OptiX OSN 500設(shè)備的網(wǎng)絡(luò)安全管理

 

    本文介紹的是OptiX OSN 500設(shè)備的網(wǎng)絡(luò)安全管理，網(wǎng)管和網(wǎng)元之間，以及網(wǎng)絡(luò)中數(shù)據(jù)的安全傳送，是網(wǎng)管有效管理網(wǎng)元的前提。網(wǎng)管和網(wǎng)元之間的通信支持ACL協(xié)議和SSL協(xié)議。

OptiX OSN 500設(shè)備ACL協(xié)議

   通過設(shè)置ACL（Access Control List）規(guī)則，可以對接收的IP報文進行過濾，從而達到控制網(wǎng)絡(luò)數(shù)據(jù)流量、防范惡意攻擊的目的。

    根據(jù)系統(tǒng)安全程度要求，可以設(shè)置不同的ACL規(guī)則：基本ACL規(guī)則和高級ACL規(guī)則。

    1、基本ACL規(guī)則：對于安全級別要求較低的網(wǎng)元，可以設(shè)置基本ACL規(guī)則，只對IP報文的源地址進行校驗。

    2、高級ACL規(guī)則：對于安全級別要求很高的網(wǎng)元，可以設(shè)置高級ACL規(guī)則，網(wǎng)元會對接收的IP報文進行源宿地址、源宿端口以及協(xié)議類型進行詳細的校驗。

    在高級ACL規(guī)則和基本ACL規(guī)則同時存在的情況下，系統(tǒng)優(yōu)先按照高級ACL規(guī)則進行校驗。

    同時，可以對ACL規(guī)則進行如下操作：

    查詢ACL規(guī)則。

    修改ACL規(guī)則。

    刪除ACL規(guī)則。

OptiX OSN 500設(shè)備SSL協(xié)議

    通過SSL（Security Socket Layer）協(xié)議，可以保證數(shù)據(jù)的完整性和安全性。

    OptiX OSN 500設(shè)備預(yù)置加密的SSL證書，網(wǎng)管可以采用預(yù)置SSL證書與設(shè)備建立安全連接，

    確保用戶通過安全管道訪問網(wǎng)元。在用戶加載了SSL證書后，設(shè)備會切換到用戶證書。

    如果用戶加載的證書是未加密的，設(shè)備會上報“SSL_CERT_NOENC”告警。 

OptiX OSN 500設(shè)備Security FTP

    Security FTP（簡稱SFTP）位于SSH（secure shell）連接層，基于SSH提供的加密和認證等基礎(chǔ)服務(wù)，擴展了對FTP安全性的支持，是一種安全的文件傳輸協(xié)議。

    1、安全性方面，FTP采用明文傳輸，且只支持密碼認證，協(xié)議安全機制薄弱；SFTP采用密文傳輸，除支持密碼認證外，還專門設(shè)計了密鑰認證，密鑰認證能夠提供比密碼認證更高的安全性。

    2、傳輸效率方面，SFTP的采用了加解方式，理論上傳輸效率低于FTP，但由于SFTP特有的協(xié)議優(yōu)化設(shè)計等原因，往往出現(xiàn)SFTP傳輸效率高于FTP的情況。

    3、支持業(yè)務(wù)范圍，例如包加載、數(shù)據(jù)庫上下載、日志文件上載，單文件上下載等。網(wǎng)元只提供SFTP客戶端功能，不能作為SFTP服務(wù)端，同時，SFTP基于TCP連接，要求網(wǎng)元SSH服務(wù)器IP可達，因此SFTP業(yè)務(wù)只能部署在網(wǎng)關(guān)網(wǎng)元上。