OptiX OSN 500設(shè)備的網(wǎng)絡(luò)安全管理

 

    本文介紹的是OptiX OSN 500設(shè)備的網(wǎng)絡(luò)安全管理，網(wǎng)管和網(wǎng)元之間，以及網(wǎng)絡(luò)中數(shù)據(jù)的安全傳送，是網(wǎng)管有效管理網(wǎng)元的前提。網(wǎng)管和網(wǎng)元之間的通信支持ACL協(xié)議和SSL協(xié)議。

OptiX OSN 500設(shè)備ACL協(xié)議

   通過(guò)設(shè)置ACL（Access Control List）規(guī)則，可以對(duì)接收的IP報(bào)文進(jìn)行過(guò)濾，從而達(dá)到控制網(wǎng)絡(luò)數(shù)據(jù)流量、防范惡意攻擊的目的。

    根據(jù)系統(tǒng)安全程度要求，可以設(shè)置不同的ACL規(guī)則：基本ACL規(guī)則和高級(jí)ACL規(guī)則。

    1、基本ACL規(guī)則：對(duì)于安全級(jí)別要求較低的網(wǎng)元，可以設(shè)置基本ACL規(guī)則，只對(duì)IP報(bào)文的源地址進(jìn)行校驗(yàn)。

    2、高級(jí)ACL規(guī)則：對(duì)于安全級(jí)別要求很高的網(wǎng)元，可以設(shè)置高級(jí)ACL規(guī)則，網(wǎng)元會(huì)對(duì)接收的IP報(bào)文進(jìn)行源宿地址、源宿端口以及協(xié)議類(lèi)型進(jìn)行詳細(xì)的校驗(yàn)。

    在高級(jí)ACL規(guī)則和基本ACL規(guī)則同時(shí)存在的情況下，系統(tǒng)優(yōu)先按照高級(jí)ACL規(guī)則進(jìn)行校驗(yàn)。

    同時(shí)，可以對(duì)ACL規(guī)則進(jìn)行如下操作：

    查詢(xún)ACL規(guī)則。

    修改ACL規(guī)則。

    刪除ACL規(guī)則。

OptiX OSN 500設(shè)備SSL協(xié)議

    通過(guò)SSL（Security Socket Layer）協(xié)議，可以保證數(shù)據(jù)的完整性和安全性。

    OptiX OSN 500設(shè)備預(yù)置加密的SSL證書(shū)，網(wǎng)管可以采用預(yù)置SSL證書(shū)與設(shè)備建立安全連接，

    確保用戶(hù)通過(guò)安全管道訪(fǎng)問(wèn)網(wǎng)元。在用戶(hù)加載了SSL證書(shū)后，設(shè)備會(huì)切換到用戶(hù)證書(shū)。

    如果用戶(hù)加載的證書(shū)是未加密的，設(shè)備會(huì)上報(bào)“SSL_CERT_NOENC”告警。 

OptiX OSN 500設(shè)備Security FTP

    Security FTP（簡(jiǎn)稱(chēng)SFTP）位于SSH（secure shell）連接層，基于SSH提供的加密和認(rèn)證等基礎(chǔ)服務(wù)，擴(kuò)展了對(duì)FTP安全性的支持，是一種安全的文件傳輸協(xié)議。

    1、安全性方面，FTP采用明文傳輸，且只支持密碼認(rèn)證，協(xié)議安全機(jī)制薄弱；SFTP采用密文傳輸，除支持密碼認(rèn)證外，還專(zhuān)門(mén)設(shè)計(jì)了密鑰認(rèn)證，密鑰認(rèn)證能夠提供比密碼認(rèn)證更高的安全性。

    2、傳輸效率方面，SFTP的采用了加解方式，理論上傳輸效率低于FTP，但由于SFTP特有的協(xié)議優(yōu)化設(shè)計(jì)等原因，往往出現(xiàn)SFTP傳輸效率高于FTP的情況。

    3、支持業(yè)務(wù)范圍，例如包加載、數(shù)據(jù)庫(kù)上下載、日志文件上載，單文件上下載等。網(wǎng)元只提供SFTP客戶(hù)端功能，不能作為SFTP服務(wù)端，同時(shí)，SFTP基于TCP連接，要求網(wǎng)元SSH服務(wù)器IP可達(dá)，因此SFTP業(yè)務(wù)只能部署在網(wǎng)關(guān)網(wǎng)元上。