_r222] JUNOS Openconfig [1R22.2] ម៉ូឌុលបណ្តាញ JUNOS mtx1.9 _builder_junos_20220617.153850_r222] ម៉ូឌុល JUNOS [1_builder_junos_20220617.153850_r222] ម៉ូឌុល JUNOS srx [1_builder_junos_20220617.153850_r222] JUNOS 1 _20220617.153850_r222] JUNOS L1 RSI Scripts [2_builder_junos_20220617.153850_r222] JUNOS srx Data Plane Crypto Support [1_builder_junos_20220617.153850_builder222_1_junos_20220617.153850_r222. 1_r20220617.153850] ដេមិន JUNOS [222 _builder_junos_1_r20220617.153850] JUNOS srx daemons [222_builder_junos_1_r20220617.153850] JUNOS High End AppQos Daemon [222_builder_junos_1_rXNUMX] JUNOS High End AppQos Daemon [XNUMX_builder_junos_XNUMX_rXNUMX] JUNOS URL កញ្ចប់តម្រង [20220617.153850_builder_junos_222_r1] JUNOS Services TLB Service PIC package [20220617.153850_builder_junos_222_r1] JUNOS Services Telemetry [20220617.153850_CPr222] 1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS SSL [1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS SOFTWIRE [1_builder_builder [20220617.153850_builder_junos_222_r1] សេវាកម្ម JUNOS RTCOM [20220617.153850_builder_junos_222_r1] JUNOS Services RPM [20220617.153850_builder_junos_222_r1] JUNOS Services RPM [20220617.153850_builder222_junos] 1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS NAT [1_builder_junos_20220617.153850_r222] កញ្ចប់សេវាកម្មអតិថិជនចល័ត JUNOS [1_builder_junos_20220617.153850]JUNOS Mobile Services 222_builder_junos_1_r20220617.153850] កញ្ចប់សេវាកម្ម JUNOS កំណត់ហេតុកំណត់ហេតុ [222_builder_junos_1_r20220617.153850] សេវា JUNOS LL-PDF កញ្ចប់សេវាកម្មកុងតឺន័រ [222_build] JUNOS er package [1_builder_junos_20220617.153850_r222] JUNOS Services Deep Packet Inspection package [1_builder_junos_20220617.153850_r222] JUNOS Services IPSec [1_20220617.153850_builder_junos_222_r1] JUNOS Services IPSec [20220617.153850_222_junos_1

27
JUNOS Services IDS [20220617.153850_builder_junos_222_r1] JUNOS IDP Services [20220617.153850_builder_junos_222_r1] សេវាកម្ម JUNOS សេវាកម្ម HTTP (កញ្ចប់គ្រប់គ្រងមាតិកា HTTP DNS_20220617.153850_builder222 i1) [386_builder_junos_20220617.153850_r222] JUNOS Services Crypto [1_builder_junos_20220617.153850_r222] JUNOS Services Captive Portal និងការដឹកជញ្ជូនមាតិកា កញ្ចប់កុងតឺន័រ [1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS COS [1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS AppId [1_build កម្រិត JUNOS AppId Services 20220617.153850_222] 1_builder_junos_20220617.153850_r222] សេវាកម្ម JUNOS AACL កញ្ចប់កុងតឺន័រ [1_builder_junos_20220617.153850_r222] កញ្ចប់ឧបករណ៍បន្ថែម JUNOS [1_builder UNetr20220617.153850_builder (wrlinuxlts222) [1_builder_junos_19_r20220617.153850] JUNOS Packet Forwarding Engine Support (spc222) [1_builder_junos_3_r20220617.153850] [JUNOS Packet Forwarding Engine Support.222XX1. builder_junos_92_r20220617.153850] JUNOS Packet Forwarding Engine Support (M/T Common) [222_builder_junos_1_r20220617.153850] JUNOS Packet Forwarding Engine Support (MX Common) [222_builder_junos_1_r20220617.153850] JUNOS Juniper Malware Removal Tool (JMRT) [222+1_builder_junos_1.0.0_20220617.153850] JUNOS _junos_222_r1] JUNOS jfirmware [20220617.153850_builder_junos_222_r1] JUNOS Online Documentation [20220608.110139_builder_junos_222_r1] JUNOS jail runtime [20220617.153850c222a1_builder_stable_20220607.2_547] JUNOS fips optest [1R12] JUNOS FIPS mode utilities [222_builder_junos_22.2_r1.9] JUNOS next key ឈ្មោះនៅក្នុងលទ្ធផលបង្ហាញថាម៉ូឌុលកំពុងដំណើរការនៅក្នុង FIPS របៀបសម្រាប់ការចេញផ្សាយកម្មវិធី Junos 20220617.153850R222 សម្រាប់ SRX1, SRX22.2, SRX1.9 និង SRX22.2។
ឯកសារពាក់ព័ន្ធ
កំពុងផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍ | ២៤

3 ជំពូក
ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល
ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត | ២៩
កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អ្នកគ្រប់គ្រងដែលមានសិទ្ធិ | ៣១

29
ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត
អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតត្រូវបានភ្ជាប់ជាមួយនឹងថ្នាក់ចូលដែលបានកំណត់ ហើយអ្នកគ្រប់គ្រងត្រូវបានផ្តល់ការអនុញ្ញាតទាំងអស់។ ទិន្នន័យត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានសម្រាប់ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ថេរ។
ចំណាំ៖ យើងណែនាំថាអ្នកមិនប្រើតួអក្សរគ្រប់គ្រងក្នុងពាក្យសម្ងាត់ទេ។
ប្រើគោលការណ៍ណែនាំ និងជម្រើសកំណត់រចនាសម្ព័ន្ធខាងក្រោមសម្រាប់ពាក្យសម្ងាត់ និងនៅពេលជ្រើសរើសពាក្យសម្ងាត់សម្រាប់គណនីអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត។ ពាក្យសម្ងាត់គួរតែជា៖ · ងាយស្រួលក្នុងការចងចាំ ដូច្នេះអ្នកប្រើប្រាស់មិនត្រូវបានល្បួងឱ្យសរសេរវាចុះ។ · ផ្លាស់ប្តូរតាមកាលកំណត់។ ·ឯកជន និងមិនចែករំលែកជាមួយនរណាម្នាក់។ ·មានយ៉ាងហោចណាស់ 10 តួអក្សរ។ ប្រវែងពាក្យសម្ងាត់អប្បបរមាគឺ 10 តួអក្សរ។
[ កែប្រែ ] administrator@host# កំណត់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ ប្រវែងអប្បបរមា 10
· រួមបញ្ចូលទាំងអក្សរក្រមលេខ និងសញ្ញាវណ្ណយុត្តិ ដែលផ្សំឡើងដោយការរួមបញ្ចូលគ្នានៃអក្សរធំ និងអក្សរតូច លេខ និងតួអក្សរពិសេសដូចជា “!”, “@”, “#”, “$”, “%”, “^”, "&", "*", "(", និង ")" ។ យ៉ាងហោចណាស់គួរតែមានការផ្លាស់ប្តូរក្នុងករណីមួយ ខ្ទង់មួយ ឬច្រើន និងសញ្ញាវណ្ណយុត្តិមួយ ឬច្រើន។
·មានសំណុំតួអក្សរ។ សំណុំតួអក្សរដែលមានសុពលភាពរួមមាន អក្សរធំ អក្សរតូច លេខ វណ្ណយុត្តិ និងតួអក្សរពិសេសផ្សេងទៀត។
[ កែប្រែ ] administrator@host# កំណត់ការចូលប្រព័ន្ធ ការប្តូរពាក្យសម្ងាត់ប្រភេទតួអក្សរ-សំណុំ

30
· មានចំនួនអប្បបរមានៃសំណុំតួអក្សរ ឬការផ្លាស់ប្តូរសំណុំតួអក្សរ។ ចំនួនអប្បបរមានៃសំណុំតួអក្សរដែលត្រូវការនៅក្នុងពាក្យសម្ងាត់អត្ថបទធម្មតានៅក្នុង Junos FIPS គឺ 2 ។
[ កែប្រែ ] administrator@host# កំណត់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ ការផ្លាស់ប្តូរអប្បបរមា 2
ចំណាំ៖ ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់សម្រាប់ពាក្យសម្ងាត់អត្ថបទធម្មតាត្រូវតែកំណត់រចនាសម្ព័ន្ធជា sha256។ [ កែប្រែ ] administrator@host# កំណត់ទម្រង់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ sha256
ពាក្យសម្ងាត់ខ្សោយគឺ៖ · ពាក្យដែលអាចត្រូវបានរកឃើញនៅក្នុង ឬមានជាទម្រង់ដែលបានអនុញ្ញាតនៅក្នុងប្រព័ន្ធ file ដូចជា /etc/passwd. · ឈ្មោះម៉ាស៊ីននៃប្រព័ន្ធ (តែងតែជាការស្មានដំបូង)។ · ពាក្យណាមួយដែលលេចឡើងក្នុងវចនានុក្រម។ នេះរួមបញ្ចូលទាំងវចនានុក្រមក្រៅពីភាសាអង់គ្លេស និងពាក្យដែលបានរកឃើញ
នៅក្នុងស្នាដៃដូចជា Shakespeare, Lewis Carroll, Roget's Thesaurus ជាដើម។ ការហាមឃាត់នេះរួមមានពាក្យ និងឃ្លាទូទៅពីកីឡា ការនិយាយ ភាពយន្ត និងកម្មវិធីទូរទស្សន៍។ · ការផ្លាស់ប្តូរនៅលើណាមួយនៃខាងលើ។ សម្រាប់អតីតample ជាពាក្យវចនានុក្រមដែលមានស្រៈជំនួសដោយលេខ (សម្រាប់ឧample f00t) ឬជាមួយនឹងការបន្ថែមលេខទៅចុងបញ្ចប់។ · ពាក្យសម្ងាត់ដែលបង្កើតដោយម៉ាស៊ីនណាមួយ។ ក្បួនដោះស្រាយកាត់បន្ថយទំហំស្វែងរកនៃកម្មវិធីទាយលេខសម្ងាត់ ដូច្នេះមិនគួរប្រើទេ។ ពាក្យសម្ងាត់ដែលអាចប្រើឡើងវិញបានខ្លាំងអាចផ្អែកលើអក្សរពីឃ្លា ឬពាក្យដែលចូលចិត្ត ហើយបន្ទាប់មកភ្ជាប់ជាមួយពាក្យផ្សេងទៀតដែលមិនពាក់ព័ន្ធ រួមជាមួយនឹងខ្ទង់បន្ថែម និងសញ្ញាវណ្ណយុត្តិ។ ប្រសិនបើដែនកំណត់នៃពាក្យសម្ងាត់មិនត្រឹមត្រូវជាប់គ្នាត្រូវបានឈានដល់ គណនីអ្នកប្រើប្រាស់ត្រូវបានចាក់សោ។ គណនីនឹងដោះសោដោយស្វ័យប្រវត្តិបន្ទាប់ពីពេលវេលាចាក់សោដែលបានកំណត់រចនាសម្ព័ន្ធផុតកំណត់ ឬគណនីអាចត្រូវបានដោះសោដោយដៃដោយប្រើពាក្យបញ្ជាខាងក្រោម៖
[ កែប្រែ ] administrator@host# ជម្រះការចូលប្រព័ន្ធ ចាក់សោឈ្មោះអ្នកប្រើប្រាស់
ចំណាំ៖ ពាក្យសម្ងាត់គួរតែត្រូវបានផ្លាស់ប្តូរជាទៀងទាត់។

31
កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត
គណនីសម្រាប់ជា root តែងតែមានវត្តមាននៅក្នុងការកំណត់ ហើយមិនមានបំណងសម្រាប់ប្រើប្រាស់ក្នុងប្រតិបត្តិការធម្មតានោះទេ។ នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ គណនីឫសត្រូវបានដាក់កម្រិតលើការដំឡើងដំបូង និងការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានវាយតម្លៃ។ អ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត NDPP ត្រូវតែមានការអនុញ្ញាតទាំងអស់ រួមទាំងសមត្ថភាពក្នុងការផ្លាស់ប្តូរការកំណត់រ៉ោតទ័រផងដែរ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត៖ 1. បង្កើតថ្នាក់ចូលដែលមានឈ្មោះថា security-admin ដោយមានការអនុញ្ញាតទាំងអស់។
[កែប្រែ] root@host# set system login class security-admin permissions ទាំងអស់ 2. កំណត់ NDPP user authorized administrator របស់អ្នក។
[កែប្រែ] root@host# កំណត់ការចូលប្រព័ន្ធ NDcPPv2-user class security-admin authentication encryptedpassword
OR
root@host# កំណត់ការចូលប្រព័ន្ធ NDcPPv2-user class security-admin authentication plain-textpassword 3. កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ពាក្យសម្ងាត់អត្ថបទធម្មតាជា sha256។
[កែប្រែ] root@host# កំណត់ទម្រង់ពាក្យសម្ងាត់ចូលប្រព័ន្ធ sha256 4. ធ្វើការផ្លាស់ប្តូរ។
[កែប្រែ] root@host# ប្តេជ្ញា

32
ចំណាំ៖ ពាក្យសម្ងាត់ root គួរតែត្រូវបានកំណត់ឡើងវិញបន្ទាប់ពីការផ្លាស់ប្តូរទៅ sha256 សម្រាប់ទម្រង់ផ្ទុកពាក្យសម្ងាត់។ នេះធានាថាពាក្យសម្ងាត់ថ្មីត្រូវបានការពារដោយប្រើ sha256 hash ជាជាងក្បួនដោះស្រាយការបំបែកពាក្យសម្ងាត់លំនាំដើម។ ដើម្បីកំណត់ពាក្យសម្ងាត់ root ឡើងវិញ សូមប្រើពាក្យបញ្ជាពាក្យសម្ងាត់ root របស់អ្នកប្រើ កំណត់ការចូលប្រព័ន្ធ ហើយបញ្ជាក់ពាក្យសម្ងាត់ថ្មីនៅពេលត្រូវបានសួរ។
ឯកសារពាក់ព័ន្ធ ស្វែងយល់ពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកគ្រប់គ្រងដែលមានសិទ្ធិ | ២៩

4 ជំពូក
ពិធីការពេលវេលាបណ្តាញ
NTP លើសview | 34 ម៉ាស៊ីនបម្រើពេលវេលា NTP | 38 កំណត់រចនាសម្ព័ន្ធ NTP Time Server និង Time Services | ៣៩ ឧample៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពពេលវេលាតែមួយសម្រាប់ Router និង Switch Clock synchronization | 43 ធ្វើសមកាលកម្ម និងសម្របសម្រួលការបែងចែកពេលវេលាដោយប្រើ NTP | 44 ការកំណត់រចនាសម្ព័ន្ធ NTP | ៤៨ ឧample៖ កំណត់រចនាសម្ព័ន្ធ NTP | 51 NTP Authentication Keys | 56 កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់ការផ្សាយសារដោយប្រើ NTP | 57 កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់សារ Multicast ដោយប្រើ NTP | ៥៧

34
NTP លើសview
នៅក្នុងផ្នែកនេះ ការគាំទ្របណ្តាញពេលវេលាសុវត្ថិភាព (NTS) សម្រាប់ NTP | ៣៥
Network Time Protocol (NTP) គឺជាពិធីការដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយដែលប្រើដើម្បីធ្វើសមកាលកម្មនាឡិការបស់ Router និងឧបករណ៍ Hardware ផ្សេងទៀតនៅលើអ៊ីនធឺណិត។ ម៉ាស៊ីនមេ NTP ចម្បងត្រូវបានធ្វើសមកាលកម្មទៅនឹងនាឡិកាយោងដែលអាចតាមដានដោយផ្ទាល់ទៅនឹងពេលវេលាសកលដែលសម្របសម្រួល (UTC) ។ នាឡិកាយោងរួមមានឧបករណ៍ទទួល GPS និងសេវាម៉ូដឹមទូរស័ព្ទ ការរំពឹងទុកភាពត្រឹមត្រូវ NTP អាស្រ័យលើតម្រូវការកម្មវិធីបរិស្ថាន។ ទោះជាយ៉ាងណាក៏ដោយ NTP ជាទូទៅអាចរក្សាពេលវេលាក្នុងរយៈពេលរាប់សិបមីលីវិនាទីតាមអ៊ីនធឺណិតសាធារណៈ។ NTP ត្រូវបានកំណត់នៅក្នុង RFC 5905: Network Time Protocol Version 4: Protocol and Algorithms Specification Devices ដែលកំពុងដំណើរការ Junos OS អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីដើរតួជា NTP client ម៉ាស៊ីនមេ NTP ទីពីរ ឬម៉ាស៊ីនមេ NTP ចម្បង។ ការប្រែប្រួលទាំងនេះមានដូចខាងក្រោម៖ · ម៉ាស៊ីនមេ NTP បឋម-ម៉ាស៊ីនមេ NTP បឋមត្រូវបានធ្វើសមកាលកម្មទៅនឹងនាឡិកាយោងដែលដោយផ្ទាល់
អាចតាមដាន UTC ។ បន្ទាប់មកម៉ាស៊ីនមេទាំងនេះចែកចាយទិន្នន័យពេលវេលានេះឡើងវិញទៅកាន់ម៉ាស៊ីនមេ NTP ទីពីរ ឬម៉ាស៊ីនភ្ញៀវ NTP ផ្សេងទៀត។ · ម៉ាស៊ីនមេ NTP ទីពីរ-ម៉ាស៊ីនមេ NTP ទីពីរត្រូវបានធ្វើសមកាលកម្មទៅម៉ាស៊ីនមេ NTP ចម្បងឬបន្ទាប់បន្សំ។ បន្ទាប់មកម៉ាស៊ីនមេទាំងនេះចែកចាយទិន្នន័យនេះឡើងវិញនៅខាងក្រោមទៅម៉ាស៊ីនមេ NTP ទីពីរ ឬម៉ាស៊ីនភ្ញៀវ NTP ។ · អតិថិជន NTP-NTP ត្រូវបានធ្វើសមកាលកម្មទៅម៉ាស៊ីនមេ NTP ចម្បង ឬបន្ទាប់បន្សំ។ អតិថិជនមិនចែកចាយទិន្នន័យពេលវេលានេះឡើងវិញទៅឧបករណ៍ផ្សេងទៀតទេ។
ចំណាំ៖ បណ្តាញរង NTP រួមមានម៉ាស៊ីនមេពេលវេលាចម្បងសាធារណៈមួយចំនួនដែលអាចចូលប្រើបានយ៉ាងទូលំទូលាយ ដែលអាចត្រូវបានប្រើជាម៉ាស៊ីនមេ NTP ចម្បងរបស់បណ្តាញ។ Juniper Networks ណែនាំយ៉ាងមុតមាំថាអ្នកផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃម៉ាស៊ីនមេណាមួយដែលអ្នកប្រើ។
ឧបករណ៍នីមួយៗនៅលើបណ្តាញរបស់អ្នកអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធឱ្យដំណើរការក្នុងរបៀប NTP មួយ ឬច្រើនដូចខាងក្រោម៖ · របៀបផ្សាយ - ឧបករណ៍មួយឬច្រើនត្រូវបានតំឡើងដើម្បីបញ្ជូនព័ត៌មានពេលវេលាទៅការផ្សាយដែលបានបញ្ជាក់។
ឬអាសយដ្ឋាន multicast ។ ឧបករណ៍ផ្សេងទៀតស្តាប់សម្រាប់កញ្ចប់សមកាលកម្មពេលវេលានៅលើអាសយដ្ឋានទាំងនេះ។ របៀបនេះមានភាពត្រឹមត្រូវតិចជាងរបៀបម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ។

35
· Client/Server Mode–ឧបករណ៍ត្រូវបានរៀបចំតាមឋានានុក្រមលើបណ្តាញក្នុងទំនាក់ទំនងអតិថិជន/ម៉ាស៊ីនមេ។
· Symmetric Active (peer) Mode–ឧបករណ៍ពីរឬច្រើនត្រូវបានកំណត់រចនាសម្ព័ន្ធជាម៉ាស៊ីនមេ NTP ដើម្បីផ្តល់នូវការលែងត្រូវការតទៅទៀត។
តាមលំនាំដើម ប្រសិនបើពេលវេលាម៉ាស៊ីនភ្ញៀវ NTP រសាត់ទៅៗ ដូច្នេះភាពខុសគ្នានៃពេលវេលាពីម៉ាស៊ីនមេ NTP លើសពី 128 មិល្លីវិនាទី នោះម៉ាស៊ីនភ្ញៀវ NTP នឹងត្រលប់ទៅធ្វើសមកាលកម្មវិញដោយស្វ័យប្រវត្តិ។ ម៉ាស៊ីនភ្ញៀវ NTP នឹងនៅតែធ្វើសមកាលកម្មជាមួយម៉ាស៊ីនមេ ទោះបីជាអុហ្វសិតរវាងម៉ាស៊ីនភ្ញៀវ NTP និងម៉ាស៊ីនមេលើសពីកម្រិត 1000 វិនាទីក៏ដោយ។ អ្នកអាចស្នើសុំដោយដៃដែលឧបករណ៍ធ្វើសមកាលកម្មជាមួយម៉ាស៊ីនមេ NTP ដោយប្រើពាក្យបញ្ជាប្រតិបត្តិការ ntp កាលបរិច្ឆេទកំណត់នៅលើរ៉ោតទ័រ។ នៅលើឧបករណ៍ដែលដំណើរការ Junos OS ដែលមានម៉ាស៊ីនបញ្ជូនផ្លូវពីរ ម៉ាស៊ីនកំណត់ផ្លូវបម្រុងទុកធ្វើសមកាលកម្មដោយផ្ទាល់ជាមួយម៉ាស៊ីនកំណត់ផ្លូវបឋម។ វេទិកា Juniper ទាំងអស់ដែលដំណើរការ Junos OS គាំទ្រការកែតម្រូវទីពីរលោត។ តាមលំនាំដើម ប្រសិនបើម៉ាស៊ីនមេ NTP ដឹងអំពីការគណនាទីពីរលោត នោះឧបករណ៍ Junos នឹងបន្ថែមការពន្យារពេល 1 វិនាទីដោយស្វ័យប្រវត្តិ។ PTP (Precision Time Protocol) ត្រូវបានប្រើដើម្បីរកឃើញនិងផ្សព្វផ្សាយការផ្លាស់ប្តូរការធ្វើសមកាលកម្មទីពីរលោតរំលងនៅទូទាំងថ្នាំងទាំងអស់នៅក្នុងបណ្តាញមួយ។ NTP ក៏ត្រូវបានទាមទារសម្រាប់ការអនុលោមតាមលក្ខណៈវិនិច្ឆ័យទូទៅផងដែរ។ សម្រាប់ព័ត៌មានបន្ថែមអំពីវិញ្ញាបនប័ត្រលក្ខណៈវិនិច្ឆ័យទូទៅ សូមមើលវិញ្ញាបនប័ត្រផ្នែកសាធារណៈ។ សម្រាប់ព័ត៌មានលម្អិតអំពី Network Time Protocol សូមចូលទៅកាន់ Network Time Foundation webគេហទំព័រ http://www.ntp.org ។ NTP គាំទ្រ IPv4 VPN និង IPv6 routing and forwarding requests (VRF) នៅលើ Junos OS។ សំណើ VRF ក៏ត្រូវបានគាំទ្រផងដែរនៅលើ Junos OS Evolved Release 20.2R1 តទៅ។ នេះអនុញ្ញាតឱ្យម៉ាស៊ីនមេ NTP ដំណើរការលើរ៉ោតទ័រផ្ដល់គែម (PE) ដើម្បីឆ្លើយតបទៅនឹងសំណើ NTP ពីរ៉ោតទ័រគែមអតិថិជន (CE) ។ ជាលទ្ធផល រ៉ោតទ័រ PE អាចដំណើរការកញ្ចប់សំណើ NTP ណាមួយដែលចេញមកពីករណីកំណត់ផ្លូវផ្សេងៗគ្នា។
ការគាំទ្របណ្តាញពេលវេលាសុវត្ថិភាព (NTS) សម្រាប់ NTP
នៅក្នុងផ្នែកនេះ NTS ជាងview | 36 អត្ថប្រយោជន៍នៃ NTS | 36 Network Time Synchronization ជាមួយ NTS | ៣៦

36
NTS ចប់view
NTS ផ្តល់នូវសុវត្ថិភាពគ្រីបគ្រីបសម្រាប់ការធ្វើសមកាលកម្មពេលវេលាបណ្តាញ និងគាំទ្ររបៀបម៉ាស៊ីនភ្ញៀវ-ម៉ាស៊ីនមេនៃ NTP ។ NTS ប្រើប្រាស់ពិធីការ Transport Layer Security (TLS) និងការអ៊ិនគ្រីបដែលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយទិន្នន័យពាក់ព័ន្ធ (AEAD) ដើម្បីទទួលបានពេលវេលាបណ្តាញក្នុងលក្ខណៈផ្ទៀងផ្ទាត់ចំពោះអ្នកប្រើប្រាស់។ NTS ក៏ផ្តល់ការគាំទ្រសម្រាប់ការអ៊ិនគ្រីបនៃផ្នែកបន្ថែម NTP ផងដែរ។ ដំណើរការសុវត្ថិភាពសំខាន់បំផុតគឺអាស្រ័យលើពេលវេលាត្រឹមត្រូវ។ ការធ្វើសមកាលកម្មពេលវេលាបណ្តាញពីប្រភពព្យាបាទនាំទៅរកផលវិបាកធ្ងន់ធ្ងរ។ ការបើកដំណើរការ NTS ធានានូវការធ្វើសមកាលកម្មពេលវេលាបណ្តាញត្រឹមត្រូវនៅលើឧបករណ៍របស់អ្នក។
អត្ថប្រយោជន៍របស់ NTS
· ផ្តល់នូវការការពារគ្រីបគ្រីបដ៏រឹងមាំប្រឆាំងនឹងការវាយប្រហារផ្នែកសុវត្ថិភាពជាច្រើនដូចជា ការរៀបចំកញ្ចប់ព័ត៌មាន ការក្លែងបន្លំ DDOS ampការវាយប្រហារ lification និងចាក់ឡើងវិញនូវការវាយប្រហារ
· ធានាបាននូវការធ្វើសមកាលកម្មពេលវេលាបណ្តាញត្រឹមត្រូវពីប្រភពដែលអាចទុកចិត្តបាន · ផ្តល់លទ្ធភាពធ្វើមាត្រដ្ឋាន៖ ម៉ាស៊ីនមេអាចបម្រើអតិថិជនជាច្រើនដោយមិនចាំបាច់កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវណាមួយជាមុនដោយដៃ-
ការកំណត់រចនាសម្ព័ន្ធជាក់លាក់។ ដោយសារតែការប្រើប្រាស់ខូឃី ម៉ាស៊ីនមេមិនចាំបាច់រក្សាទុកទិន្នន័យជាក់លាក់របស់អតិថិជនដូចជាកូនសោ និងក្បួនដោះស្រាយ AEAD · ការពារការតាមដានឧបករណ៍ចល័ត
ការធ្វើសមកាលកម្មពេលវេលាបណ្តាញជាមួយ NTS
NTS មានពិធីការពីរគឺពិធីការ NTS Key Establishment (NTS-KE) និងការធ្វើសមកាលកម្មពេលវេលា NTP ដោយប្រើផ្នែកបន្ថែម NTS ។
ពិធីការ NTS-KE
នៅក្នុងដំណាក់កាលពិធីការ NTS-KE ពិធីការ NTS-KE គ្រប់គ្រងការផ្ទៀងផ្ទាត់ដំបូង ការចរចាប៉ារ៉ាម៉ែត្រ NTS និងការបង្កើតគន្លឹះលើ TLS តាមលំដាប់ដូចខាងក្រោមៈ 1. ម៉ាស៊ីនភ្ញៀវធ្វើការចាប់ដៃ TLS ជាមួយម៉ាស៊ីនមេ NTS-KE ហើយផ្ទៀងផ្ទាត់ដោយជោគជ័យ។ វិញ្ញាបនបត្រ។ 2. ម៉ាស៊ីនភ្ញៀវអនុវត្តការចរចារប៉ារ៉ាម៉ែត្រ NTS ជាមួយម៉ាស៊ីនមេលើឆានែលការពារ TLS ។
ក្បួនដោះស្រាយគ្រីបគ្រីបដែលបានចរចាគឺជាវិធីសាស្ត្រ AEAD ដែលការពារកញ្ចប់ព័ត៌មាន NTP នៅដំណាក់កាលទីពីរ។ 3. ម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេបង្កើតសម្ភារៈសំខាន់សម្រាប់ការទំនាក់ទំនងដោយជោគជ័យ។ 4. ម៉ាស៊ីនមេក៏ផ្ញើការផ្គត់ផ្គង់ខូគីដំបូងទៅអតិថិជនដើម្បីប្រើប្រាស់ក្នុងដំណាក់កាលបន្ទាប់។

37
5. ឆានែល TLS បិទ ហើយ NTP បន្តទៅដំណាក់កាលបន្ទាប់ដែលការផ្លាស់ប្តូរទិន្នន័យពេលវេលាពិតប្រាកដកើតឡើង។
NTS គាំទ្រតែ TLS កំណែ 1.3 ប៉ុណ្ណោះ។ កំណែ TLS ចាស់ត្រូវបានបដិសេធក្នុងដំណាក់កាលពិធីការ NTS-KE ។
ការធ្វើសមកាលកម្មពេលវេលា NTP ដោយប្រើផ្នែកបន្ថែម NTS
ដំណាក់កាលនេះគ្រប់គ្រងការអ៊ិនគ្រីប និងការផ្ទៀងផ្ទាត់អំឡុងពេលធ្វើសមកាលកម្មពេលវេលា NTP តាមរយៈវាលផ្នែកបន្ថែមនៅក្នុងកញ្ចប់ព័ត៌មាន NTP តាមលំដាប់ដូចខាងក្រោម៖
1. ម៉ាស៊ីនភ្ញៀវសួរម៉ាស៊ីនមេ NTP អំពីពេលវេលាជាមួយនឹងផ្នែកបន្ថែម NTS ។ វាលផ្នែកបន្ថែមទាំងនេះរួមមានខូគី និងការផ្ទៀងផ្ទាត់ tag គណនាដោយប្រើក្បួនដោះស្រាយ AEAD ដែលបានចរចា និងសម្ភារៈសំខាន់ៗដែលស្រង់ចេញពីការចាប់ដៃ NTS-KE ។
សំណើម៉ាស៊ីនភ្ញៀវ NTP ដែលមានសុវត្ថិភាព NTS មានវាលផ្នែកបន្ថែម NTS ខាងក្រោម៖
· វាលផ្នែកបន្ថែមអត្តសញ្ញាណតែមួយគត់៖ មានផ្ទុកទិន្នន័យដែលបានបង្កើតដោយចៃដន្យ និងផ្តល់មធ្យោបាយសម្រាប់ការការពារការចាក់ឡើងវិញនៅកម្រិត NTS ។
· វាលផ្នែកបន្ថែមខូគី NTS៖ មានព័ត៌មានអំពីសម្ភារៈសំខាន់ៗ ដែលបង្កើតកំឡុងពេល NTS-KE និងក្បួនដោះស្រាយគ្រីបគ្រីបដែលបានចរចា។ ខូគីត្រូវបានប្រើតែម្តងគត់ក្នុងការស្នើសុំដើម្បីការពារការតាមដាន។
· វាលផ្នែកបន្ថែមកន្លែងដាក់ខូគី NTS៖ (ជាជម្រើស) ទំនាក់ទំនងទៅកាន់ម៉ាស៊ីនមេ ដែលអតិថិជនចង់ទទួលបានខូគីបន្ថែមនៅក្នុងកញ្ចប់ឆ្លើយតប។
· NTS Authenticator និង Encrypted Extension Fields៖ បង្កើតដោយប្រើ AEAD Algorithm និង key ដែលត្រូវបានបង្កើតឡើងកំឡុងពេល NTS-KE ។ វាលនេះផ្តល់នូវការការពារសុចរិតភាពសម្រាប់បឋមកថា NTP និងវាលផ្នែកបន្ថែមពីមុនទាំងអស់។
ការធ្វើឱ្យខូគីឡើងវិញជាប្រចាំការពារឧបករណ៍ពីការតាមដាននៅពេលដែលវាផ្លាស់ប្តូរអាសយដ្ឋានបណ្តាញ។ សម្រាប់អតីតampប្រើឧបករណ៍ចល័តដែលផ្លាស់ទីឆ្លងកាត់បណ្តាញផ្សេងៗគ្នា។ កង្វះទិន្នន័យដែលអាចស្គាល់បានរារាំងសត្រូវពីការកំណត់ថាកញ្ចប់ព័ត៌មានពីរដែលបានផ្ញើតាមអាសយដ្ឋានបណ្តាញផ្សេងគ្នាបានមកពីម៉ាស៊ីនភ្ញៀវដូចគ្នា។
2. នៅពេលដែលម៉ាស៊ីនមេទទួលបានសំណើដែលមានសុវត្ថិភាព NTS ពីអតិថិជន នោះម៉ាស៊ីនមេនឹងឌិគ្រីបខូគីដោយប្រើសោមេ។
3. ម៉ាស៊ីនមេទាញយកក្បួនដោះស្រាយ AEAD ដែលបានចរចា និងសោដែលមាននៅក្នុងខូគី។ ដោយប្រើកូនសោនេះ ម៉ាស៊ីនមេពិនិត្យភាពត្រឹមត្រូវនៃកញ្ចប់ព័ត៌មាន NTP ដើម្បីធានាថាមិនមានឧបាយកលចំពោះកញ្ចប់ព័ត៌មានទេ។
4. ម៉ាស៊ីនមេបង្កើតខូគីថ្មីមួយ ឬច្រើន ហើយបង្កើតកញ្ចប់ឆ្លើយតប NTP ។ ម៉ាស៊ីនមេបង្កើតយ៉ាងហោចណាស់ខូគីថ្មីមួយ និងខូគីបន្ថែមមួយសម្រាប់វាលផ្នែកបន្ថែមកន្លែងដាក់ខូគីនីមួយៗ ដែលអតិថិជនបានបន្ថែមនៅក្នុងកញ្ចប់សំណើ។

38
កញ្ចប់ឆ្លើយតបមានវាលផ្នែកបន្ថែម NTS ពីរ៖ · វាលផ្នែកបន្ថែមអត្តសញ្ញាណតែមួយគត់ ដែលមានខ្លឹមសារដូចគ្នាពីឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់
វាលនៅក្នុងកញ្ចប់សំណើ។
· NTS Authenticator និង Encrypted Extension Field ដែលធានានូវបឋមកថា NTP និងផ្នែកបន្ថែមពីមុនដោយប្រើសោដែលបានស្រង់ចេញ។
5. ម៉ាស៊ីនមេក៏អ៊ិនគ្រីបខូគី និងរួមបញ្ចូលពួកវានៅក្នុង NT Authenticator និង Encrypted Extension Fields។ នីតិវិធីនេះក៏ការពារអតិថិជនពីការតាមដានផងដែរ ពីព្រោះអ្នកវាយប្រហារមិនអាចទាញយកខូគីពីសារឆ្លើយតបបានទេ។
6. ម៉ាស៊ីនមេបញ្ចប់កញ្ចប់ឆ្លើយតប ហើយផ្ញើកញ្ចប់ព័ត៌មានទៅអតិថិជន។
7. អតិថិជនទទួលបានកញ្ចប់ឆ្លើយតប។
8. អតិថិជនពិនិត្យមើលវាល អត្តសញ្ញាណតែមួយគត់ ហើយផ្ទៀងផ្ទាត់ថា អត្តសញ្ញាណសម្គាល់តែមួយគត់ ត្រូវគ្នានឹងសំណើដែលលេចធ្លោ។
9. ម៉ាស៊ីនភ្ញៀវអនុវត្តការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃកញ្ចប់ព័ត៌មានដោយជោគជ័យដោយប្រើគ្រាប់ចុច និងក្បួនដោះស្រាយ AEAD ។
10. ម៉ាស៊ីនភ្ញៀវឌិគ្រីបខូគី និងបន្ថែមពួកវាទៅក្នុងអាងរបស់វា ហើយដំណើរការព័ត៌មានពេលវេលាដែលទទួលបានពីម៉ាស៊ីនមេ។
ម៉ាស៊ីនមេ NTP Time
IETF បានកំណត់ Network Time Protocol (NTP) ដើម្បីធ្វើសមកាលកម្មនាឡិកានៃប្រព័ន្ធកុំព្យូទ័រដែលភ្ជាប់ទៅគ្នាទៅវិញទៅមកតាមបណ្តាញមួយ។ បណ្តាញធំៗភាគច្រើនមានម៉ាស៊ីនមេ NTP ដែលធានាថាពេលវេលានៅលើឧបករណ៍ទាំងអស់ត្រូវបានធ្វើសមកាលកម្ម ដោយមិនគិតពីទីតាំងឧបករណ៍។ ប្រសិនបើអ្នកប្រើម៉ាស៊ីនមេ NTP មួយ ឬច្រើននៅលើបណ្តាញរបស់អ្នក សូមប្រាកដថាអ្នករួមបញ្ចូលអាសយដ្ឋានម៉ាស៊ីនមេ NTS នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ Junos OS របស់អ្នក។ នៅពេលកំណត់រចនាសម្ព័ន្ធ NTP អ្នកអាចបញ្ជាក់ប្រព័ន្ធណាមួយនៅលើបណ្តាញគឺជាប្រភពពេលវេលាអនុញ្ញាត ឬម៉ាស៊ីនមេពេលវេលា និងរបៀបដែលពេលវេលាត្រូវបានធ្វើសមកាលកម្មរវាងប្រព័ន្ធនៅលើបណ្តាញ។ ដើម្បីធ្វើដូច្នេះ អ្នកកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ កុងតាក់ ឬឧបករណ៍សុវត្ថិភាព ដើម្បីដំណើរការក្នុងរបៀបមួយក្នុងចំណោមរបៀបខាងក្រោម៖ · របៀបអតិថិជន–នៅក្នុងរបៀបនេះ រ៉ោតទ័រ ឬកុងតាក់មូលដ្ឋានអាចត្រូវបានធ្វើសមកាលកម្មជាមួយប្រព័ន្ធពីចម្ងាយ។
ប៉ុន្តែប្រព័ន្ធពីចម្ងាយមិនអាចធ្វើសមកាលកម្មជាមួយរ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់បានទេ។
· របៀបសកម្មស៊ីមេទ្រី–នៅក្នុងរបៀបនេះ រ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់ និងប្រព័ន្ធពីចម្ងាយអាចធ្វើសមកាលកម្មជាមួយគ្នា។ អ្នកប្រើរបៀបនេះនៅក្នុងបណ្តាញដែលរ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់ ឬប្រព័ន្ធពីចម្ងាយអាចជាប្រភពនៃពេលវេលាប្រសើរជាង។

39
របៀបសកម្មស៊ីមេទ្រីអាចត្រូវបានផ្តួចផ្តើមដោយប្រព័ន្ធមូលដ្ឋាន ឬពីចម្ងាយ។ មានតែប្រព័ន្ធមួយប៉ុណ្ណោះដែលត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើដូច្នេះបាន។ នេះមានន័យថាប្រព័ន្ធមូលដ្ឋានអាចធ្វើសមកាលកម្មជាមួយប្រព័ន្ធណាមួយដែលផ្តល់នូវរបៀបសកម្មស៊ីមេទ្រីដោយមិនមានការកំណត់រចនាសម្ព័ន្ធអ្វីទាំងអស់។ ទោះជាយ៉ាងណាក៏ដោយ យើងលើកទឹកចិត្តយ៉ាងមុតមាំឱ្យអ្នកកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ ដើម្បីធានាថាប្រព័ន្ធមូលដ្ឋានធ្វើសមកាលកម្មជាមួយម៉ាស៊ីនមេពេលវេលាដែលគេស្គាល់តែប៉ុណ្ណោះ។ · របៀបផ្សាយ-នៅក្នុងរបៀបនេះ រ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់ផ្ញើសារផ្សាយតាមកាលកំណត់ទៅកាន់អតិថិជនតាមអាសយដ្ឋានផ្សាយ ឬពហុខាសដែលបានបញ្ជាក់។ ជាធម្មតា អ្នករួមបញ្ចូលសេចក្តីថ្លែងការណ៍នេះតែនៅពេលដែលរ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់ដំណើរការជាឧបករណ៍បញ្ជូន។ · របៀបម៉ាស៊ីនមេ–នៅក្នុងរបៀបនេះ រ៉ោតទ័រមូលដ្ឋាន ឬកុងតាក់ដំណើរការជាម៉ាស៊ីនមេ NTP ។ នៅក្នុងរបៀបម៉ាស៊ីនមេ NTP Junos OS គាំទ្រការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដូចខាងក្រោម៖ · ប្រសិនបើសំណើ NTP ពីអតិថិជនមកជាមួយសោផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (ដូចជាលេខសម្គាល់សោ និង
សារសង្ខេបដែលបានផ្ញើជាមួយកញ្ចប់ព័ត៌មាន) សំណើត្រូវបានដំណើរការ និងឆ្លើយតបដោយផ្អែកលើការផ្គូផ្គងគន្លឹះនៃការផ្ទៀងផ្ទាត់។ · ប្រសិនបើសំណើ NTP ពីអតិថិជនមកដោយគ្មានសោផ្ទៀងផ្ទាត់ណាមួយ សំណើត្រូវបានដំណើរការ និងឆ្លើយតបដោយគ្មានការផ្ទៀងផ្ទាត់។
កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើពេលវេលា NTP និងសេវាកម្មពេលវេលា
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបអតិថិជន | 40 កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបសកម្មស៊ីមេទ្រី | 41 កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបផ្សាយ | 41 កំណត់រចនាសម្ព័ន្ធ Router ឬប្តូរទៅដំណើរការក្នុង Server Mode | ៤២
នៅពេលអ្នកប្រើ NTP កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរដើម្បីដំណើរការក្នុងរបៀបមួយខាងក្រោម៖ · របៀបអតិថិជន · របៀបសកម្មស៊ីមេទ្រី · របៀបផ្សាយ · របៀបម៉ាស៊ីនមេ

40
ប្រធានបទខាងក្រោមពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធរបៀបប្រតិបត្តិការទាំងនេះ៖
កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបអតិថិជន
ដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបម៉ាស៊ីនភ្ញៀវ រួមបញ្ចូលសេចក្តីថ្លែងការណ៍របស់ម៉ាស៊ីនមេ និងសេចក្តីថ្លែងការណ៍ជម្រើសផ្សេងទៀតនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] អាសយដ្ឋានម៉ាស៊ីនមេ ; authentication-key key-number type type value password; trusted-key[key-numbers];
បញ្ជាក់អាសយដ្ឋាននៃប្រព័ន្ធដែលដើរតួជាម៉ាស៊ីនមេពេលវេលា។ អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋាន មិនមែនឈ្មោះម៉ាស៊ីនទេ។ ដើម្បីរួមបញ្ចូលសោផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុងសារទាំងអស់ដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនមេពេលវេលា សូមបញ្ចូលជម្រើសសោ។ សោត្រូវគ្នាទៅនឹងលេខគន្លឹះដែលអ្នកបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដូចដែលបានពិពណ៌នានៅក្នុង . តាមលំនាំដើម រ៉ោតទ័រ ឬកុងតាក់ផ្ញើកញ្ចប់ព័ត៌មាន NTP កំណែ 4 ទៅកាន់ម៉ាស៊ីនមេពេលវេលា។ ដើម្បីកំណត់កម្រិតកំណែ NTP ទៅ 1, 2, ឬ 3 រួមបញ្ចូលជម្រើសកំណែ។ ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេច្រើនជាងមួយដង អ្នកអាចសម្គាល់ម៉ាស៊ីនមេមួយដែលពេញចិត្ត ដោយរួមបញ្ចូលជម្រើសដែលចូលចិត្ត។ ខាងក្រោមនេះ example បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរដើម្បីដំណើរការក្នុងរបៀបម៉ាស៊ីនភ្ញៀវ៖
[កែសម្រួលប្រព័ន្ធ ntp] ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ 1 ប្រភេទ md5 តម្លៃ “$ ABC123″; ម៉ាស៊ីនមេ 10.1.1.1 កូនសោ 1 ចូលចិត្ត; Trusted-key 1;

41
កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបសកម្មស៊ីមេទ្រី
ដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅដំណើរការក្នុងរបៀបសកម្មស៊ីមេទ្រី រួមបញ្ចូលសេចក្តីថ្លែងការណ៍ពីមិត្តភក្តិនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] អាសយដ្ឋានមិត្តភ័ក្តិ ;
បញ្ជាក់អាសយដ្ឋាននៃប្រព័ន្ធពីចម្ងាយ។ អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋាន មិនមែនឈ្មោះម៉ាស៊ីនទេ។ ដើម្បីរួមបញ្ចូលសោផ្ទៀងផ្ទាត់នៅក្នុងសារទាំងអស់ដែលបានផ្ញើទៅប្រព័ន្ធពីចម្ងាយ រួមបញ្ចូលជម្រើសសោ។ គ្រាប់ចុចត្រូវគ្នាទៅនឹងលេខគន្លឹះដែលអ្នកបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ តាមលំនាំដើម រ៉ោតទ័រ ឬកុងតាក់បញ្ជូនកញ្ចប់ព័ត៌មាន NTP កំណែ 4 ទៅកាន់ប្រព័ន្ធពីចម្ងាយ។ ដើម្បីកំណត់កម្រិតកំណែ NTP ទៅ 1, 2 ឬ 3 រួមបញ្ចូលជម្រើសកំណែ។ ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធពីចម្ងាយច្រើនជាងមួយ អ្នកអាចសម្គាល់ប្រព័ន្ធមួយដែលពេញចិត្ត ដោយរួមបញ្ចូលជម្រើសដែលចូលចិត្ត៖
អាសយដ្ឋានមិត្តភក្ដិ ចូលចិត្ត;
កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបផ្សាយ
ដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅដំណើរការក្នុងរបៀបផ្សាយ សូមបញ្ចូលសេចក្តីថ្លែងការផ្សាយនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] អាសយដ្ឋានផ្សាយ ;
បញ្ជាក់អាសយដ្ឋានផ្សាយនៅលើបណ្តាញមូលដ្ឋានមួយ ឬអាសយដ្ឋានពហុខាសដែលបានកំណត់ទៅ NTP ។ អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋាន មិនមែនឈ្មោះម៉ាស៊ីនទេ។ ប្រសិនបើអាសយដ្ឋានពហុខាសត្រូវបានប្រើ វាត្រូវតែជា 224.0.1.1។ ដើម្បីរួមបញ្ចូលសោផ្ទៀងផ្ទាត់នៅក្នុងសារទាំងអស់ដែលបានផ្ញើទៅប្រព័ន្ធពីចម្ងាយ រួមបញ្ចូលជម្រើសសោ។ គ្រាប់ចុចត្រូវគ្នាទៅនឹងលេខគន្លឹះដែលអ្នកបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ តាមលំនាំដើម រ៉ោតទ័រ ឬកុងតាក់បញ្ជូនកញ្ចប់ព័ត៌មាន NTP កំណែ 4 ទៅកាន់ប្រព័ន្ធពីចម្ងាយ។ ដើម្បីកំណត់កម្រិតកំណែ NTP ទៅ 1, 2, ឬ 3 រួមបញ្ចូលជម្រើសកំណែ។

42
កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបម៉ាស៊ីនមេ
នៅក្នុងរបៀបម៉ាស៊ីនមេ រ៉ោតទ័រ ឬកុងតាក់ដើរតួជាម៉ាស៊ីនមេ NTP សម្រាប់អតិថិជន នៅពេលដែលម៉ាស៊ីនភ្ញៀវត្រូវបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ។ តម្រូវការជាមុនតែមួយគត់សម្រាប់ "របៀបម៉ាស៊ីនមេ" គឺថារ៉ោតទ័រ ឬកុងតាក់ត្រូវតែទទួលពេលវេលាពី NTP peer ឬម៉ាស៊ីនមេផ្សេងទៀត។ មិនចាំបាច់មានការកំណត់ផ្សេងទៀតនៅលើរ៉ោតទ័រ ឬកុងតាក់ទេ។ នៅពេលកំណត់រចនាសម្ព័ន្ធសេវាកម្ម NTP នៅក្នុង VRF គ្រប់គ្រង (mgmt_junos) អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធយ៉ាងហោចណាស់អាសយដ្ឋាន IP មួយនៅលើចំណុចប្រទាក់រូបវន្ត ឬឡូជីខលនៅក្នុងឧទាហរណ៍កំណត់ផ្លូវលំនាំដើម ហើយត្រូវប្រាកដថាចំណុចប្រទាក់នេះដំណើរការដើម្បីឱ្យសេវា NTP ដំណើរការជាមួយ mgmt_junos VRF ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅដំណើរការជាម៉ាស៊ីនមេ NTP រួមបញ្ចូលសេចក្តីថ្លែងការណ៍ខាងក្រោមនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - គ្រាប់ចុចលេខ ប្រភេទនៃពាក្យសម្ងាត់តម្លៃ អាសយដ្ឋានម៉ាស៊ីនមេ ; trusted-key [key-numbers];
បញ្ជាក់អាសយដ្ឋាននៃប្រព័ន្ធដែលដើរតួជាម៉ាស៊ីនមេពេលវេលា។ អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋាន មិនមែនឈ្មោះម៉ាស៊ីនទេ។
ដើម្បីរួមបញ្ចូលសោផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុងសារទាំងអស់ដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនមេពេលវេលា សូមបញ្ចូលជម្រើសសោ។ គ្រាប់ចុចត្រូវគ្នាទៅនឹងលេខគន្លឹះដែលអ្នកបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
តាមលំនាំដើម រ៉ោតទ័រ ឬកុងតាក់ផ្ញើកញ្ចប់ព័ត៌មាន NTP កំណែ 4 ទៅកាន់ម៉ាស៊ីនមេពេលវេលា។ ដើម្បីកំណត់កម្រិតកំណែ NTP ទៅ 1 ឬ 2 ឬ 3 រួមបញ្ចូលជម្រើសកំណែ។
ប្រសិនបើអ្នកកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេច្រើនជាងមួយដង អ្នកអាចសម្គាល់ម៉ាស៊ីនមេមួយដែលពេញចិត្ត ដោយរួមបញ្ចូលជម្រើសដែលចូលចិត្ត។
ខាងក្រោមនេះ example បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរដើម្បីដំណើរការក្នុងរបៀបម៉ាស៊ីនមេ៖
[កែសម្រួលប្រព័ន្ធ ntp] ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ 1 ប្រភេទ md5 តម្លៃ “$ ABC123”; ម៉ាស៊ីនមេ 192.168.27.46 ចូលចិត្ត; Trusted-key 1;

43
Example៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពតែមួយពេលសម្រាប់
Router និង Switch Clock Synchronization
ការបំបាត់កំហុស និងការដោះស្រាយបញ្ហាគឺងាយស្រួលជាងនៅពេលដែលពេលវេលាបំផុត។amps នៅក្នុងកំណត់ហេតុ files នៃ routers ឬ switches ទាំងអស់ត្រូវបានធ្វើសមកាលកម្ម ពីព្រោះព្រឹត្តិការណ៍ដែលលាតសន្ធឹងបណ្តាញអាចត្រូវបានទាក់ទងជាមួយធាតុ synchronous នៅក្នុង logs ច្រើន។ យើងសូមផ្តល់អនុសាសន៍យ៉ាងខ្លាំងឱ្យប្រើ Network Time Protocol (NTP) ដើម្បីធ្វើសមកាលកម្មនាឡិកាប្រព័ន្ធនៃរ៉ោតទ័រ ឧបករណ៍ប្តូរ និងឧបករណ៍បណ្តាញផ្សេងទៀត។
តាមលំនាំដើម NTP ដំណើរការក្នុងលក្ខណៈដែលមិនមានការផ្ទៀងផ្ទាត់ទាំងស្រុង។ ប្រសិនបើការប៉ុនប៉ងព្យាបាទមានឥទ្ធិពលលើភាពត្រឹមត្រូវនៃរ៉ោតទ័រ ឬនាឡិការបស់កុងតាក់បានជោគជ័យ វាអាចមានផលប៉ះពាល់អវិជ្ជមានលើការកត់ត្រាប្រព័ន្ធ ធ្វើឱ្យការដោះស្រាយបញ្ហា និងការរកឃើញការឈ្លានពានកាន់តែពិបាក និងរារាំងមុខងារគ្រប់គ្រងផ្សេងទៀត។
សampការកំណត់រចនាសម្ព័ន្ធ le ធ្វើសមកាលកម្មរ៉ោតទ័រទាំងអស់ ឬប្តូរនៅក្នុងបណ្តាញទៅជាប្រភពតែមួយ។ យើងសូមណែនាំឱ្យប្រើការផ្ទៀងផ្ទាត់ ដើម្បីធ្វើឱ្យប្រាកដថា NTP peer ត្រូវបានជឿទុកចិត្ត។ សេចក្តីថ្លែងការណ៍ bootserver កំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ ដែលពេលវេលាដំបូងនៃថ្ងៃ និងកាលបរិច្ឆេទត្រូវបានទទួល នៅពេលដែលរ៉ោតទ័រចាប់ផ្ដើម។ សេចក្តីថ្លែងការណ៍របស់ម៉ាស៊ីនមេកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ NTP ដែលប្រើសម្រាប់ការធ្វើសមកាលកម្មតាមកាលកំណត់។ សេចក្តីថ្លែងការណ៍គន្លឹះនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបញ្ជាក់ថា គ្រោងការណ៍ HMAC-Message Digest 5 (MD5) គួរតែត្រូវបានប្រើដើម្បីបំបែកតម្លៃគន្លឹះសម្រាប់ការផ្ទៀងផ្ទាត់ ដែលរារាំងរ៉ោតទ័រ ឬប្តូរពីការធ្វើសមកាលកម្មជាមួយម៉ាស៊ីនរបស់អ្នកវាយប្រហារដែលដាក់ជាម៉ាស៊ីនមេពេលវេលា។
[កែប្រែ] ប្រព័ន្ធ {
ntp { authentication-key 2 ប្រភេទ md5 តម្លៃ “$ABC123”; # SECRET-DATA boot-server 10.1.4.1; ម៉ាស៊ីនមេ 10.1.4.2 កូនសោ 2; កូនសោដែលទុកចិត្ត 2;
} }

44
ធ្វើសមកាលកម្ម និងសម្របសម្រួលការបែងចែកពេលវេលាដោយប្រើ NTP
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធ NTP | 44 កំណត់រចនាសម្ព័ន្ធ NTP Boot Server | 45 បញ្ជាក់អាសយដ្ឋានប្រភពសម្រាប់ម៉ាស៊ីនមេ NTP | ៤៦
ការប្រើប្រាស់ NTP ដើម្បីធ្វើសមកាលកម្ម និងសំរបសំរួលការចែកចាយពេលវេលានៅក្នុងបណ្តាញដ៏ធំមួយពាក់ព័ន្ធនឹងកិច្ចការទាំងនេះ៖
កំណត់រចនាសម្ព័ន្ធ NTP
· ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP នៅលើកុងតាក់ រួមបញ្ចូលសេចក្តីថ្លែងការណ៍ ntp នៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ]៖
[កែសម្រួលប្រព័ន្ធ] ntp {
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - ប្រភេទលេខ លេខសម្ងាត់ ប្រភេទតម្លៃពាក្យសម្ងាត់; boot-server (អាសយដ្ឋាន | ឈ្មោះម៉ាស៊ីន); ការចាក់ផ្សាយ ; អតិថិជនផ្សាយ; multicast-អតិថិជន ; អាសយដ្ឋានមិត្តភ័ក្តិ ; អាសយដ្ឋានម៉ាស៊ីនមេ ; ntp ប្រភព-អាសយដ្ឋាន; Trusted-key [ key-numbers ]; }
របៀបចាប់ផ្តើមដំណើរការ NTP ឡើងវិញ ដើម្បីចាប់ផ្តើមដំណើរការ NTP ឡើងវិញ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖

45
· ប្រើពាក្យបញ្ជាអ្នកប្រើប្រាស់ចូលប្រព័ន្ធ។
user@host# កំណត់ការចូលប្រព័ន្ធ user lab-test authentication plain-text-password ពាក្យសម្ងាត់ថ្មី៖ វាយពាក្យសម្ងាត់ថ្មីឡើងវិញ៖
· ចូលដោយប្រើលេខសម្គាល់អ្នកប្រើប្រាស់ “lab-test” ។
user@host# កំណត់ការចូលប្រព័ន្ធរបស់អ្នកប្រើ lab-test class super-user · View លេខសម្គាល់ដំណើរការសម្រាប់ NTP ដោយប្រើពាក្យបញ្ជាបង្ហាញប្រព័ន្ធដំណើរការ។
user@host# បង្ហាញដំណើរការប្រព័ន្ធ | ផ្គូផ្គង ntp
· បញ្ចប់ និងចាប់ផ្តើមដំណើរការ NTP ឡើងវិញដោយប្រើពាក្យបញ្ជាបញ្ចប់ដំណើរការប្រព័ន្ធសំណើ។
user@host# ស្នើសុំដំណើរការប្រព័ន្ធបញ្ចប់
កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ NTP Boot
នៅពេលអ្នកចាប់ផ្ដើមកុងតាក់ វាចេញសំណើ ntpdate ដែលស្ទង់មើលម៉ាស៊ីនមេបណ្តាញដើម្បីកំណត់កាលបរិច្ឆេទ និងពេលវេលាក្នុងតំបន់។ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេដែលកុងតាក់ប្រើដើម្បីកំណត់ពេលដែលកុងតាក់ចាប់ផ្ដើម។ បើមិនដូច្នេះទេ NTP នឹងមិនអាចធ្វើសមកាលកម្មទៅម៉ាស៊ីនមេពេលវេលាបានទេ ប្រសិនបើពេលវេលារបស់ម៉ាស៊ីនមេហាក់ដូចជានៅឆ្ងាយពីពេលវេលានៃកុងតាក់ក្នុងស្រុក។ · ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP boot server រួមបញ្ចូលសេចក្តីថ្លែងការណ៍របស់ boot-server នៅឋានានុក្រម [edit system ntp]
កម្រិត៖
[កែសម្រួលប្រព័ន្ធ ntp] boot-server (អាសយដ្ឋាន | ឈ្មោះម៉ាស៊ីន);

46
ចំណាំ៖ ជម្រើស boot-server ត្រូវបានបដិសេធដោយចាប់ផ្តើមនៅក្នុង Junos OS Release 20.4R1។
· Junos OS Release 15.1 តទៅ ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP boot server រួមបញ្ចូល set ntp server statement នៅកម្រិតឋានានុក្រម [edit system ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] កំណត់ម៉ាស៊ីនមេ (អាសយដ្ឋាន | ឈ្មោះម៉ាស៊ីន);
បញ្ជាក់អាសយដ្ឋាន IP ឬឈ្មោះម៉ាស៊ីនរបស់ម៉ាស៊ីនមេបណ្តាញ។
បញ្ជាក់អាសយដ្ឋានប្រភពសម្រាប់ម៉ាស៊ីនមេ NTP
សម្រាប់ IP កំណែ 4 (IPv4) អ្នកអាចបញ្ជាក់បានថា ប្រសិនបើម៉ាស៊ីនមេ NTP ដែលបានកំណត់រចនាសម្ព័ន្ធនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp] ត្រូវបានទាក់ទងនៅលើអាសយដ្ឋានចំណុចប្រទាក់រង្វិលជុំមួយ ការឆ្លើយតបតែងតែប្រើអាសយដ្ឋានប្រភពជាក់លាក់។ វាមានប្រយោជន៍សម្រាប់ការគ្រប់គ្រងអាសយដ្ឋានប្រភពណាដែល NTP នឹងប្រើដើម្បីចូលប្រើបណ្តាញរបស់អ្នក នៅពេលដែលវាឆ្លើយតបទៅនឹងសំណើអតិថិជន NTP ពីបណ្តាញរបស់អ្នក ឬនៅពេលដែលវាកំពុងផ្ញើសំណើ NTP ទៅកាន់បណ្តាញរបស់អ្នក។ ដើម្បីកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋានប្រភពជាក់លាក់ដែលការឆ្លើយតបនឹងតែងតែប្រើ ហើយអាសយដ្ឋានប្រភពដែលស្នើសុំដោយម៉ាស៊ីនមេ NTP នឹងប្រើ រួមបញ្ចូលសេចក្តីថ្លែងការណ៍អាសយដ្ឋានប្រភពនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែប្រែប្រព័ន្ធ ntp] ប្រភព-អាសយដ្ឋាន ប្រភព-អាសយដ្ឋាន; source-address គឺជាអាសយដ្ឋាន IP ត្រឹមត្រូវដែលបានកំណត់រចនាសម្ព័ន្ធនៅលើរ៉ោតទ័រមួយ ឬចំណុចប្រទាក់ប្ដូរ។ នៅពេលកំណត់រចនាសម្ព័ន្ធសេវាកម្ម NTP នៅក្នុង VRF គ្រប់គ្រង (mgmt_junos) អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធយ៉ាងហោចណាស់អាសយដ្ឋាន IP មួយនៅលើចំណុចប្រទាក់រូបវន្ត ឬឡូជីខលនៅក្នុងឧទាហរណ៍កំណត់ផ្លូវលំនាំដើម ហើយត្រូវប្រាកដថាចំណុចប្រទាក់នេះដំណើរការដើម្បីឱ្យសេវា NTP ដំណើរការជាមួយ mgmt_junos VRF ។

47
ចាប់ផ្តើមនៅក្នុង Junos OS Release 13.3 និង Junos OS Evolved Release 20.2R1 អ្នកអាចកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋានប្រភពដោយប្រើ routing-instance statement នៅកម្រិតឋានានុក្រម [edit system ntp source-address source-address]៖
[កែសម្រួលប្រព័ន្ធ ntp source-address source-address] user@host# កំណត់ routing-instance routing-instance-name
សម្រាប់អតីតampដូច្នេះ សេចក្តីថ្លែងការណ៍ខាងក្រោមត្រូវបានកំណត់រចនាសម្ព័ន្ធ៖
[កែប្រែប្រព័ន្ធ ntp source-address source-address] user@host# set system ntp source-address 12.12.12.12 routing-instance ntp-source-test
ជាលទ្ធផល ខណៈពេលកំពុងផ្ញើសារ NTP តាមរយៈចំណុចប្រទាក់ណាមួយនៅក្នុងឧទាហរណ៍ ntp-source-test routing អាសយដ្ឋានប្រភព 12.12.12.12 ត្រូវបានប្រើ។
ចំណាំ៖ សេចក្តីថ្លែងការ routing-instance គឺស្រេចចិត្ត ហើយប្រសិនបើមិនបានកំណត់រចនាសម្ព័ន្ធទេ អាសយដ្ឋានចម្បងនៃចំណុចប្រទាក់នឹងត្រូវបានប្រើ។
ចំណាំ៖ ប្រសិនបើតម្រងជញ្ជាំងភ្លើងត្រូវបានអនុវត្តនៅលើចំណុចប្រទាក់រង្វិលជុំវិញ សូមប្រាកដថាអាសយដ្ឋានប្រភពដែលបានបញ្ជាក់សម្រាប់ម៉ាស៊ីនមេ NTP នៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp] ត្រូវបានរួមបញ្ចូលយ៉ាងច្បាស់លាស់ជាលក្ខណៈវិនិច្ឆ័យមួយក្នុងចំណោមលក្ខណៈវិនិច្ឆ័យដែលត្រូវគ្នានៅក្នុងតម្រងជញ្ជាំងភ្លើង។ នេះអនុញ្ញាតឱ្យ Junos OS ទទួលយកចរាចរនៅលើចំណុចប្រទាក់រង្វិលជុំពីអាសយដ្ឋានប្រភពដែលបានបញ្ជាក់។ ខាងក្រោមនេះ example បង្ហាញតម្រងជញ្ជាំងភ្លើងដែលមានអាសយដ្ឋានប្រភព 10.0.10.100 ដែលបានបញ្ជាក់នៅក្នុងសេចក្តីថ្លែងការណ៍ពីដែលបានរួមបញ្ចូលនៅឋានានុក្រម [កែសម្រួលជញ្ជាំងភ្លើង តម្រងជញ្ជាំងភ្លើង-ឈ្មោះ] ឋានានុក្រម៖
[កែសម្រួលតម្រងជញ្ជាំងភ្លើង Loopback-Interface-Firewall-Filter] ពាក្យអនុញ្ញាត-NTP {
ពី { ប្រភព-អាសយដ្ឋាន { 172.17.27.46/32; // អាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ NTP 10.0.10.100/32; // អាសយដ្ឋានប្រភពដែលបានបញ្ជាក់សម្រាប់ម៉ាស៊ីនមេ NTP } បន្ទាប់មកទទួលយក។
} }

48
ប្រសិនបើគ្មានអាសយដ្ឋានប្រភពត្រូវបានកំណត់រចនាសម្ព័ន្ធសម្រាប់ម៉ាស៊ីនមេ NTP រួមបញ្ចូលអាសយដ្ឋានចម្បងនៃចំណុចប្រទាក់រង្វិលជុំនៅក្នុងតម្រងជញ្ជាំងភ្លើង។
ការកំណត់រចនាសម្ព័ន្ធ NTP
ពិធីការពេលវេលាបណ្តាញ (NTP) ផ្តល់នូវយន្តការដើម្បីធ្វើសមកាលកម្មពេលវេលា និងសម្របសម្រួលការបែងចែកពេលវេលានៅក្នុងបណ្តាញដ៏ធំ និងចម្រុះ។ ការបំបាត់កំហុស និងការដោះស្រាយបញ្ហាគឺងាយស្រួលជាងនៅពេលដែលពេលវេលាបំផុត។amps នៅក្នុងកំណត់ហេតុ files នៃ routers ឬ switches ទាំងអស់ត្រូវបានធ្វើសមកាលកម្ម ពីព្រោះព្រឹត្តិការណ៍ដែលលាតសន្ធឹងបណ្តាញអាចត្រូវបានទាក់ទងជាមួយធាតុ synchronous នៅក្នុង logs ច្រើន។ យើងសូមណែនាំឱ្យប្រើ Network Time Protocol (NTP) ដើម្បីធ្វើសមកាលកម្មនាឡិកាប្រព័ន្ធនៃរ៉ោតទ័រ កុងតាក់ និងឧបករណ៍បណ្តាញផ្សេងទៀត។ ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP: 1. កំណត់រចនាសម្ព័ន្ធ Junos OS ដើម្បីទាញយកពេលវេលាដែលវាចាប់ផ្ដើមដំបូង។
ប្រើសេចក្តីថ្លែងការណ៍ boot-server ជាមួយអាសយដ្ឋាន IP នៃម៉ាស៊ីនមេ NTP របស់អ្នក។ ប្រសិនបើ DNS ត្រូវបានកំណត់ អ្នកអាចប្រើឈ្មោះដែនជំនួសឱ្យអាសយដ្ឋាន IP ។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# កំណត់ boot-server (ឈ្មោះ | ip-address)
សម្រាប់អតីតampដូច្នេះកំណត់អាសយដ្ឋាន IP នៃ 172.16.1.1 សម្រាប់ម៉ាស៊ីនមេ NTP របស់អ្នក។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# កំណត់ boot-server 172.16.1.1
សម្រាប់អតីតample កំណត់ឈ្មោះដែន។ នៅក្នុងនេះ អតីតample, ឈ្មោះដែនត្រូវបានផ្តល់ដោយ pool.ntp.org ។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# set boot-server 0.north-america.pool.ntp.org 2. (ស្រេចចិត្ត) កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ NTP ឯកសារយោងមួយ ឬច្រើន ដើម្បីរក្សាឧបករណ៍ធ្វើសមកាលកម្មជាមួយនឹងការអាប់ដេតតាមកាលកំណត់។

49
វាគឺជាការអនុវត្តដ៏ល្អក្នុងការធ្វើដូចនេះ ដោយសារឧបករណ៍ Junos OS អាចរក្សាបានរយៈពេលយូរ ដូច្នេះហើយនាឡិកាអាចរសាត់បាន។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# កំណត់ម៉ាស៊ីនមេ (ឈ្មោះ | អាសយដ្ឋាន ip)
សម្រាប់អតីតampដូច្នេះកំណត់អាសយដ្ឋាន IP នៃ 172.16.1.1 សម្រាប់ម៉ាស៊ីនមេ NTP របស់អ្នក។
[កែប្រែប្រព័ន្ធ ntp] user@host# set server 172.16.1.1
សម្រាប់អតីតample កំណត់ឈ្មោះដែនដែលផ្តល់ដោយ pool.ntp.org ។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# set server 0.north-america.pool.ntp.org 3. (ស្រេចចិត្ត) កំណត់តំបន់ម៉ោងក្នុងស្រុកដើម្បីផ្គូផ្គងទីតាំងរបស់ឧបករណ៍។ ពេលវេលាសំរបសំរួលជាសកល (UTC) គឺជាលំនាំដើម។ អ្នកគ្រប់គ្រងជាច្រើនចូលចិត្តរក្សាឧបករណ៍របស់ពួកគេទាំងអស់ដែលបានកំណត់រចនាសម្ព័ន្ធដើម្បីប្រើតំបន់ពេលវេលា UTC ។ វិធីសាស្រ្តនេះមានអត្ថប្រយោជន៍ដែលអនុញ្ញាតឱ្យអ្នកងាយស្រួលប្រៀបធៀបពេលវេលា stamps នៃកំណត់ហេតុ និងព្រឹត្តិការណ៍ផ្សេងទៀតនៅលើបណ្តាញឧបករណ៍នៅក្នុងតំបន់ពេលវេលាផ្សេងៗគ្នាជាច្រើន។ ម្យ៉ាងវិញទៀត ការកំណត់តំបន់ពេលវេលាអនុញ្ញាតឱ្យ Junos OS បង្ហាញពេលវេលាជាទម្រង់មូលដ្ឋានត្រឹមត្រូវ។
[កែសម្រួលប្រព័ន្ធ ntp] user@host# កំណត់តំបន់ពេលវេលា-zone
សម្រាប់អតីតampលេ៖
[កែសម្រួលប្រព័ន្ធ ntp] user@host# កំណត់តំបន់ពេលវេលាអាមេរិច/Los_Angeles 4. ផ្ទៀងផ្ទាត់ការកំណត់។

ពិនិត្យម៉ោងដំណើរការប្រព័ន្ធ។ ពាក្យបញ្ជានេះផ្តល់នូវពេលវេលាបច្ចុប្បន្ន នៅពេលដែលឧបករណ៍ត្រូវបានចាប់ផ្ដើមចុងក្រោយ នៅពេលដែលពិធីការបានចាប់ផ្តើម និងនៅពេលដែលឧបករណ៍នេះត្រូវបានកំណត់រចនាសម្ព័ន្ធចុងក្រោយ។

user@host> បង្ហាញម៉ោងដំណើរការប្រព័ន្ធ ម៉ោងបច្ចុប្បន្ន៖ 2013-07-25 16:33:38 PDT ប្រព័ន្ធបានចាប់ផ្ដើម៖ 2013-07-11 17:14:25 PDT (1w6d 23:19 មុន) ពិធីការបានចាប់ផ្តើម៖ 2013-07-11 17:16:35 PDT (1w6d 23:17 មុន) កំណត់រចនាសម្ព័ន្ធចុងក្រោយ៖ 2013-07-23 12:32:42 PDT (2d 04:00 មុន) ដោយអ្នកប្រើប្រាស់ 4:33PM ឡើង 13 ថ្ងៃ, 23:19, អ្នកប្រើប្រាស់ 1 នាក់, ផ្ទុកជាមធ្យម: 0.00, 0.01, 0.00
ពិនិត្យស្ថានភាពម៉ាស៊ីនមេ NTP និងការផ្សារភ្ជាប់នៃប្រភពនាឡិកាដែលប្រើដោយឧបករណ៍របស់អ្នក។

user@host> បង្ហាញទំនាក់ទំនង ntp

ពីចម្ងាយ

កែតម្រូវ

st t នៅពេលដែលការស្ទង់មតិឈានដល់ការពន្យាពេលប៉ះប៉ូវភាពចលាចល។

=====================================================================================

tux.brhelwig.co .INIT ។

16 – – 512 0 0.000 0.000 4000.00

user@host > បង្ហាញស្ថានភាពស្ថានភាព ntp=c011 sync_alarm, sync_unspec, 1 event, event_restart, version=”ntpd 4.2.0-a Thu May 30 19:14:15 UTC 2013 (1)”, processor=”i386″, system =”JUNOS13.2-20130530_ib_13_3_psd.1″, leap=11, stratum=16, precision=-18, rootdelay=0.000, rootdispersion=5.130, peer=0, refid=INIT, reftime=00000000.00000000 Feb. 6:2036, poll=22, clock=d28d16.000f4e.59bce4 សុក្រ, 2 កក្កដា 1793 9:26:2013, state=12, offset=40, frequency=30.092, jitter=1, stability
ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP នៅលើរ៉ោតទ័រ ឬប្តូរ សូមបញ្ចូលសេចក្តីថ្លែងការណ៍ ntp នៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ]៖
[កែសម្រួលប្រព័ន្ធ] ntp {
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - ប្រភេទលេខគន្លឹះ ប្រភេទតម្លៃពាក្យសម្ងាត់; boot-server (អាសយដ្ឋាន | ឈ្មោះម៉ាស៊ីន); ការចាក់ផ្សាយ ; អតិថិជនផ្សាយ; multicast-អតិថិជន ;

51
អាសយដ្ឋានមិត្តភក្ដិ ; អាសយដ្ឋានម៉ាស៊ីនមេ ; ប្រភព-អាសយដ្ឋាន ; Trusted-key [ key-numbers ]; }
Example: កំណត់រចនាសម្ព័ន្ធ NTP
នៅក្នុងផ្នែកនេះ តម្រូវការ | 51 ជាងview | 52 ការកំណត់រចនាសម្ព័ន្ធ | 52 ការផ្ទៀងផ្ទាត់ | ៥៤
ពិធីការពេលវេលាបណ្តាញ (NTP) ផ្តល់នូវយន្តការដើម្បីធ្វើសមកាលកម្មពេលវេលា និងសម្របសម្រួលការបែងចែកពេលវេលានៅក្នុងបណ្តាញដ៏ធំ និងចម្រុះ។ NTP ប្រើការរចនាពេលវេលាដែលអាចត្រឡប់វិញបាន ដែលបណ្តាញរងចែកចាយនៃម៉ាស៊ីនមេពេលវេលាដែលដំណើរការក្នុងការរៀបចំដោយខ្លួនឯង ការកំណត់រចនាសម្ព័ន្ធបឋម-អនុវិទ្យាល័យតាមឋានានុក្រមធ្វើសមកាលកម្មនាឡិកាមូលដ្ឋាននៅក្នុងបណ្តាញរង និងស្តង់ដារពេលវេលាជាតិដោយមធ្យោបាយខ្សែ ឬវិទ្យុ។ ម៉ាស៊ីនមេក៏អាចចែកចាយពេលវេលាយោងឡើងវិញដោយប្រើក្បួនដោះស្រាយការបញ្ជូនតាមមូលដ្ឋាន និងដេមិនពេលវេលា។ អតីតample បង្ហាញពីរបៀបកំណត់រចនាសម្ព័ន្ធ NTP៖
តម្រូវការ
អតីតample ប្រើផ្នែកទន់ និងផ្នែករឹងខាងក្រោម៖ · Junos OS Release 11.1 ឬថ្មីជាងនេះ · កុងតាក់បានតភ្ជាប់ទៅបណ្តាញដែលម៉ាស៊ីនមេ NTP boot និង NTP server ស្នាក់នៅ

52
ជាងview
ការបំបាត់កំហុស និងការដោះស្រាយបញ្ហាគឺងាយស្រួលជាងនៅពេលដែលពេលវេលាបំផុត។amps នៅក្នុងកំណត់ហេតុ files នៃកុងតាក់ទាំងអស់ត្រូវបានធ្វើសមកាលកម្ម ពីព្រោះព្រឹត្តិការណ៍ដែលលាតសន្ធឹងបណ្តាញមួយអាចត្រូវបានទាក់ទងជាមួយធាតុធ្វើសមកាលកម្មនៅក្នុងកំណត់ហេតុច្រើន។ យើងសូមណែនាំឱ្យប្រើ Network Time Protocol (NTP) ដើម្បីធ្វើសមកាលកម្មនាឡិកាប្រព័ន្ធនៃកុងតាក់របស់អ្នក និងឧបករណ៍បណ្តាញផ្សេងទៀត។ នៅក្នុងនេះ អតីតampដូច្នេះ អ្នកគ្រប់គ្រងចង់ធ្វើសមកាលកម្មពេលវេលាក្នុងការប្តូរទៅប្រភពពេលវេលាតែមួយ។ យើងសូមណែនាំឱ្យប្រើការផ្ទៀងផ្ទាត់ ដើម្បីធ្វើឱ្យប្រាកដថា NTP peer ត្រូវបានជឿទុកចិត្ត។ សេចក្តីថ្លែងការណ៍របស់ boot-server កំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ ដែលពេលវេលាដំបូងនៃថ្ងៃ និងកាលបរិច្ឆេទត្រូវបានទទួល នៅពេលដែលការបិទបើកដំណើរការ។ សេចក្តីថ្លែងការណ៍របស់ម៉ាស៊ីនមេកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ NTP ដែលប្រើសម្រាប់ការធ្វើសមកាលកម្មតាមកាលកំណត់។ សេចក្តីថ្លែងការណ៍គន្លឹះនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបញ្ជាក់ថាគ្រោងការណ៍ HMAC-Message Digest 5 (MD5) ត្រូវបានប្រើដើម្បីបំបែកតម្លៃសោសម្រាប់ការផ្ទៀងផ្ទាត់ ដែលការពារការផ្លាស់ប្តូរពីការធ្វើសមកាលកម្មជាមួយម៉ាស៊ីនរបស់អ្នកវាយប្រហារដែលកំពុងដាក់ជាម៉ាស៊ីនមេពេលវេលា។
ការកំណត់រចនាសម្ព័ន្ធ
នៅក្នុងផ្នែកនេះ នីតិវិធី | ៥២
ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP៖
នីតិវិធី
CLI Quick Configuration ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP យ៉ាងរហ័ស ចម្លងពាក្យបញ្ជាខាងក្រោម ហើយបិទភ្ជាប់វាទៅក្នុងបង្អួចស្ថានីយរបស់កុងតាក់៖
[កែសម្រួលប្រព័ន្ធ] កំណត់ ntp boot-server 10.1.4.1 set ntp server 10.1.4.2 set ntp authentication-key 2 type md5 value “$ABC123”

53
នីតិវិធីជាជំហាន ៗ
ដើម្បីកំណត់រចនាសម្ព័ន្ធ NTP : 1. បញ្ជាក់ម៉ាស៊ីនមេចាប់ផ្ដើម៖
[កែសម្រួលប្រព័ន្ធ] user@switch# កំណត់ ntp boot-server 10.1.4.1
2. បញ្ជាក់ម៉ាស៊ីនមេ NTP៖
[កែសម្រួលប្រព័ន្ធ] user@switch# កំណត់ម៉ាស៊ីនមេ ntp 10.1.4.2
3. បញ្ជាក់លេខគន្លឹះ ប្រភេទការផ្ទៀងផ្ទាត់ (MD5) និងកូនសោសម្រាប់ការផ្ទៀងផ្ទាត់៖
[កែប្រែប្រព័ន្ធ] user@switch# set ntp authentication-key 2 type md5 value “$ABC123”
លទ្ធផល
ពិនិត្យលទ្ធផល៖
[កែសម្រួលប្រព័ន្ធ] user@switch# បង្ហាញ ntp {
boot-server 10.1.4.1; authentication-key 2 ប្រភេទ md5 តម្លៃ “$ABC123″; ## SECRET-DATA server 10.1.4.2; }

54
ការផ្ទៀងផ្ទាត់
នៅក្នុងផ្នែកនេះ ពិនិត្យពេលវេលា | 54 ការបង្ហាញ NTP Peers | 55 ការបង្ហាញស្ថានភាព NTP | ៥៥
ដើម្បីបញ្ជាក់ថាការកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ សូមអនុវត្តកិច្ចការទាំងនេះ៖
ការពិនិត្យមើលពេលវេលា
គោលបំណង ពិនិត្យមើលពេលវេលាដែលបានកំណត់នៅលើកុងតាក់។
សកម្មភាព បញ្ចូលពាក្យបញ្ជារបៀបប្រតិបត្តិការម៉ោងដំណើរការប្រព័ន្ធ ដើម្បីបង្ហាញម៉ោង។
user@switch> បង្ហាញម៉ោងដំណើរការប្រព័ន្ធ fpc0: ————————————————————————- ពេលបច្ចុប្បន្ន៖ 2009-06-12 12:49:03 PDT ប្រព័ន្ធបានចាប់ផ្ដើម : 2009-05-15 06:24:43 PDT (4w0d 06:24 មុន) ពិធីការបានចាប់ផ្តើម: 2009-05-15 06:27:08 PDT (4w0d 06:21 មុន) កំណត់រចនាសម្ព័ន្ធចុងក្រោយ: 2009-05-27 14: 57:03 PDT (2w1d 21:52 មុន) ដោយ admin1 12:49PM ឡើង 28 ថ្ងៃ, 6:24, អ្នកប្រើប្រាស់ 1 នាក់, ផ្ទុកជាមធ្យម: 0.05, 0.06, 0.01
អត្ថន័យ លទ្ធផលបង្ហាញថាកាលបរិច្ឆេទ និងពេលវេលាបច្ចុប្បន្នគឺថ្ងៃទី 12 ខែមិថុនា ឆ្នាំ 2009 និងម៉ោង 12:49:03 PDT។ កុងតាក់បានចាប់ផ្ដើម 4 សប្តាហ៍ 6 ម៉ោង និង 24 នាទីមុន ហើយពិធីការរបស់វាត្រូវបានចាប់ផ្តើមប្រហែល 3 នាទីមុនពេលវាចាប់ផ្ដើម។ កុងតាក់ត្រូវបានកំណត់រចនាសម្ព័ន្ធចុងក្រោយដោយ user admin1 នៅថ្ងៃទី 27 ខែឧសភា ឆ្នាំ 2009 ហើយបច្ចុប្បន្នមានអ្នកប្រើប្រាស់ម្នាក់បានចូលកុងតាក់។

លទ្ធផលក៏បង្ហាញផងដែរថាជាមធ្យមការផ្ទុកគឺ 0.05 វិនាទីសម្រាប់នាទីចុងក្រោយ 0.06 វិនាទីសម្រាប់ 5 នាទីចុងក្រោយ និង 0.01 វិនាទីសម្រាប់ 15 នាទីចុងក្រោយ។
ការបង្ហាញ NTP Peers
គោលបំណង ផ្ទៀងផ្ទាត់ថាពេលវេលាត្រូវបានទទួលពីម៉ាស៊ីនមេ NTP ។
សកម្មភាព បញ្ចូលពាក្យបញ្ជារបៀបប្រតិបត្តិការ ntp Associations ដើម្បីបង្ហាញម៉ាស៊ីនមេ NTP ពីកុងតាក់ដែលទទួលបានពេលវេលារបស់វា។

user@switch> បង្ហាញទំនាក់ទំនង ntp

ពីចម្ងាយ

កែតម្រូវ

st t នៅពេលដែលការស្ទង់មតិឈានដល់ការពន្យាពេលប៉ះប៉ូវភាពចលាចល។

=====================================================================================

* ntp.net .GPS ។

1 u 414 1024 377 3.435 4.002 0.765

អត្ថន័យ
សញ្ញាផ្កាយ (*) នៅពីមុខឈ្មោះម៉ាស៊ីនមេ NTP ឬ peer បង្ហាញថាពេលវេលាត្រូវបានធ្វើសមកាលកម្ម និងទទួលបានពីម៉ាស៊ីនមេនេះ។ ការពន្យាពេល អុហ្វសិត និងភាពចលាចលត្រូវបានបង្ហាញជាមីលីវិនាទី។
បង្ហាញស្ថានភាព NTP
គោលបំណង
View ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ NTP និងស្ថានភាពនៃប្រព័ន្ធ។
សកម្មភាព
បញ្ចូលពាក្យបញ្ជារបៀបប្រតិបត្តិការស្ថានភាព ntp ទៅ view ស្ថានភាព NTP ។
user@switch> បង្ហាញស្ថានភាពស្ថានភាព ntp=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=”ntpd 4.2.0-a Mon Apr 13 19:09:05 UTC 2009 (1)”, processor=”powerpc” , system=”JUNOS9.5R1.8″, leap=00, stratum=2, precision=-18, rootdelay=2.805, rootdispersion=42.018, peer=48172,

56
Refid = 192.168.28.5 Re Refple = CDDD397A.60e6B7e stir, 12 មិថុនា 2009 13 30: 50.378: 10, រដ្ឋ = 3, អុហ្វសិត = 1, ប្រេកង់=-5, jitter=2, ស្ថិរភាព=4
អត្ថន័យ
លទ្ធផលបង្ហាញព័ត៌មានស្ថានភាពអំពីកុងតាក់ និង NTP ។
សោផ្ទៀងផ្ទាត់ NTP
ការធ្វើសមកាលកម្មពេលវេលាអាចត្រូវបានផ្ទៀងផ្ទាត់ដើម្បីធានាថាកុងតាក់ទទួលបានសេវាកម្មពេលវេលារបស់វាតែពីប្រភពដែលគេស្គាល់ប៉ុណ្ណោះ។ តាមលំនាំដើម ការធ្វើសមកាលកម្មពេលវេលាបណ្តាញមិនត្រូវបានផ្ទៀងផ្ទាត់ទេ។ កុងតាក់នឹងធ្វើសមកាលកម្មទៅនឹងប្រព័ន្ធណាមួយដែលហាក់ដូចជាមានពេលវេលាត្រឹមត្រូវបំផុត។ យើងលើកទឹកចិត្តយ៉ាងមុតមាំឱ្យអ្នកកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃសេវាកម្មពេលវេលាបណ្តាញ។ ដើម្បីផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេពេលវេលាផ្សេងទៀត រួមបញ្ចូលសេចក្តីថ្លែងការគន្លឹះដែលទុកចិត្តនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp] ។ គ្រាប់ចុចដែលអាចទុកចិត្តបានសំដៅទៅលើសោដែលបានកំណត់រចនាសម្ព័ន្ធដែលត្រូវបានជឿទុកចិត្ត និងប្រើប្រាស់ដោយ NTP សម្រាប់ការធ្វើសមកាលកម្មនាឡិកាសុវត្ថិភាព។ សោដែលបានកំណត់រចនាសម្ព័ន្ធណាមួយដែលមិនត្រូវបានយោងនៅក្នុងគ្រាប់ចុចដែលអាចទុកចិត្តបានគឺមិនមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ ហើយត្រូវបានបដិសេធដោយ NTP ។ មានតែម៉ាស៊ីនមេពេលវេលាដែលបញ្ជូនកញ្ចប់ពេលវេលាបណ្តាញដែលមានលេខគន្លឹះជាក់លាក់ណាមួយប៉ុណ្ណោះដែលមានសិទ្ធិធ្វើសមកាលកម្ម។ លើសពីនេះ សោត្រូវផ្គូផ្គងតម្លៃដែលបានកំណត់សម្រាប់លេខសោនោះ។ ប្រព័ន្ធផ្សេងទៀតអាចធ្វើសមកាលកម្មទៅនឹងកុងតាក់មូលដ្ឋានដោយមិនមានការផ្ទៀងផ្ទាត់។
[កែប្រែប្រព័ន្ធ ntp] trusted-key[key-numbers];
គ្រាប់ចុចនីមួយៗអាចជាចំនួនគត់ដែលមិនបានចុះហត្ថលេខា 32 ប៊ីត លើកលែងតែ 0។ រួមបញ្ចូលជម្រើសគន្លឹះក្នុងសេចក្តីថ្លែងការណ៍ដែលភ្ជាប់មកជាមួយ ម៉ាស៊ីនមេ ឬការផ្សាយ ដើម្បីបញ្ជូនសោផ្ទៀងផ្ទាត់ដែលបានបញ្ជាក់នៅពេលបញ្ជូនកញ្ចប់ព័ត៌មាន។ សោគឺចាំបាច់ប្រសិនបើប្រព័ន្ធពីចម្ងាយបានបើកការផ្ទៀងផ្ទាត់ ដូច្នេះវាអាចធ្វើសមកាលកម្មទៅប្រព័ន្ធមូលដ្ឋាន។ ដើម្បីកំណត់សោផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ រួមបញ្ចូលសេចក្តីថ្លែងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែសម្រួលប្រព័ន្ធ ntp] ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - គ្រាប់ចុចលេខ ប្រភេទនៃពាក្យសម្ងាត់តម្លៃ

57
លេខគឺជាលេខគន្លឹះ ប្រភេទគឺជាប្រភេទការផ្ទៀងផ្ទាត់ (មានតែ Message Digest 5 [MD5] , SHA1 និង SHA2-256 ប៉ុណ្ណោះដែលត្រូវបានគាំទ្រ) ហើយពាក្យសម្ងាត់គឺជាពាក្យសម្ងាត់សម្រាប់សោនេះ។ លេខគន្លឹះ ប្រភេទ និងពាក្យសម្ងាត់ត្រូវតែផ្គូផ្គងនៅលើប្រព័ន្ធទាំងអស់ដោយប្រើសោជាក់លាក់នោះសម្រាប់ការផ្ទៀងផ្ទាត់។ ត្រូវតែមិនមានចន្លោះនៅក្នុងពាក្យសម្ងាត់សម្រាប់កំណត់រចនាសម្ព័ន្ធបណ្តាញពេលវេលាពិធីការ (NTP) authentication-key នោះទេ។
កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់សារផ្សាយដោយប្រើ NTP
នៅពេលអ្នកកំពុងប្រើ NTP អ្នកអាចកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅស្តាប់សារផ្សាយនៅលើបណ្តាញមូលដ្ឋាន ដើម្បីស្វែងរកម៉ាស៊ីនមេផ្សេងទៀតនៅលើបណ្តាញរងដូចគ្នា ដោយរួមបញ្ចូលសេចក្តីថ្លែងការណ៍របស់អតិថិជនផ្សាយនៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែប្រែប្រព័ន្ធ ntp] broadcast-client;
នៅពេលដែលរ៉ោតទ័រ ឬកុងតាក់រកឃើញសារផ្សាយជាលើកដំបូង វាវាស់ការពន្យារពេលបណ្តាញបន្ទាប់បន្សំដោយប្រើការផ្លាស់ប្តូរម៉ាស៊ីនភ្ញៀវខ្លីជាមួយម៉ាស៊ីនមេពីចម្ងាយ។ បន្ទាប់មកវាចូលទៅក្នុងទម្រង់ម៉ាស៊ីនភ្ញៀវផ្សាយ ដែលវាស្តាប់ និងធ្វើសមកាលកម្មទៅនឹងសារផ្សាយដោយជោគជ័យ។ ដើម្បីជៀសវាងការរំខានដោយចៃដន្យ ឬការព្យាបាទនៅក្នុងរបៀបនេះ ទាំងប្រព័ន្ធមូលដ្ឋាន និងពីចម្ងាយត្រូវតែប្រើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងលេខសោដែលអាចទុកចិត្តបានដូចគ្នា និងលេខសម្គាល់សោ។
កំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីស្តាប់សារ Multicast ដោយប្រើ NTP
នៅពេលអ្នកកំពុងប្រើ NTP អ្នកអាចកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រមូលដ្ឋាន ឬប្តូរទៅស្តាប់សារពហុខាសនៅលើបណ្តាញមូលដ្ឋាន ដើម្បីស្វែងរកម៉ាស៊ីនមេផ្សេងទៀតនៅលើបណ្តាញរងដូចគ្នា ដោយរួមបញ្ចូលសេចក្តីថ្លែងការណ៍របស់អតិថិជនច្រើននៅកម្រិតឋានានុក្រម [កែសម្រួលប្រព័ន្ធ ntp]៖
[កែប្រែប្រព័ន្ធ ntp] multicast-client ;

58
នៅពេលដែលរ៉ោតទ័រ ឬកុងតាក់ទទួលបានសារពហុខាសជាលើកដំបូង វាវាស់វែងការពន្យារពេលបណ្តាញបន្ទាប់បន្សំដោយប្រើការផ្លាស់ប្តូរម៉ាស៊ីនភ្ញៀវខ្លីជាមួយម៉ាស៊ីនមេពីចម្ងាយ។ បន្ទាប់មកវាចូលទៅក្នុងរបៀបម៉ាស៊ីនភ្ញៀវពហុខាស ដែលវាស្តាប់ និងធ្វើសមកាលកម្មជាមួយសារពហុខាសដោយជោគជ័យ។
អ្នកអាចបញ្ជាក់អាសយដ្ឋាន IP មួយ ឬច្រើន។ (អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋាន មិនមែនជាឈ្មោះម៉ាស៊ីនទេ។) ប្រសិនបើអ្នកធ្វើដូច្នេះ រ៉ោតទ័រ ឬកុងតាក់ចូលរួមជាមួយក្រុមពហុខាសទាំងនោះ។ ប្រសិនបើអ្នកមិនបញ្ជាក់អាសយដ្ឋានណាមួយទេ កម្មវិធីប្រើប្រាស់ 224.0.1.1។
ដើម្បីជៀសវាងការរំខានដោយចៃដន្យ ឬការរំខាននៅក្នុងរបៀបនេះ ទាំងប្រព័ន្ធមូលដ្ឋាន និងពីចម្ងាយត្រូវតែប្រើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងលេខសោដែលអាចទុកចិត្តបានដូចគ្នា និងលេខសម្គាល់សោ។

5 ជំពូក
ការកំណត់រចនាសម្ព័ន្ធ SSH និងការតភ្ជាប់កុងសូល។
ស្វែងយល់ពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ FIPS | 60 ការកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស | 61 ការកំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់ SSH Sessions | 62 ការកំណត់រចនាសម្ព័ន្ធ SSH លើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ | ៦៣

60
ស្វែងយល់ពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ FIPS
នៅក្នុងផ្នែកនេះ ការផ្ទៀងផ្ទាត់ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់នៅលើកុងសូល និង SSH | 60 ឈ្មោះអ្នកប្រើប្រាស់ និងការផ្ទៀងផ្ទាត់សោសាធារណៈនៅលើ SSH | ៦១
ប្រព័ន្ធប្រតិបត្តិការ Juniper Networks Junos (Junos OS) ដែលដំណើរការក្នុងរបៀប FIPS នៃប្រតិបត្តិការអនុញ្ញាតឱ្យមានលទ្ធភាពជាច្រើនសម្រាប់អ្នកប្រើប្រាស់ ហើយការផ្ទៀងផ្ទាត់គឺផ្អែកលើតួនាទី។ ប្រភេទនៃការផ្ទៀងផ្ទាត់តាមតួនាទីខាងក្រោមត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ៖ · "ការផ្ទៀងផ្ទាត់ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់នៅលើកុងសូល និង SSH" នៅលើទំព័រ 60 · "ឈ្មោះអ្នកប្រើប្រាស់ និងការផ្ទៀងផ្ទាត់សោសាធារណៈនៅលើ SSH" នៅទំព័រ 61
ការផ្ទៀងផ្ទាត់ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់នៅលើកុងសូល និង SSH
នៅក្នុងវិធីសាស្រ្តផ្ទៀងផ្ទាត់នេះ អ្នកប្រើប្រាស់ត្រូវបានស្នើសុំឱ្យបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។ ឧបករណ៍នេះបង្ខំអ្នកប្រើប្រាស់ឱ្យបញ្ចូលពាក្យសម្ងាត់យ៉ាងហោចណាស់ 10 តួអក្សរដែលត្រូវបានជ្រើសរើសពីតួអក្សរ ASCII ដែលអាចអានបាន 96 តួអក្សរ។
ចំណាំ៖ ប្រវែងពាក្យសម្ងាត់អតិបរមាគឺ 20 តួអក្សរ។
នៅក្នុងវិធីនេះ ឧបករណ៍អនុវត្តយន្តការចូលប្រើតាមពេលកំណត់ - សម្រាប់ឧample, ការប៉ុនប៉ងបរាជ័យពីរលើកដំបូងក្នុងការបញ្ចូលពាក្យសម្ងាត់ត្រឹមត្រូវ (សន្មត់ថា 0 ពេលវេលាដើម្បីដំណើរការ) គ្មានការចូលប្រើតាមពេលកំណត់ទេ។ នៅពេលអ្នកប្រើប្រាស់បញ្ចូលលេខសម្ងាត់ជាលើកទីបី ម៉ូឌុលអនុវត្តការពន្យារពេល 5 វិនាទី។ ការប៉ុនប៉ងបរាជ័យនីមួយៗបន្ទាប់មកនាំឱ្យមានការពន្យារពេល 5 វិនាទីបន្ថែមពីលើការប៉ុនប៉ងបរាជ័យពីមុន។ សម្រាប់អតីតample ប្រសិនបើការប៉ុនប៉ងបរាជ័យលើកទីបួនគឺជាការពន្យារពេល 10 វិនាទី នោះការប៉ុនប៉ងបរាជ័យទី 15 គឺជាការពន្យារពេល 20 វិនាទី ការប៉ុនប៉ងបរាជ័យលើកទី 25 គឺជាការពន្យារពេល 1 វិនាទី ហើយការប៉ុនប៉ងបរាជ័យលើកទី 4 គឺជាការពន្យារពេល 9.6 វិនាទី។ ដូច្នេះ នេះនាំឱ្យមានការប៉ុនប៉ងអតិបរមាចំនួន 576 ដងក្នុងរយៈពេល 60 នាទីសម្រាប់ស្ថានីយសកម្ម getty នីមួយៗ។ ដូច្នេះ វិធីសាស្រ្តដ៏ល្អបំផុតសម្រាប់អ្នកវាយប្រហារគឺត្រូវផ្តាច់បន្ទាប់ពីការប៉ុនប៉ងបរាជ័យចំនួន 9 ហើយរង់ចាំការបង្កកំណើតថ្មីមួយ។ នេះនឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការប្រហែល 0.6 ដងក្នុងមួយនាទី (XNUMX ដងក្នុងមួយម៉ោង ឬ XNUMX នាទី)។ នេះនឹងត្រូវបានបង្គត់ទៅ XNUMX ការប៉ុនប៉ងក្នុងមួយនាទី ពីព្រោះមិនមានការប៉ុនប៉ង XNUMX ទេ។ ដូច្នេះប្រូបាប៊ីលីតេនៃការប៉ុនប៉ងចៃដន្យជោគជ័យគឺ

61
1/9610 ដែលតិចជាង 1/1 លាន។ ប្រូបាប៊ីលីតេនៃភាពជោគជ័យជាមួយនឹងការប៉ុនប៉ងជាបន្តបន្ទាប់គ្នាច្រើនដងក្នុងរយៈពេល 1 នាទីគឺ 9/(9610) ដែលតិចជាង 1/100,000។
ឈ្មោះអ្នកប្រើប្រាស់ និងការផ្ទៀងផ្ទាត់សោសាធារណៈនៅលើ SSH
នៅក្នុងការផ្ទៀងផ្ទាត់កូនសោសាធារណៈ SSH អ្នកផ្តល់ឈ្មោះអ្នកប្រើប្រាស់ និងបញ្ជាក់សុពលភាពនៃភាពជាម្ចាស់នៃសោឯកជនដែលត្រូវគ្នានឹងសោសាធារណៈដែលរក្សាទុកនៅលើម៉ាស៊ីនមេ។ ឧបករណ៍នេះគាំទ្រប្រភេទគ្រាប់ចុច ECDSA (P-256, P-384, និង P-521) និង RSA (2048, 3072, និង 4092) ។ ប្រូបាប៊ីលីតេនៃភាពជោគជ័យជាមួយនឹងការប៉ុនប៉ងជាបន្តបន្ទាប់គ្នាច្រើនដងក្នុងរយៈពេល 1 នាទីគឺ 5.6e7/(2128)។
ចំណាំ៖ វិធីសាស្ត្រផ្ទៀងផ្ទាត់ ssh-rsa គឺជាក្បួនដោះស្រាយមួយដែលត្រូវបានអនុញ្ញាតនៅក្នុងរបៀប FIPS ។
ការកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ និងការប្រកាស
សារចូលប្រព័ន្ធលេចឡើងមុនពេលអ្នកប្រើប្រាស់ចូល ហើយការប្រកាសចូលប្រព័ន្ធនឹងលេចឡើងបន្ទាប់ពីអ្នកប្រើប្រាស់ចូល។ តាមលំនាំដើម គ្មានសារចូល ឬការប្រកាសណាមួយត្រូវបានបង្ហាញនៅលើឧបករណ៍នោះទេ។ អ្នកគ្រប់គ្រងតម្រូវឱ្យកំណត់រចនាសម្ព័ន្ធសារចូល និងការប្រកាសសម្រាប់ការអនុលោមតាមលក្ខណៈវិនិច្ឆ័យទូទៅ។ ដើម្បីកំណត់រចនាសម្ព័ន្ធសារចូលប្រព័ន្ធ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
[កែប្រែ] user@host# កំណត់សារចូលប្រព័ន្ធ login-message-banner-text ដើម្បីកំណត់រចនាសម្ព័ន្ធការប្រកាសប្រព័ន្ធ សូមប្រើពាក្យបញ្ជាខាងក្រោម៖
[កែប្រែ] user@host# កំណត់ការប្រកាសចូលប្រព័ន្ធ system-announcement-text
ចំណាំ៖

62
· ប្រសិនបើអត្ថបទសារមានចន្លោះណាមួយ សូមដាក់វាក្នុងសញ្ញាសម្រង់។ · អ្នកអាចធ្វើទ្រង់ទ្រាយសារដោយប្រើតួអក្សរពិសេសខាងក្រោម៖
· n-បន្ទាត់ថ្មី · t-ផ្ទាំងផ្ដេក · '-សញ្ញាសម្រង់តែមួយ · "-សញ្ញាសម្រង់ទ្វេ · \- សញ្ញាថយក្រោយ
ការកំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់វគ្គ SSH
អ្នកគ្រប់គ្រងពីចម្ងាយអាចចូលឧបករណ៍តាមរយៈ SSH ។ លិខិតសម្គាល់អ្នកគ្រប់គ្រងត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាននៅលើឧបករណ៍។ ប្រសិនបើអ្នកគ្រប់គ្រងពីចម្ងាយបង្ហាញឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ត្រឹមត្រូវ ការចូលប្រើ TOE ត្រូវបានផ្តល់។ ប្រសិនបើព័ត៌មានសម្ងាត់មិនត្រឹមត្រូវ TOE អនុញ្ញាតឱ្យការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឡើងវិញបន្ទាប់ពីចន្លោះពេលដែលចាប់ផ្តើមបន្ទាប់ពី 1 វិនាទី និងកើនឡើងជានិទស្សន្ត។ ប្រសិនបើចំនួននៃការព្យាយាមផ្ទៀងផ្ទាត់លើសពីចំនួនអតិបរមាដែលបានកំណត់ នោះគ្មានការព្យាយាមផ្ទៀងផ្ទាត់ណាមួយត្រូវបានទទួលយកសម្រាប់ចន្លោះពេលដែលបានកំណត់នោះទេ។ នៅពេលដែលចន្លោះពេលផុតកំណត់ ការព្យាយាមផ្ទៀងផ្ទាត់ត្រូវបានទទួលយកម្តងទៀត។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដើម្បីកំណត់ចំនួននៃការព្យាយាមបញ្ចូលពាក្យសម្ងាត់ខណៈពេលចូលតាមរយៈ SSH ។ ដោយប្រើពាក្យបញ្ជាខាងក្រោម ការតភ្ជាប់អាចត្រូវបានបិទ ប្រសិនបើអ្នកប្រើបរាជ័យក្នុងការចូលបន្ទាប់ពីចំនួនដែលបានបញ្ជាក់៖
[កែប្រែការចូលប្រព័ន្ធ] user@host# set retry-options tries-before-disconnect នៅទីនេះ ការព្យាយាមមុនពេលផ្តាច់គឺជាចំនួនដងដែលអ្នកប្រើប្រាស់អាចព្យាយាមបញ្ចូលពាក្យសម្ងាត់នៅពេលចូល។ ការតភ្ជាប់នឹងបិទ ប្រសិនបើអ្នកប្រើបរាជ័យក្នុងការចូលបន្ទាប់ពីលេខដែលបានបញ្ជាក់។ ជួរគឺពី 1 ដល់ 10 ហើយតម្លៃលំនាំដើមគឺ 10 ។

63
អ្នកក៏អាចកំណត់រចនាសម្ព័ន្ធការពន្យារពេលមួយវិនាទី មុនពេលអ្នកប្រើប្រាស់អាចព្យាយាមបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីការព្យាយាមមិនបានសម្រេច។
[កែសម្រួលការចូលប្រព័ន្ធ] user@host# កំណត់ការព្យាយាមឡើងវិញជម្រើស backoff-threshold នៅទីនេះ backoff-threshold គឺជាកម្រិតកំណត់សម្រាប់ចំនួននៃការព្យាយាមចូលដែលបរាជ័យ មុនពេលអ្នកប្រើប្រាស់ជួបប្រទះការពន្យារពេលក្នុងការអាចបញ្ចូលពាក្យសម្ងាត់ម្តងទៀត។ ប្រើជម្រើស backoff-factor ដើម្បីបញ្ជាក់រយៈពេលនៃការពន្យារពេលគិតជាវិនាទី។ ជួរគឺពី 1 ដល់ 3 ហើយតម្លៃលំនាំដើមគឺ 2 វិនាទី។ លើសពីនេះ ឧបករណ៍អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបញ្ជាក់កម្រិតចាប់ផ្ដើមសម្រាប់ចំនួននៃការប៉ុនប៉ងបរាជ័យ មុនពេលអ្នកប្រើប្រាស់ជួបប្រទះការពន្យារពេលក្នុងការបញ្ចូលពាក្យសម្ងាត់ម្តងទៀត។
[កែសម្រួលការចូលប្រព័ន្ធ] user@host# កំណត់ជម្រើសម្តងទៀត backoff-factor នៅទីនេះ backoff-factor គឺជារយៈពេលនៃពេលវេលាគិតជាវិនាទី មុនពេលអ្នកប្រើប្រាស់អាចព្យាយាមចូលបន្ទាប់ពីការប៉ុនប៉ងបរាជ័យ។ ការពន្យារពេលកើនឡើងដោយតម្លៃដែលបានបញ្ជាក់សម្រាប់ការប៉ុនប៉ងជាបន្តបន្ទាប់នីមួយៗបន្ទាប់ពីកម្រិត។ ជួរគឺចាប់ពី 5 ដល់ 10 ហើយតម្លៃលំនាំដើមគឺ 5 វិនាទី។
ការកំណត់រចនាសម្ព័ន្ធ SSH នៅលើការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ
SSH គឺជាចំណុចប្រទាក់គ្រប់គ្រងពីចម្ងាយដែលត្រូវបានអនុញ្ញាតនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ប្រធានបទនេះពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធ SSH នៅលើឧបករណ៍។ 1. មុនពេលអ្នកចាប់ផ្តើម សូមចូលដោយប្រើគណនី root របស់អ្នកនៅលើឧបករណ៍ដែលដំណើរការ Junos OS Release 22.2R1 និង
កែសម្រួលការកំណត់។
ចំណាំ៖ ពាក្យបញ្ជាដែលបានបង្ហាញកំណត់រចនាសម្ព័ន្ធ SSH ដើម្បីប្រើរាល់ក្បួនដោះស្រាយគ្រីបដែលបានអនុញ្ញាត។
ចំណាំ៖ អ្នកអាចបញ្ចូលពាក្យបញ្ជាការកំណត់រចនាសម្ព័ន្ធក្នុងលំដាប់ណាមួយ ហើយធ្វើការបញ្ជាទាំងអស់ក្នុងពេលតែមួយ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធ SSH នៅលើ TOE៖

64
1. បញ្ជាក់ក្បួនដោះស្រាយ SSH host-key algorithms ដែលអនុញ្ញាត។
[កែសម្រួលសេវាប្រព័ន្ធ ssh] user@host# កំណត់ hostkey-algorithm ssh-ecdsa user@host# set hostkey-algorithm ssh-rsa 2. បញ្ជាក់ក្បួនដោះស្រាយការប្តូរកូនសោ SSH ។
[កែសម្រួលសេវាប្រព័ន្ធ ssh] user@host#set key-exchange [ ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 Diffiehellman-group14-sha1 ] 3. បញ្ជាក់រាល់ក្បួនដោះស្រាយកូដផ្ទៀងផ្ទាត់សារដែលអាចអនុញ្ញាតបាន។
[កែសម្រួលសេវាប្រព័ន្ធ ssh] user@host#set macs [ hmac-sha1 hmac-sha2-256 hmac-sha2-512 ] 4. បញ្ជាក់កូដសម្ងាត់ដែលអនុញ្ញាតសម្រាប់ពិធីការកំណែ 2 ។
[កែសម្រួលសេវាប្រព័ន្ធ ssh] user@host#set ciphers [ aes128-cbc aes256-cbc aes128-ctr aes256-ctr ] ឯកសារដែលពាក់ព័ន្ធ ការយល់ដឹងអំពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ FIPS | 60 ការកំណត់ចំនួននៃការប៉ុនប៉ងចូលរបស់អ្នកប្រើសម្រាប់ SSH Sessions | ៦២

6 ជំពូក
កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ Syslog ពីចម្ងាយ
Sample Syslog Server Configuration on a Linux System | 66 ការបញ្ជូនបន្តកំណត់ហេតុទៅម៉ាស៊ីនមេ Syslog ខាងក្រៅ | ៧៣

66
Sample ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ Syslog នៅលើប្រព័ន្ធលីនុច
នៅក្នុងផ្នែកនេះ កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់មូលដ្ឋាន File | 66 កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ | 67 កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ នៅពេលចាប់ផ្តើមការតភ្ជាប់ពីម៉ាស៊ីនមេពីចម្ងាយ | ៦៧
បរិស្ថាន Junos OS ដែលមានសុវត្ថិភាពទាមទារឱ្យមានសវនកម្មនៃព្រឹត្តិការណ៍ និងរក្សាទុកពួកវានៅក្នុងសវនកម្មក្នុងតំបន់ file. ព្រឹត្តិការណ៍ដែលបានកត់ត្រាត្រូវបានផ្ញើក្នុងពេលដំណាលគ្នាទៅកាន់ម៉ាស៊ីនមេ syslog ខាងក្រៅ។ ម៉ាស៊ីនមេ syslog ទទួលសារ syslog ដែលផ្សាយចេញពីឧបករណ៍។ ម៉ាស៊ីនមេ syslog ត្រូវតែមានម៉ាស៊ីនភ្ញៀវ SSH ដែលមានការគាំទ្រ NETCONF ដែលបានកំណត់រចនាសម្ព័ន្ធដើម្បីទទួលសារ syslog ដែលបានផ្សាយ។ កំណត់ហេតុ NDcPP ចាប់យកព្រឹត្តិការណ៍ ពួកវាមួយចំនួនត្រូវបានរាយខាងក្រោម៖ · ការផ្លាស់ប្តូរដែលបានសន្យា · ចូល និងចេញពីអ្នកប្រើប្រាស់ · បរាជ័យក្នុងការបង្កើតវគ្គ SSH · ការបង្កើត ឬបញ្ចប់វគ្គ SSH · ការផ្លាស់ប្តូរពេលវេលាប្រព័ន្ធ
កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់មូលដ្ឋាន File
អ្នកអាចកំណត់រចនាសម្ព័ន្ធការរក្សាទុកសារទៅកាន់មូលដ្ឋាន file និងកម្រិតនៃព័ត៌មានលម្អិតដែលត្រូវកត់ត្រាជាមួយសេចក្តីថ្លែងការណ៍ syslog ។ អតីតample stores log in a file ឈ្មោះ syslog:
[កែសម្រួលប្រព័ន្ធ] syslog {
file syslog; }

67
កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ
កំណត់រចនាសម្ព័ន្ធការនាំចេញព័ត៌មានសវនកម្មទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយដែលមានសុវត្ថិភាពដោយដំឡើងកម្មវិធីតាមដានព្រឹត្តិការណ៍ដែលផ្ញើសារកំណត់ហេតុព្រឹត្តិការណ៍ដោយប្រើ NETCONF លើ SSH ទៅកាន់ម៉ាស៊ីនមេកត់ត្រាព្រឹត្តិការណ៍ប្រព័ន្ធពីចម្ងាយ។ នីតិវិធីខាងក្រោមបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធដែលត្រូវការដើម្បីផ្ញើសារកំណត់ហេតុប្រព័ន្ធទៅកាន់ម៉ាស៊ីនមេខាងក្រៅដែលមានសុវត្ថិភាពដោយប្រើ NETCONF លើ SSH ។
កំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ នៅពេលចាប់ផ្តើមការតភ្ជាប់ពីម៉ាស៊ីនមេពីចម្ងាយ
នីតិវិធីខាងក្រោមពិពណ៌នាអំពីជំហានដើម្បីកំណត់រចនាសម្ព័ន្ធការកត់ត្រាព្រឹត្តិការណ៍ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ នៅពេលដែលការតភ្ជាប់ SSH ទៅ TOE ត្រូវបានផ្តួចផ្តើមចេញពីម៉ាស៊ីនមេកំណត់ហេតុប្រព័ន្ធពីចម្ងាយ។ 1. បង្កើតកូនសោសាធារណៈ RSA នៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ។
$ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor អ្នកនឹងត្រូវបានជម្រុញឱ្យបញ្ចូលឃ្លាសម្ងាត់ដែលចង់បាន។ ទីតាំងផ្ទុកសម្រាប់គូសោ syslog-monitor ត្រូវបានបង្ហាញ។ 2. នៅលើ TOE បង្កើតថ្នាក់មួយដែលមានឈ្មោះថា ម៉ូនីទ័រ ដែលមានការអនុញ្ញាតដើម្បីតាមដានព្រឹត្តិការណ៍។
[កែប្រែ] user@host# កំណត់ការអនុញ្ញាតការចូលរបស់ម៉ូនីទ័រថ្នាក់ប្រព័ន្ធ 3. បង្កើតអ្នកប្រើប្រាស់ដែលមានឈ្មោះថា syslog-mon ជាមួយ class monitor ហើយជាមួយនឹងការផ្ទៀងផ្ទាត់ដែលប្រើគូសោ syslogmonitor ពីគូគន្លឹះ file ដែលមានទីតាំងនៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ។
[កែប្រែ] user@host# set system login user syslog-mon class monitor ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ssh-rsa public key ពី syslog-monitor key pair 4. ដំឡើង NETCONF ជាមួយ SSH ។
[កែប្រែ] user@host# កំណត់សេវាប្រព័ន្ធ netconf ssh

68
5. កំណត់រចនាសម្ព័ន្ធ syslog ដើម្បីកត់ត្រាសារទាំងអស់នៅ /var/log/messages ។
[កែប្រែ] user@host# កំណត់ប្រព័ន្ធ syslog file សារណាមួយដែលអ្នកប្រើប្រាស់@host# ប្រព្រឹត្ត
6. នៅលើម៉ាស៊ីនមេកំណត់ហេតុប្រព័ន្ធពីចម្ងាយ សូមចាប់ផ្តើមភ្នាក់ងារ SSH ។ ការចាប់ផ្តើមគឺត្រូវបានទាមទារដើម្បីសម្រួលដល់ការដោះស្រាយសោ syslog-monitor ។
$eval `ssh-agent` 7. នៅលើម៉ាស៊ីនមេ syslog ពីចម្ងាយ បន្ថែមគូសោ syslog-monitor ទៅភ្នាក់ងារ SSH ។
$ssh-add ~/.ssh/syslog-monitor
អ្នកនឹងត្រូវបានជម្រុញឱ្យបញ្ចូលឃ្លាសម្ងាត់ដែលចង់បាន។ បញ្ចូលឃ្លាសម្ងាត់ដូចគ្នាដែលបានប្រើក្នុងជំហានទី 1
NETCONF ។
user@host# ssh syslog-mon@NDcPP_TOE -s netconf > test.out
9. បន្ទាប់ពី NETCONF ត្រូវបានបង្កើតឡើង កំណត់រចនាសម្ព័ន្ធការស្ទ្រីមសារព្រឹត្តិការណ៍កំណត់ហេតុប្រព័ន្ធ។ RPC នេះនឹងធ្វើឱ្យសេវា NETCONF ចាប់ផ្តើមបញ្ជូនសារនៅលើការតភ្ជាប់ SSH ដែលត្រូវបានបង្កើតឡើង។
សារ
10. អតីតamples សម្រាប់សារ syslog ត្រូវបានរាយខាងក្រោម។ តាមដានកំណត់ហេតុព្រឹត្តិការណ៍ដែលបានបង្កើតសម្រាប់សកម្មភាពអ្នកគ្រប់គ្រងនៅលើ TOE ដូចដែលបានទទួលនៅលើម៉ាស៊ីនមេ syslog ។ ពិនិត្យមើលចរាចរណ៍ដែលឆ្លងកាត់រវាងម៉ាស៊ីនមេសវនកម្ម និង TOE ដោយសង្កេតឃើញថាទិន្នន័យទាំងនេះមិនមែនទេ។ viewed ក្នុងអំឡុងពេលផ្ទេរនេះ ហើយថាពួកគេត្រូវបានទទួលដោយជោគជ័យដោយម៉ាស៊ីនមេសវនកម្ម។ ផ្គូផ្គងកំណត់ហេតុរវាងព្រឹត្តិការណ៍ក្នុងតំបន់ និងព្រឹត្តិការណ៍ពីចម្ងាយដែលបានចូលនៅក្នុងម៉ាស៊ីនមេ syslog ហើយកត់ត្រាកម្មវិធីពិសេស (ដូចជាឈ្មោះ កំណែ និងអ្វីៗផ្សេងទៀត) ដែលប្រើនៅលើម៉ាស៊ីនមេសវនកម្មអំឡុងពេលធ្វើតេស្ត។
លទ្ធផលខាងក្រោមបង្ហាញលទ្ធផលកំណត់ហេតុសាកល្បងសម្រាប់ម៉ាស៊ីនមេ syslog ។
host@ssh-keygen -b 2048 -t rsa -C 'syslog-monitor key pair' -f ~/.ssh/syslog-monitor បង្កើតគូសោ rsa សាធារណៈ/ឯកជន។ បញ្ចូលឃ្លាសម្ងាត់ (ទទេសម្រាប់ឃ្លាសម្ងាត់ទេ)៖ បញ្ចូលឃ្លាសម្ងាត់ដដែលម្តងទៀត៖

អត្តសញ្ញាណរបស់អ្នកត្រូវបានរក្សាទុកនៅក្នុង /home/host/.ssh/syslog-monitor ។

សោសាធារណៈរបស់អ្នកត្រូវបានរក្សាទុកនៅក្នុង /home/host/.ssh/syslog-monitor.pub ។

ស្នាមម្រាមដៃសំខាន់គឺ៖

ef:75:d7:68:c5:ad:8d:6f:5e:7a:7e:9b:3d:f1:4d:3f syslog-monitor key pair

រូបភាពចៃដន្យរបស់គន្លឹះគឺ៖

+–[ RSA 2048]—-+

..|

. បូ|

. . *.X|

. . o E@|

. .BX|

+——————–+

[host@linux]$ cat /home/host/.ssh/syslog-monitor.pub

ssh-rsa

AAAAB3NzaC1yc2EAAAADAQABAAABAQCrUREJUBpjwAoIgRrGy9zgt+

D2pikk3Q/Wdf8I5vr+njeqJhCx2bUAkrRbYXNILQQAZbg7kLfi/8TqqL

eon4HOP2e6oCSorKdx/GrOTzLONL4fh0EyuSAk8bs5JuwWNBUokV025

gzpGFsBusGnlj6wqqJ/sjFsMmfxyCkbY+pUWb8m1/A9YjOFT+6esw+9S

tF6Gbg+VpbYYk/Oday4z+z7tQHRFSrxj2G92aoliVDBLJparEMBc8w

LdSUDxmgBTM2oadOmm+kreBUQjrmr6775RJn9H9YwIxKOxGm4SFnX/Vl4

R+lZ9RqmKH2wodIEM34K0wXEHzAzNZ01oLmaAVqT

syslog-monitor key គូ

[host@linux]$ eval `ssh-agent`

ភ្នាក់ងារ pid 1453

[host@linux]$ ssh-add ~/.ssh/syslog-monitor

បញ្ចូលឃ្លាសម្ងាត់សម្រាប់ /home/host/.ssh/syslog-monitor៖

បានបន្ថែមអត្តសញ្ញាណ៖ /home/host/.ssh/syslog-monitor (/home/host/.ssh/syslog-monitor)

បណ្តាញកំណត់រចនាសម្ព័ន្ធសុទ្ធ

host@linux]$ ssh syslog-mon@starfire -s netconf>test.out host@linux]$ cat test.out នេះគឺជាឧបករណ៍សាកល្បង NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0

70
urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url៖ 1.0?protocol=http,ftp,filehttp://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0 ]]>]]>
លទ្ធផលខាងក្រោមបង្ហាញពីកំណត់ហេតុព្រឹត្តិការណ៍ដែលបានបង្កើតនៅលើ TOE ដែលត្រូវបានទទួលនៅលើម៉ាស៊ីនមេ syslog ។
ថ្ងៃទី 20 ខែមករា 17:04:51 starfire sshd[4182]: កំហុស៖ មិនអាចផ្ទុក host key: /etc/ssh/ssh_host_dsa_key Jan 20 17:04:51 starfire sshd[4182]: error: មិនអាចផ្ទុក host key: /etc /ssh/ssh_host_ecdsa_key ថ្ងៃទី 20 ខែមករា ម៉ោង 17:04:53 starfire sshd[4182]៖ បានទទួលយកពាក្យសម្ងាត់សម្រាប់ sec-admin ពី 10.209.11.24 port 55571 ssh2 Jan 20 17:04:53 starfire mgd[4186 EVTH-EN: admin' នៅកម្រិតការអនុញ្ញាត 'j-administrator' ខែមករា 20 17:04:53 starfire mgd[4186]: UI_LOGIN_EVENT: អ្នកប្រើប្រាស់ 'sec-admin' login, class 'jadministrator' [4186], ssh-connection '10.209.11.24 55571 .10.209.14.92 22', របៀបអតិថិជន 'cli'
បណ្តាញកំណត់រចនាសម្ព័ន្ធសុទ្ធ
host@linux]$ ssh syslog-mon@starfire -s netconf នេះគឺជាឧបករណ៍សាកល្បង NDcPP

urn:ietf:params:xml:ns:netconf:base:1.0 urn:ietf:params:xml:ns:netconf:capability:candidate:1.0 urn:ietf:params:xml:ns:netconf:capability:confirmed-commit:1.0 urn:ietf:params:xml:ns:netconf:capability:validate:1.0 urn:ietf:params:xml:ns:netconf:capability:url៖ 1.0?protocol=http,ftp,file</
សមត្ថភាព > http://xml.juniper.net/netconf/junos/1.0 http://xml.juniper.net/dmi/system/1.0

71
]]>]]>
លទ្ធផលខាងក្រោមបង្ហាញថា syslogs មូលដ្ឋាន និង syslogs ពីចម្ងាយដែលបានទទួលគឺស្រដៀងគ្នា។
Local : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងចំណុចប្រទាក់ដែលមិនចាំបាច់ត្រូវពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/ sbin/rdd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, ស្ថានភាព 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UI_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ សេវាចាប់យកលំហូរថាមវន្តកំពុងពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/dfcd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS៖ សម្អាតកូន '/usr/sbin/dfcd', PID 4318, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ដំណើរការប្រព្រឹត្តិកម្មកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងកំហុសនៃការតភ្ជាប់ ពិនិត្យមើលការកំណត់ថ្មី 20 មករា: 17 :09 starfire mgd[30]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/cfmd' ថ្ងៃទី 4186 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: កូនសម្អាត '/usr/sbin/cfmd', PID 4186, status 4319 មករា 0 20:17:09 starfire mgd[30]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ ស្រទាប់ទី 4186 អាសយដ្ឋានទឹកជំនន់ និងដំណើរការសិក្សា ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 2 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_START: ចាប់ផ្តើមកូន'/ usr/sbin/l4186ald' ខែមករា 2 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l4186ald', PID 2, status 4320 Jan 0 20:17:09 starfire mgd[30]: UI_COMMIT_PROGRESS៖ អនុវត្តប្រតិបត្តិការដែលកំពុងដំណើរការ៖ ដំណើរការពិធីការគ្រប់គ្រងស្រទាប់ទី 4186 ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 2 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_START៖ ការចាប់ផ្តើមកូន '/usr/sbin/l4186cpd' មករា 2 20:17:09 starfire 30]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC ថ្ងៃទី 2 ខែមករា ម៉ោង 4321:20:17 starfire l09cp[30]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC បញ្ចប់នៅថ្ងៃទី 2 ខែមករា ម៉ោង 4321:20:17 starfire l09cp[30]: ចាប់ផ្តើម 2X module និង state machines 4321J 802.1 starfire l20cp[17]៖ អាន acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UIGR_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការ Multicast Snooping ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/mcsnoopd' ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_STAT ការសម្អាតកូន '/usr/sbin/mcsnoopd', PID 4325, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ commit wrapup…

72
ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្តេជ្ញាប្រតិបត្តិការដែលកំពុងដំណើរការ៖ កំពុងធ្វើឱ្យសកម្ម '/var/etc/ntp.conf' ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ : start ffp activate Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_START: starting child '/usr/sbin/ffp' Jan 20 17:09:30 starfire ffp[4326]: “dynamic-profiles”: គ្មានការផ្លាស់ប្តូរទៅ profileស………………………………
ពីចម្ងាយ : an 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការប្រព្រឹត្តកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងចំណុចប្រទាក់ដែលលែងត្រូវការតទៅទៀត ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើម/កូន '/r us sbin/rdd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/rdd', PID 4317, ស្ថានភាព 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UI_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ សេវាចាប់យកលំហូរថាមវន្តកំពុងពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ការចាប់ផ្តើមកូន '/usr/sbin/dfcd' មករា 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS៖ សម្អាតកូន '/usr/sbin/dfcd', PID 4318, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS៖ ដំណើរការប្រព្រឹត្តិកម្មកំពុងដំណើរការ៖ ដំណើរការគ្រប់គ្រងកំហុសនៃការតភ្ជាប់ ពិនិត្យមើលការកំណត់ថ្មី 20 មករា: 17 :09 starfire mgd[30]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/cfmd' ថ្ងៃទី 4186 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: កូនសម្អាត '/usr/sbin/cfmd', PID 4186, status 4319 មករា 0 20:17:09 starfire mgd[30]: UI_COMMIT_PROGRESS៖ ប្រតិបត្តិការកំពុងដំណើរការ៖ ស្រទាប់ទី 4186 អាសយដ្ឋានទឹកជំនន់ និងដំណើរការសិក្សា ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 2 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_START: ចាប់ផ្តើមកូន'/ usr/sbin/l4186ald' ខែមករា 2 20:17:09 starfire mgd[30]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l4186ald', PID 2, status 4320 Jan 0 20:17:09 starfire mgd[30]: UI_COMMIT_PROGRESS៖ អនុវត្តប្រតិបត្តិការដែលកំពុងដំណើរការ៖ ដំណើរការពិធីការគ្រប់គ្រងស្រទាប់ទី 4186 ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 2 ខែមករា ម៉ោង 20:17:09 starfire mgd[30]: UI_CHILD_START៖ ការចាប់ផ្តើមកូន '/usr/sbin/l4186cpd' មករា 2 20:17:09 starfire 30]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC ថ្ងៃទី 2 ខែមករា ម៉ោង 4321:20:17 starfire l09cp[30]: ការចាប់ផ្តើមម៉ាស៊ីនរដ្ឋ PNAC បញ្ចប់នៅថ្ងៃទី 2 ខែមករា ម៉ោង 4321:20:17 starfire l09cp[30]: ចាប់ផ្តើម 2X module និង state machines 4321J 802.1 starfire l20cp[17]៖ អាន acess profile () config Jan 20 17:09:30 starfire mgd[4186]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/l2cpd', PID 4321, status 0 Jan 20 ម៉ោង 17:09:30 starfire mgd[4186]: UIGR_COMMIT: ប្រតិបត្តិការកំពុងដំណើរការ៖ ដំណើរការ Multicast Snooping ពិនិត្យការកំណត់រចនាសម្ព័ន្ធថ្មី ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/usr/sbin/mcsnoopd' ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_STAT សម្អាតកូន '/usr/sbin/mcsnoopd', PID

73
4325, ស្ថានភាព 0 មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការកំពុងដំណើរការ៖ commit wrapup… Jan 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: សកម្មភាពប្រព្រឹត្តិកម្មនៅក្នុងដំណើរការ៖ var/etc/ntp.conf' មករា 20 17:09:30 starfire mgd[4186]: UI_COMMIT_PROGRESS: ប្រតិបត្តិការប្រព្រឹត្តិក្នុងដំណើរការ៖ ចាប់ផ្តើម ffp ធ្វើឱ្យសកម្ម ថ្ងៃទី 20 ខែមករា ម៉ោង 17:09:30 starfire mgd[4186]: UI_CHILD_START: ចាប់ផ្តើមកូន '/ usr/sbin/ffp' ខែមករា 20 17:09:30 starfire ffp[4326]: “dynamic-profiles”: គ្មានការផ្លាស់ប្តូរទៅ profileស……………
បញ្ជូនបន្តកំណត់ហេតុទៅម៉ាស៊ីនមេ Syslog ខាងក្រៅ
នៅពេលដែលឧបករណ៍ដែលដំណើរការ Junos OS ត្រូវបានតំឡើងសម្រាប់ម៉ាស៊ីនមេ syslog ខាងក្រៅ TOE បញ្ជូនបន្តច្បាប់ចម្លងនៃកំណត់ហេតុមូលដ្ឋានទៅកាន់ម៉ាស៊ីនមេ syslog ខាងក្រៅ ហើយរក្សាទុកច្បាប់ចម្លងមូលដ្ឋាននៃកំណត់ហេតុទាំងអស់ នៅពេលដែល TOE ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងរបៀបកំណត់ហេតុព្រឹត្តិការណ៍។ នៅក្នុងរបៀបកំណត់ហេតុស្ទ្រីម កំណត់ហេតុទាំងអស់លើកលែងតែកំណត់ហេតុចរាចរណ៍ត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាន ហើយអាចត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមេ syslog ខាងក្រៅ ចំណែកឯកំណត់ហេតុចរាចរណ៍អាចត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមេ syslog ខាងក្រៅប៉ុណ្ណោះ។ ការតភ្ជាប់រវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេ syslog ត្រូវបានបង្កើតឡើងដោយផ្អែកលើព្រឹត្តិការណ៍មួយ អាស្រ័យលើការកំណត់ជាមុននៃប្រភេទកំណត់ហេតុដែលត្រូវបានបញ្ជូនបន្តពីមូលដ្ឋានទៅខាងក្រៅ។ នៅពេលដែលលក្ខខណ្ឌដែលបានកំណត់ត្រូវបានបំពេញ ឧបករណ៍នឹងផ្ញើកំណត់ហេតុមូលដ្ឋានទៅកាន់ម៉ាស៊ីនមេ syslog ខាងក្រៅ។
ឯកសារពាក់ព័ន្ធ សample Syslog Server Configuration on a Linux System | ៦៦

7 ជំពូក
ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្ម
ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ | ៧៥ សample កូដសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ | ៧៦

75
ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ
នៅក្នុងផ្នែកនេះ ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មសម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200 និង SRX4600 | ៧៥
ផ្នែកខាងក្រោមពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។
ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មសម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200 និង SRX4600
ដើម្បីកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មសម្រាប់ឧបករណ៍ SRX1500, SRX4100, SRX4200, SRX4600៖ 1. បញ្ជាក់ចំនួននៃ files នឹងត្រូវបានទុកក្នុងប័ណ្ណសារនៅក្នុងកន្លែងកត់ត្រាប្រព័ន្ធ។
[កែសម្រួលប្រព័ន្ធ syslog] root@host#set archive files 2 2. បញ្ជាក់ file ក្នុងការកត់ត្រាទិន្នន័យ។
[កែសម្រួលប្រព័ន្ធ syslog] root@host#set file syslog ណាមួយ 3. បញ្ជាក់ទំហំរបស់ files ដែលត្រូវទុកក្នុងប័ណ្ណសារ។
[កែសម្រួលប្រព័ន្ធ syslog] root@host#set file ទំហំប័ណ្ណសារ syslog 10000000

76
4. កត់ត្រាសារប្រព័ន្ធក្នុងទម្រង់រចនាសម្ព័ន្ធ។
[កែសម្រួលប្រព័ន្ធ syslog] root@host#set file syslog structured-data 5. កំណត់រចនាសម្ព័ន្ធព្រឹត្តិការណ៍កំណត់ហេតុសុវត្ថិភាពនៅក្នុងសវនកម្មកំណត់ហេតុសវនកម្ម។
[កែប្រែ] root@host#set security log cache 6. បញ្ជាក់ពីរបៀបដំណើរការ និងនាំចេញកំណត់ហេតុសុវត្ថិភាព។
[កែប្រែ] root@host#set security log mode event
ឯកសារពាក់ព័ន្ធ សample កូដសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ | ៧៦
Sample សវនកម្មកូដនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ
នេះ សample កូដធ្វើសវនកម្មលើការផ្លាស់ប្តូរទាំងអស់ចំពោះទិន្នន័យសម្ងាត់នៃការកំណត់រចនាសម្ព័ន្ធ ហើយផ្ញើកំណត់ហេតុទៅ a file ឈ្មោះ syslog:
[កែសម្រួលប្រព័ន្ធ] syslog {
file syslog (ព័ត៌មានការអនុញ្ញាត; ការផ្លាស់ប្តូរកំណត់ហេតុ; ព័ត៌មានអន្តរកម្ម - ពាក្យបញ្ជា;
} }

77
នេះ សample កូដពង្រីកវិសាលភាពនៃសវនកម្មអប្បបរមាដើម្បីធ្វើសវនកម្មការផ្លាស់ប្តូរទាំងអស់ចំពោះការកំណត់រចនាសម្ព័ន្ធ មិនត្រឹមតែទិន្នន័យសម្ងាត់ប៉ុណ្ណោះទេ ហើយផ្ញើកំណត់ហេតុទៅកាន់ file ឈ្មោះ syslog:
[កែសម្រួលប្រព័ន្ធ] syslog {
file syslog { ណាមួយ; ព័ត៌មានការអនុញ្ញាត; ការផ្លាស់ប្តូរ - កំណត់ហេតុណាមួយ; ព័ត៌មានអន្តរកម្ម - ពាក្យបញ្ជា; ព័ត៌មានខឺណែល; ព័ត៌មាន pfe;
} }
Example: ការកត់ត្រាប្រព័ន្ធនៃការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ
អតីតample បង្ហាញជាample ការកំណត់រចនាសម្ព័ន្ធ និងធ្វើការផ្លាស់ប្តូរអ្នកប្រើប្រាស់ និងទិន្នន័យសម្ងាត់។ បន្ទាប់មកវាបង្ហាញព័ត៌មានដែលបានផ្ញើទៅម៉ាស៊ីនមេសវនកម្ម នៅពេលដែលទិន្នន័យសម្ងាត់ត្រូវបានបន្ថែមទៅការកំណត់រចនាសម្ព័ន្ធដើម និងបានប្តេជ្ញាចិត្តជាមួយនឹងពាក្យបញ្ជាផ្ទុក។
[កែប្រែប្រព័ន្ធ] ទីតាំង {
លេខកូដប្រទេសអាមេរិក; អគារ B1; } … ចូល { សារ “ការប្រើប្រាស់រ៉ោតទ័រនេះ ហាមប្រាមយ៉ាងតឹងរ៉ឹង!”;
អ្នកគ្រប់គ្រងអ្នកប្រើប្រាស់ { uid 2000; ថ្នាក់អ្នកប្រើជាន់ខ្ពស់;
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ { ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប "$ ABC123"; # ទិន្នន័យសម្ងាត់
} } ពាក្យសម្ងាត់ {
ទ្រង់ទ្រាយ md5; } } radius-server 192.0.2.15 {

សម្ងាត់ “$ABC123” # SECRET-DATA } សេវាកម្ម {
ssh; } syslog {
អ្នកប្រើប្រាស់ *{ គ្រាអាសន្នណាមួយ;
} file syslog {
ការជូនដំណឹងណាមួយ; ព័ត៌មានការអនុញ្ញាត; } file ពាក្យបញ្ជាអន្តរកម្ម {អន្តរកម្ម-បញ្ជាណាមួយ; } } ……
ការកំណត់រចនាសម្ព័ន្ធថ្មីផ្លាស់ប្តូរសេចក្តីថ្លែងការណ៍កំណត់រចនាសម្ព័ន្ធទិន្នន័យសម្ងាត់ និងបន្ថែមអ្នកប្រើប្រាស់ថ្មី។

user@host# បង្ហាញ | ប្រៀបធៀប

[កែសម្រួលការចូលប្រព័ន្ធការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់អ្នកប្រើគ្រប់គ្រង]

ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”; # ទិន្នន័យសម្ងាត់

+ ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”; # ទិន្នន័យសម្ងាត់

[កែប្រែការចូលប្រព័ន្ធ]

+ អ្នកគ្រប់គ្រងអ្នកប្រើប្រាស់ 2 {

uid 2001;

ប្រតិបត្តិករថ្នាក់;

ការផ្ទៀងផ្ទាត់ {

ពាក្យសម្ងាត់ដែលបានអ៊ិនគ្រីប “$ABC123”;

# ទិន្នន័យសម្ងាត់

}

+ }

[កែប្រែប្រព័ន្ធ radius-server 192.0.2.15]

សម្ងាត់ “$ABC123”; # ទិន្នន័យសម្ងាត់

+ សម្ងាត់ “$ABC123”; # ទិន្នន័យសម្ងាត់

79
ឯកសារដែលទាក់ទង ការកំណត់រចនាសម្ព័ន្ធជម្រើសកំណត់ហេតុសវនកម្មក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ

ការកត់ត្រាព្រឹត្តិការណ៍view

ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃតម្រូវឱ្យធ្វើសវនកម្មនៃការផ្លាស់ប្តូរការកំណត់តាមរយៈកំណត់ហេតុប្រព័ន្ធ។ លើសពីនេះ Junos OS អាច៖ · ផ្ញើការឆ្លើយតបដោយស្វ័យប្រវត្តិទៅព្រឹត្តិការណ៍សវនកម្ម (ការបង្កើតធាតុ syslog) ។ · អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាតពិនិត្យមើលកំណត់ហេតុសវនកម្ម។ ·ផ្ញើសវនកម្ម files ទៅម៉ាស៊ីនមេខាងក្រៅ។ · អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងដែលមានការអនុញ្ញាត ត្រឡប់ប្រព័ន្ធទៅស្ថានភាពដែលគេស្គាល់។ ការកត់ត្រាសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃត្រូវតែចាប់យកព្រឹត្តិការណ៍។ ព្រឹត្តិការណ៍នៃការកាប់ឈើមានរាយខាងក្រោម៖ តារាងទី 4 នៅទំព័រ 81 បង្ហាញ sample សម្រាប់ការធ្វើសវនកម្ម syslog សម្រាប់ NDcPPv2៖ តារាងទី 4៖ ព្រឹត្តិការណ៍សវនកម្ម

តម្រូវការ

ព្រឹត្តិការណ៍សវនកម្ម

មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម

FAU_GEN.1

គ្មាន

FAU_GEN.2

គ្មាន

FAU_STG_EXT.1

គ្មាន

FAU_STG.1

គ្មាន

FCS_CKM.1

គ្មាន

FCS_CKM.2

គ្មាន

FCS_CKM.4

គ្មាន

FCS_COP.1/DataEncryption

គ្មាន

តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)

តម្រូវការ

ព្រឹត្តិការណ៍សវនកម្ម

មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម

FCS_COP.1/SigGen

គ្មាន

FCS_COP.1/Hash

គ្មាន

FCS_COP.1/KeyedHash

គ្មាន

FCS_RBG_EXT.1

គ្មាន

FDP_RIP.២

គ្មាន

FIA_AFL.1

ដែនកំណត់ការប៉ុនប៉ងចូលដែលមិនជោគជ័យគឺជាប្រភពដើមនៃការប៉ុនប៉ង (ឧទាហរណ៍ IP

បានជួបឬលើស។

អាសយដ្ឋាន)។

FIA_PMG_EXT.1

គ្មាន

FIA_UIA_EXT.1

រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។

បានផ្តល់អត្តសញ្ញាណអ្នកប្រើប្រាស់ ប្រភពដើមនៃការប៉ុនប៉ង (ឧ. អាសយដ្ឋាន IP)។

FIA_UAU_EXT.2

រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។

ប្រភពដើមនៃការប៉ុនប៉ង (ឧទាហរណ៍អាសយដ្ឋាន IP) ។

FIA_UAU.7

គ្មាន

FMT_MOF.1/ធ្វើបច្ចុប្បន្នភាពដោយដៃ

ការប៉ុនប៉ងណាមួយដើម្បីចាប់ផ្តើមការធ្វើបច្ចុប្បន្នភាពដោយដៃ។

គ្មាន

FMT_MTD.1/CoreData

សកម្មភាពគ្រប់គ្រងទាំងអស់នៃទិន្នន័យ TSF

គ្មាន

FMT_SMF.1

គ្មាន

FMT_SMR.2

គ្មាន

តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)

តម្រូវការ

ព្រឹត្តិការណ៍សវនកម្ម

មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម

FPT_SKP_EXT.1

គ្មាន

FPT_APW_EXT.1

គ្មាន

FPT_TST_EXT.1

គ្មាន

FPT_TUD_EXT.1

ការចាប់ផ្តើមនៃការធ្វើឱ្យទាន់សម័យ; លទ្ធផលនៃការព្យាយាមធ្វើបច្ចុប្បន្នភាព (ជោគជ័យ ឬបរាជ័យ)

គ្មាន

FPT_STM.1

ការផ្លាស់ប្តូរមិនឈប់ឈរចំពោះពេលវេលា ទាំងអ្នកគ្រប់គ្រងបានធ្វើសកម្មភាព ឬផ្លាស់ប្តូរតាមរយៈដំណើរការស្វ័យប្រវត្តិ។

សម្រាប់ការផ្លាស់ប្តូរដែលមិនបន្តបន្ទាប់គ្នាទៅនឹងពេលវេលា៖ តម្លៃចាស់ និងថ្មីសម្រាប់ពេលវេលា។ ប្រភពដើមនៃការព្យាយាមផ្លាស់ប្តូរពេលវេលាសម្រាប់ភាពជោគជ័យ និងបរាជ័យ (ដូចជាអាសយដ្ឋាន IP)។

FTA_SSL_EXT.1

ការបញ្ចប់វគ្គអន្តរកម្មក្នុងតំបន់ដោយយន្តការចាក់សោសម័យ។

គ្មាន

FTA_SSL.៣

ការបិទវគ្គពីចម្ងាយដោយយន្តការចាក់សោសម័យ។

គ្មាន

FTA_SSL.៣

ការបញ្ចប់វគ្គអន្តរកម្ម។

គ្មាន

FTA_TAB.1

គ្មាន

FCS_SSHS_EXT.1

ការបរាជ័យក្នុងការបង្កើតវគ្គ SSH ហេតុផលសម្រាប់ការបរាជ័យ

FTP_ITC.1

ការចាប់ផ្តើមនៃឆានែលដែលគួរឱ្យទុកចិត្ត។ ការបញ្ចប់ឆានែលដែលទុកចិត្ត។ ការបរាជ័យនៃមុខងារឆានែលដែលទុកចិត្ត។

ការកំណត់អត្តសញ្ញាណអ្នកផ្តួចផ្តើម និងគោលដៅនៃការប៉ុនប៉ងបង្កើតប៉ុស្តិ៍ដែលគួរឱ្យទុកចិត្តដែលបរាជ័យ។

តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)

តម្រូវការ

ព្រឹត្តិការណ៍សវនកម្ម

មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម

FTP_TRP.1/អ្នកគ្រប់គ្រង

ការចាប់ផ្តើមនៃផ្លូវដែលគួរឱ្យទុកចិត្ត។ ការបញ្ចប់ផ្លូវដែលអាចទុកចិត្តបាន។ ការបរាជ័យនៃមុខងារផ្លូវដែលទុកចិត្ត។

គ្មាន

FCS_SSHS_EXT.1

ការបរាជ័យក្នុងការបង្កើតវគ្គ SSH ហេតុផលសម្រាប់ការបរាជ័យ

FIA_X509_EXT.1/Rev

ការព្យាយាមមិនជោគជ័យក្នុងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ

ហេតុផលសម្រាប់ការបរាជ័យ

FIA_X509_EXT.2

គ្មាន

FIA_X509_EXT.3

គ្មាន

FMT_MOF.1/មុខងារ

ការកែប្រែឥរិយាបថនៃការបញ្ជូនទិន្នន័យសវនកម្មទៅកាន់អង្គភាព IT ខាងក្រៅ ការគ្រប់គ្រងទិន្នន័យសវនកម្ម មុខងារសវនកម្ម នៅពេលដែលទំហំផ្ទុកសវនកម្មមូលដ្ឋានពេញ។

គ្មាន

FMT_MOF.1/សេវាកម្ម

ការចាប់ផ្តើមនិងបញ្ឈប់សេវាកម្ម។ គ្មាន

FMT_MTD.1/CryptoKeys

ការគ្រប់គ្រងសោរគ្រីប។ គ្មាន

FFW_RUL_EXT.1

ការអនុវត្តច្បាប់ដែលបានកំណត់រចនាសម្ព័ន្ធជាមួយប្រតិបត្តិការ 'កំណត់ហេតុ'

អាសយដ្ឋានប្រភព និងទិសដៅ។ ច្រកប្រភពនិងទិសដៅ។ ចំណុចប្រទាក់ TOE ពិធីការស្រទាប់ដឹកជញ្ជូន។

ការចង្អុលបង្ហាញអំពីកញ្ចប់ព័ត៌មានបានធ្លាក់ចុះដោយសារតែចរាចរណ៍បណ្តាញច្រើនពេក

ចំណុចប្រទាក់ TOE ដែលមិនអាចដំណើរការកញ្ចប់ព័ត៌មាន។ ការកំណត់អត្តសញ្ញាណនៃច្បាប់ដែលបណ្តាលឱ្យធ្លាក់កញ្ចប់ព័ត៌មាន។

តារាងទី ៤៖ ព្រឹត្តិការណ៍សវនកម្ម (ត)

តម្រូវការ

ព្រឹត្តិការណ៍សវនកម្ម

មាតិកានៃកំណត់ត្រាសវនកម្មបន្ថែម

FFW_RUL_EXT.2

គ្មាន

FCS_IPSEC_EXT.1

វគ្គបង្កើតជាមួយមិត្តភក្ដិ

មាតិកាកញ្ចប់ព័ត៌មានទាំងមូលនៃកញ្ចប់ព័ត៌មានដែលបានបញ្ជូន/ទទួលអំឡុងពេលបង្កើតវគ្គ។

FIA_X509_EXT.1

ការបង្កើតសម័យជាមួយ CA

FPF_RUL_EXT.1

ការចង្អុលបង្ហាញអំពីកញ្ចប់ព័ត៌មានបានធ្លាក់ចុះដោយសារតែចរាចរណ៍បណ្តាញច្រើនពេក។

ចំណុចប្រទាក់ TOE ដែលមិនអាចដំណើរការកញ្ចប់ព័ត៌មាន។

លើសពីនេះ Juniper Networks ណែនាំថាការកត់ត្រាផងដែរ៖ · ចាប់យកការផ្លាស់ប្តូរទាំងអស់ចំពោះការកំណត់។ · រក្សាទុកព័ត៌មានកត់ត្រាពីចម្ងាយ។

ឯកសារពាក់ព័ន្ធ បកស្រាយសារព្រឹត្តិការណ៍ | ៨៦

ការបកស្រាយសារព្រឹត្តិការណ៍

លទ្ធផលខាងក្រោមបង្ហាញជាampសារព្រឹត្តិការណ៍។

ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 17:43:28 រ៉ោតទ័រ1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [ប្រព័ន្ធ radiusserver 1.2.3.4 secret]

តារាងទី 5 នៅទំព័រ 86 ពិពណ៌នាអំពីវាលសម្រាប់សារព្រឹត្តិការណ៍មួយ។ ប្រសិនបើឧបករណ៍ប្រើប្រាស់ការកត់ត្រាប្រព័ន្ធមិនអាចកំណត់តម្លៃនៅក្នុងវាលជាក់លាក់មួយ សញ្ញាសម្គាល់ (–) លេចឡើងជំនួសវិញ។
តារាងទី 5៖ វាលនៅក្នុងសារព្រឹត្តិការណ៍

វាល
ដងបំផុតamp

ការពិពណ៌នា

Examples

ពេលវេលាដែលសារត្រូវបានបង្កើត នៅក្នុងការតំណាងមួយក្នុងចំណោមតំណាងពីរ៖
· MMM-DD HH:MM:SS.MS+/-HH:MM ជាខែ ថ្ងៃ ម៉ោង
នាទី វិនាទី និងមីលីវិនាទី ម៉ោងក្នុងស្រុក។ ម៉ោង និងនាទីដែលធ្វើតាមសញ្ញាបូក (+) ឬសញ្ញាដក (-) គឺជាអុហ្វសិតនៃតំបន់ម៉ោងក្នុងស្រុកពី Coordinated Universal Time (UTC)។

ថ្ងៃទី 24 ខែកក្កដា 17:43:28 គឺជាពេលវេលាបំផុត។amp បានបង្ហាញជាម៉ោងក្នុងស្រុកនៅសហរដ្ឋអាមេរិក។ 2012-07-24T09:17:15.719Z គឺ 9:17 ព្រឹក UTC នៅថ្ងៃទី 24 ខែកក្កដា ឆ្នាំ 2012។

· YYYY-MM-DDTHH:MM:SS.MSZ គឺជាឆ្នាំ ខែ ថ្ងៃ ម៉ោង
នាទី វិនាទី និងមីលីវិនាទីក្នុង UTC ។

ឈ្មោះម៉ាស៊ីន

ឈ្មោះរបស់ម៉ាស៊ីនដែលបង្កើតសារដំបូង។ រ៉ោតទ័រ ១

ដំណើរការ

ឈ្មោះនៃដំណើរការ Junos OS ដែលបង្កើតសារ។

លេខសម្គាល់ដំណើរការ

UNIX process ID (PID) នៃដំណើរការ Junos OS ដែលបង្កើតសារ។

TAG

សារកំណត់ហេតុប្រព័ន្ធ Junos OS tagដែលពិសេស

កំណត់អត្តសញ្ញាណសារ។

mgd 4153 UI_DBASE_LOGOUT_EVENT

តារាងទី 5៖ វាលនៅក្នុងសារព្រឹត្តិការណ៍ (ត)

វាល

ការពិពណ៌នា

ឈ្មោះអ្នកប្រើប្រាស់

ឈ្មោះអ្នកប្រើរបស់អ្នកប្រើដែលចាប់ផ្តើមព្រឹត្តិការណ៍។

message-text ការពិពណ៌នាជាភាសាអង់គ្លេសនៃព្រឹត្តិការណ៍។

87
Examples "admin" set: [ប្រព័ន្ធកាំជ្រួច-server 1.2.3.4 secret]

ការកត់ត្រាការផ្លាស់ប្តូរទៅជាទិន្នន័យសម្ងាត់
ខាងក្រោមនេះជាអតីតamples នៃកំណត់ហេតុសវនកម្មនៃព្រឹត្តិការណ៍ដែលផ្លាស់ប្តូរទិន្នន័យសម្ងាត់។
ផ្ទុកបញ្ចូលគ្នា
នៅពេលដែលពាក្យបញ្ជាផ្ទុកបញ្ចូលគ្នាត្រូវបានចេញដើម្បីបញ្ចូលមាតិកានៃអតីតample ការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅដែលមានខ្លឹមសារនៃការកំណត់រចនាសម្ព័ន្ធដើម កំណត់ហេតុសវនកម្មខាងក្រោមត្រូវបានបង្កើតឡើងទាក់ទងនឹងទិន្នន័យសម្ងាត់៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 17:43:28 រ៉ោតទ័រ1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [system radiusserver 1.2.3.4 secret] Jul 24 17:43:28 router1 mgd[4163]: [Usermin_CFG_AUD]: UI_min_CFG_SECRET ចូល user admin authentication encrypted-password] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system login user admin2 authentication encrypted-password] Load Replace
នៅពេលដែលពាក្យបញ្ជាជំនួសបន្ទុកត្រូវបានចេញដើម្បីជំនួសមាតិការបស់អតីតample ការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅដែលមានខ្លឹមសារនៃការកំណត់រចនាសម្ព័ន្ធដើម កំណត់ហេតុសវនកម្មខាងក្រោមត្រូវបានបង្កើតឡើងទាក់ទងនឹងទិន្នន័យសម្ងាត់៖
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ 1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' ជំនួស៖ [ប្រព័ន្ធកាំជ្រួច-សឺវើ 1.2.3.4 សម្ងាត់] កក្កដា 24 18:29:09 រ៉ោតទ័រ1 mgd[4163]: UIDmin'ระบบ: CFG_AUD' ចូលគណនីអ្នកប្រើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអ្នកគ្រប់គ្រងដែលបានអ៊ិនគ្រីបពាក្យសម្ងាត់]

88
ថ្ងៃទី 24 ខែកក្កដា ម៉ោង 18:29:09 រ៉ោតទ័រ1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'admin' ជំនួស៖ [ការចូលប្រព័ន្ធ អ្នកប្រើប្រាស់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] ផ្ទុកលើស
នៅពេលដែលពាក្យបញ្ជា override ផ្ទុកត្រូវបានចេញដើម្បីបដិសេធមាតិការបស់ example ការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅដែលមានខ្លឹមសារនៃការកំណត់រចនាសម្ព័ន្ធដើម កំណត់ហេតុសវនកម្មខាងក្រោមត្រូវបានបង្កើតឡើងទាក់ទងនឹងទិន្នន័យសម្ងាត់៖
ថ្ងៃទី 25 ខែកក្កដា ម៉ោង 14:25:51 រ៉ោតទ័រ1 mgd[4153]: UI_LOAD_EVENT: អ្នកប្រើប្រាស់ 'admin' កំពុងអនុវត្ត 'ការផ្ទុកលើសចំណុះ' ថ្ងៃទី 25 ខែកក្កដា ម៉ោង 14:25:51 router1 mgd[4153]: UI_CFG_AUDIT_OTHER៖ អ្នកប្រើប្រាស់ 'admin.2CC' override: 25:14:25 router51 mgd[1]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [system radiusserver 4153 secret] Jul 1.2.3.4 25:14:25 router51 mgd[1]: UI_CFG_AUDET in User'CRG_AUDIT:admin'system:SEad' ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] ខែកក្កដា 4153 25:14:25 router51 mgd[1]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [ការចូលប្រព័ន្ធ user admin ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប] Load Update នៅពេលដែលពាក្យបញ្ជាអាប់ដេតផ្ទុកត្រូវបានចេញដើម្បីធ្វើបច្ចុប្បន្នភាពមាតិការបស់ example ការកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅដែលមានខ្លឹមសារនៃការកំណត់រចនាសម្ព័ន្ធដើម កំណត់ហេតុសវនកម្មខាងក្រោមត្រូវបានបង្កើតឡើងទាក់ទងនឹងទិន្នន័យសម្ងាត់៖
ថ្ងៃទី 25 ខែកក្កដា ម៉ោង 14:31:03 រ៉ោតទ័រ1 mgd[4153]: UI_LOAD_EVENT: អ្នកប្រើប្រាស់ 'admin' កំពុងដំណើរការ 'ការអាប់ដេតផ្ទុក' ថ្ងៃទី 25 ខែកក្កដា ម៉ោង 14:31:03 រ៉ោតទ័រ1 mgd[4153]: UI_CFG_AUDIT_OTHER៖ អ្នកប្រើប្រាស់ 'admin' អាប់ដេត៖ អាប់ដេត 'admin' Jul2 CC_f 25:14:31 router03 mgd[1]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [system radiusserver 4153 secret] Jul 1.2.3.4 25:14:31 router03 mgd[1]: [ UI_CFG_AUDIT'adminus' User: [RadioActiver] 4153 សម្ងាត់] “” ថ្ងៃទី 1.2.3.4 ខែកក្កដា ម៉ោង 25:14:31 រ៉ោតទ័រ03 mgd[1]: UI_CFG_AUDIT_SET_SECRET: អ្នកប្រើប្រាស់ 'admin' set: [ការចូលប្រព័ន្ធ user admin authentication encrypted-password] Jul 4153 25:14:31UID03mg_OTHER router: 'admin' ធ្វើឱ្យអសកម្ម៖ [ការចូលប្រព័ន្ធរបស់អ្នកប្រើ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃការគ្រប់គ្រងដែលបានអ៊ិនគ្រីប-ពាក្យសម្ងាត់] “” ថ្ងៃទី 1 ខែកក្កដា ម៉ោង 4153:25:14 រ៉ោតទ័រ31 mgd[03]: UI_CFG_AUDIT_SET_SECRET៖ អ្នកប្រើប្រាស់ 'អ្នកគ្រប់គ្រង' កំណត់៖ [ការចូលប្រើប្រព័ន្ធសាកល្បងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប-1 រ៉ោតទ័រ] Jul4153 mgd[25]: UI_CFG_AUDIT_OTHER៖ អ្នកប្រើប្រាស់ 'admin' ធ្វើឱ្យអសកម្ម៖ [ការចូលប្រព័ន្ធរបស់អ្នកប្រើសាកល្បងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានអ៊ិនគ្រីប] “”
សម្រាប់ព័ត៌មានបន្ថែមអំពីការកំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រ និងការគ្រប់គ្រងកំណត់ហេតុ files សូមមើល Junos OS System Log Messages Reference។

89
ឯកសារពាក់ព័ន្ធ បកស្រាយសារព្រឹត្តិការណ៍ | ៨៦

ចូល និងចេញពីព្រឹត្តិការណ៍ដោយប្រើ SSH

សារកំណត់ហេតុប្រព័ន្ធត្រូវបានបង្កើតនៅពេលដែលអ្នកប្រើបានជោគជ័យ ឬព្យាយាមចូលប្រើ SSH មិនបានជោគជ័យ។ ព្រឹត្តិការណ៍ចេញពីគណនីក៏ត្រូវបានកត់ត្រាផងដែរ។ សម្រាប់អតីតampដូច្នេះ កំណត់ហេតុខាងក្រោមគឺជាលទ្ធផលនៃការព្យាយាមផ្ទៀងផ្ទាត់ដែលបរាជ័យចំនួនពីរ បន្ទាប់មកបានជោគជ័យមួយ ហើយចុងក្រោយគឺការចាកចេញ៖

ខែធ្នូ 20 23:17:35 ធ្នូ 20 23:17:42 ធ្នូ 20 23:17:53 ធ្នូ 20 23:17:53
ខែធ្នូ 20 23:17:53 ធ្នូ 20 23:17:56 ធ្នូ 20 23:17:56

bilbo sshd[16645]៖ ពាក្យសម្ងាត់បរាជ័យសម្រាប់ op ពី 172.17.58.45 ច្រក 1673 ssh2 bilbo sshd[16645]៖ ពាក្យសម្ងាត់ដែលបរាជ័យសម្រាប់ op ពី 172.17.58.45 ច្រក 1673 ssh2 [លេខសម្ងាត់ op16645] 172.17.58.45 ច្រក 1673 ssh2 bilbo mgd[16648]៖ UI_AUTH_EVENT៖ អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ 'op' នៅកម្រិតអនុញ្ញាត
'j-operator' bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] bilbo mgd[16648]: UI_CMDLINE_READ_LINE: អ្នកប្រើប្រាស់ 'op', command 'quit' 16648 mgd[] ៖ UI_LOGOUT_EVENT៖ អ្នកប្រើប្រាស់ 'op' ចេញ

ឯកសារពាក់ព័ន្ធ បកស្រាយសារព្រឹត្តិការណ៍ | ៨៦

ការកត់ត្រាការចាប់ផ្តើមសវនកម្ម

ព័ត៌មានសវនកម្មដែលបានកត់ត្រារួមមានការចាប់ផ្តើមនៃ Junos OS ។ នេះកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ចាប់ផ្តើមនៃប្រព័ន្ធសវនកម្ម ដែលមិនអាចត្រូវបានបិទ ឬបើកដំណើរការដោយឯករាជ្យ។ សម្រាប់អតីតample ប្រសិនបើ Junos OS ត្រូវបានចាប់ផ្តើមឡើងវិញ កំណត់ហេតុសវនកម្មមានព័ត៌មានខាងក្រោម៖

ខែធ្នូ 20 23:17:35 ធ្នូ 20 23:17:35 ធ្នូ 20 23:17:35 status=1

bilbo syslogd៖ ចេញនៅលើសញ្ញា 14 bilbo syslogd: ចាប់ផ្តើម bilbo syslogd ឡើងវិញ /kernel: ខែធ្នូ 20 23:17:35 init: syslogd (PID 19128) បានចេញជាមួយ

90
ថ្ងៃទី 20 ខែធ្នូ 23:17:42 bilbo /kernel: ខែធ្នូ 20 23:17:53 init: syslogd (PID 19200) បានចាប់ផ្តើម

9 ជំពូក
កំណត់រចនាសម្ព័ន្ធប៉ុស្តិ៍កត់ត្រាសុវត្ថិភាព
ការបង្កើតប៉ុស្តិ៍កត់ត្រាសុវត្ថិភាព | ៩២

92
ការបង្កើតប៉ុស្តិ៍កត់ត្រាសុវត្ថិភាព
នៅក្នុងផ្នែកនេះ ការកំណត់រចនាសម្ព័ន្ធផ្លូវដែលអាចទុកចិត្តបាន ឬឆានែលរវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយ | ៩៣

ផ្នែកនេះពិពណ៌នាអំពីរបៀបដាក់ឧបករណ៍ក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ ដើម្បីផ្តល់បណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបលើផ្លូវរូងក្រោមដី IPsec VPN រវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយ (ម៉ាស៊ីនមេ syslog) ។

ចំណាំ៖ វិធីសាស្ត្រផ្ទៀងផ្ទាត់ ssh-rsa គឺជាក្បួនដោះស្រាយមួយដែលត្រូវបានអនុញ្ញាតនៅក្នុងរបៀប FIPS ។

តារាងទី 6 នៅលើទំព័រ 92 រាយបញ្ជីក្បួនដោះស្រាយដែលបានគាំទ្រទាំងអស់សម្រាប់ផ្លូវរូងក្រោមដី IPsec VPN ។ តារាងទី 6៖ IPsec VPN Tunnel ដែលគាំទ្រក្បួនដោះស្រាយ
សំណើ IKE ដំណាក់កាលទី 1

វិធីសាស្ត្រផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់ DH Group

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

pre-shared-keys rsa-signatures-2048 ecdsa-signatures-256 ecdsa-signatures-384

sha-256 sha-384

ក្រុម 14 ក្រុម 19 ក្រុម 20 ក្រុម 24

aes-128-cbc aes-128-gcm aes-192-cbc aes-256-cbc aes-256-gcm

សំណើ IPSec ដំណាក់កាលទី 2

ក្បួនដោះស្រាយការផ្ទៀងផ្ទាត់

ក្រុម DH (PFS)

hmac-sha1-96 hmac-sha-256-128

ក្រុម 14 ក្រុម 19 ក្រុម 20 ក្រុម 24

វិធីសាស្រ្តអ៊ិនគ្រីប

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

អេស.ភី

aes-128-cbc

aes-128-gcm

aes-192-cbc

aes-192-gcm

aes-256-cbc

aes-256-gcm

ការកំណត់រចនាសម្ព័ន្ធផ្លូវដែលទុកចិត្ត ឬឆានែលរវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយ
ផ្នែកនេះពិពណ៌នាអំពីព័ត៌មានលម្អិតនៃការកំណត់រចនាសម្ព័ន្ធដែលត្រូវការដើម្បីផ្តល់បណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបរវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយតាមរយៈផ្លូវរូងក្រោមដី IPsec VPN ។
ចំណាំ៖ ម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយគឺជាម៉ាស៊ីនមេ syslog ដែលមានមូលដ្ឋានលើលីនុច ដែល IPsec VPN Tunnel ត្រូវបានបញ្ចប់នៅចំណុចប្រទាក់ខាងក្រៅ Eth1 ។ ទិន្នន័យកំណត់ហេតុដែលបានផ្ទេរពីឧបករណ៍ត្រូវបានផ្ញើទៅកាន់ចំណុចប្រទាក់ការបញ្ចប់ syslog Eth2 និងកម្មវិធី StrongSwan ដើម្បីផ្តល់នូវសមត្ថភាព IPsec VPN ។
តារាងទី 7 នៅលើទំព័រ 94 រាយបញ្ជីព័ត៌មានលម្អិត IPsec VPN tunnel ដែលប្រើក្នុង ex នេះ។ampលេ

តារាងទី 7៖ IPsec VPN Tunnel Information ដំណាក់កាលទី 1 សំណើរ (P1, IKE)

សំណើដំណាក់កាលទី 2 (P2, IPSec)

វិធីសាស្ត្រផ្ទៀងផ្ទាត់អ៊ីយ៉ុង

ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃក្បួនដោះស្រាយអ៊ីយ៉ុង

ក្រុម DH

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃក្បួនដោះស្រាយអ៊ីយ៉ុង

ក្រុម DH (PFS)

វិធីសាស្រ្តអ៊ិនគ្រីប

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

pre-shared- sha-256

ក្រុម 14

aes-128- hmac-

ក្រុម 14

អេស.ភី

សោ

ស៊ីប៊ីស៊ី

sha1-96

aes-128cbc

រូបភាពទី 1 នៅទំព័រ 94 បង្ហាញពីបណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបរវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយ។ ផ្លូវរូងក្រោមដី IPsec ត្រូវបានបង្កើតឡើងរវាងឧបករណ៍ egress interface (Intf-1) និង ចំណុចប្រទាក់ outbound server syslog ពីចម្ងាយ (Eth1)។ បន្ទាប់មកទិន្នន័យត្រូវបានបញ្ជូនបន្តខាងក្នុងនៅលើម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយពីចំណុចប្រទាក់ខាងក្រៅរបស់វា Eth1; នោះគឺចំណុចបញ្ចប់ VPN ទៅ Eth2 ។

រូបភាពទី 1៖ IPsec VPN Tunnel

តារាងទី 8 នៅទំព័រទី 95 ផ្ដល់នូវចំណុចប្រទាក់ និងព័ត៌មានលម្អិតអំពីការកំណត់រចនាសម្ព័ន្ធ IP ដែលប្រើក្នុងឧampលេ

តារាងទី 8៖ ព័ត៌មានលម្អិតអំពីការកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ និង IP សម្រាប់ផ្លូវដែលអាចទុកចិត្តបាន។

ឧបករណ៍ដំណើរការ Junos OS

ម៉ាស៊ីនមេផ្ទុកពីចម្ងាយ

អាសយដ្ឋាន IP៖ ចំណុចប្រទាក់ “Intf-2”៖ GE-0/0/1 អាសយដ្ឋាន IP៖ 198.51.100.2 “Intf-1” ចំណុចប្រទាក់៖ GE-0/0/2 – អាសយដ្ឋាន IP៖ 198.51.100.1 បើកដំណើរការ៖ ការកត់ត្រា Syslog ទៅកាន់ម៉ាស៊ីនមេ syslog ពីចម្ងាយ

អាសយដ្ឋាន IP៖ Eth1: 198.51.100.3 Eth2: 203.0.113.1 Gateway Eth1: 198.51.100.1 ឧបករណ៍៖ SSH និង Strongswan (សម្រាប់ IPsec VPN)

ដើម្បីកំណត់រចនាសម្ព័ន្ធផ្លូវ ឬឆានែលដែលអាចទុកចិត្តបានរវាងឧបករណ៍ដែលដំណើរការ Junos OS និងម៉ាស៊ីនមេផ្ទុកខាងក្រៅពីចម្ងាយ៖
1. បើកការកត់ត្រាស្ទ្រីមសម្រាប់កំណត់ហេតុចរាចរណ៍។
[កែប្រែសុវត្ថិភាព] user@host#set log cache user@host#set log mode event user@host#set log source-address 198.51.100.2 user@host#set log stream STREAM category all user@host#set log stream host STREAM 203.0.113.1

ចំណាំ៖ 192.168.2.1 គឺជាអាសយដ្ឋាន IP នៃចំណុចប្រទាក់ outbound server syslog ដែល IPsec VPN tunnel ត្រូវបានបញ្ចប់ ហើយ 20.20.20.2 គឺជាអាសយដ្ឋាន IP

ឯកសារ/ធនធាន

ឧបករណ៍ណែនាំលក្ខណៈវិនិច្ឆ័យទូទៅ Juniper NETWORKS SRX1500 [pdf] ការណែនាំអ្នកប្រើប្រាស់
ឧបករណ៍មគ្គុទ្ទេសក៍លក្ខណៈវិនិច្ឆ័យទូទៅ SRX1500, SRX1500, ឧបករណ៍ណែនាំលក្ខណៈវិនិច្ឆ័យទូទៅ, ឧបករណ៍មគ្គុទ្ទេសក៍លក្ខណៈវិនិច្ឆ័យ, ឧបករណ៍ណែនាំ

ឯកសារយោង

សៀវភៅណែនាំអ្នកប្រើប្រាស់

ឧបករណ៍ណែនាំលក្ខណៈវិនិច្ឆ័យទូទៅ SRX1500

ព័ត៌មានអំពីផលិតផល

លក្ខណៈបច្ចេកទេស

អំពីការណែនាំនេះ

ជាងview

ការយល់ដឹងអំពីលក្ខណៈវិនិច្ឆ័យទូទៅដែលបានវាយតម្លៃការកំណត់រចនាសម្ព័ន្ធ

ការយល់ដឹងអំពី Junos OS នៅក្នុងរបៀប FIPS នៃប្រតិបត្តិការ

ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងត្រូវបានគាំទ្រ ក្បួនដោះស្រាយគ្រីបតូ

ការកំណត់អត្តសញ្ញាណការដឹកជញ្ជូនផលិតផលប្រកបដោយសុវត្ថិភាព

ការយល់ដឹងអំពីចំណុចប្រទាក់គ្រប់គ្រង

កំណត់រចនាសម្ព័ន្ធតួនាទី និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់

ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ ប្រតិបត្តិការ

ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ ប្រតិបត្តិការ

ការទាញយកកញ្ចប់កម្មវិធីពី Juniper Networks

ការដំឡើងកញ្ចប់កម្មវិធី Junos

ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃ ប្រតិបត្តិការ

កំពុងផ្ទុកកម្មវិធីបង្កប់នៅលើឧបករណ៍

របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS ក្នុងរបៀប FIPS នៃ ប្រតិបត្តិការ

ការកំណត់អត្តសញ្ញាណ និងសិទ្ធិរដ្ឋបាល

ការយល់ដឹងអំពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកដែលមានសិទ្ធិ អ្នកគ្រប់គ្រង

កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អនុញ្ញាត អ្នកគ្រប់គ្រង

ពិធីការពេលវេលាបណ្តាញ

NTP លើសview

ការគាំទ្របណ្តាញពេលវេលាសុវត្ថិភាព (NTS) សម្រាប់ NTP

ម៉ាស៊ីនមេ NTP Time

កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើពេលវេលា NTP និងសេវាកម្មពេលវេលា

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបអតិថិជន

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងស៊ីមេទ្រីសកម្ម របៀប

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការនៅក្នុងការផ្សាយ របៀប

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងរបៀបម៉ាស៊ីនមេ

Example ៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពតែមួយពេលសម្រាប់ Router និង ប្តូរការធ្វើសមកាលកម្មនាឡិកា

ធ្វើសមកាលកម្ម និងសម្របសម្រួលការបែងចែកពេលវេលាដោយប្រើ NTP

សំណួរគេសួរញឹកញាប់

សំណួរ៖ តើឧបករណ៍ SRX អាចប្រើបានជាមួយបណ្តាញ Juniper ផ្សេងទៀតដែរឬទេ? ផលិតផល?

សំណួរ៖ តើខ្ញុំអាចដំឡើងកម្មវិធីបង្កប់នៅលើឧបករណ៍ SRX ដោយគ្មាន រំខានការភ្ជាប់បណ្តាញ?

សំណួរ៖ តើខ្ញុំគួរអនុវត្តសូន្យនៅលើ SRX ញឹកញាប់ប៉ុណ្ណា ឧបករណ៍?

សំណួរ៖ តើខ្ញុំអាចកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេពេលវេលា NTP ច្រើននៅលើ SRX បានទេ? ឧបករណ៍?

សំណួរ៖ តើខ្ញុំអាចដោះស្រាយបញ្ហាការធ្វើសមកាលកម្ម NTP លើ SRX យ៉ាងដូចម្តេច? ឧបករណ៍?

ឯកសារ/ធនធាន

ឯកសារយោង

ទុកមតិយោបល់

បោះបង់ការឆ្លើយតប

ការយល់ដឹងអំពីរបៀប FIPS នៃពាក្យបញ្ជាប្រតិបត្តិការ និងត្រូវបានគាំទ្រ
ក្បួនដោះស្រាយគ្រីបតូ

ការយល់ដឹងអំពីតួនាទី និងសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ការយល់ដឹងអំពីសេវាកម្មសម្រាប់ Junos OS នៅក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ការយល់ដឹងពីសូន្យដើម្បីជម្រះទិន្នន័យប្រព័ន្ធសម្រាប់របៀប FIPS នៃ
ប្រតិបត្តិការ

របៀបបើក និងកំណត់រចនាសម្ព័ន្ធ Junos OS ក្នុងរបៀប FIPS នៃ
ប្រតិបត្តិការ

ការយល់ដឹងអំពីច្បាប់លេខសម្ងាត់ដែលពាក់ព័ន្ធសម្រាប់អ្នកដែលមានសិទ្ធិ
អ្នកគ្រប់គ្រង

កំណត់រចនាសម្ព័ន្ធ Network Device Protection Profile អនុញ្ញាត
អ្នកគ្រប់គ្រង

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការក្នុងស៊ីមេទ្រីសកម្ម
របៀប

កំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ឬប្តូរទៅប្រតិបត្តិការនៅក្នុងការផ្សាយ
របៀប

Example ៖ កំណត់រចនាសម្ព័ន្ធ NTP ជាប្រភពតែមួយពេលសម្រាប់ Router និង
ប្តូរការធ្វើសមកាលកម្មនាឡិកា

សំណួរ៖ តើឧបករណ៍ SRX អាចប្រើបានជាមួយបណ្តាញ Juniper ផ្សេងទៀតដែរឬទេ?
ផលិតផល?

សំណួរ៖ តើខ្ញុំអាចដំឡើងកម្មវិធីបង្កប់នៅលើឧបករណ៍ SRX ដោយគ្មាន
រំខានការភ្ជាប់បណ្តាញ?

សំណួរ៖ តើខ្ញុំគួរអនុវត្តសូន្យនៅលើ SRX ញឹកញាប់ប៉ុណ្ណា
ឧបករណ៍?

សំណួរ៖ តើខ្ញុំអាចកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេពេលវេលា NTP ច្រើននៅលើ SRX បានទេ?
ឧបករណ៍?

សំណួរ៖ តើខ្ញុំអាចដោះស្រាយបញ្ហាការធ្វើសមកាលកម្ម NTP លើ SRX យ៉ាងដូចម្តេច?
ឧបករណ៍?